アプリの脆弱性対策に必須 Windows Exploit Protection 必須設定手順
アプリの脆弱性を悪用する攻撃とは
最近、ニュースなどでサイバー攻撃に関する話題を目にすることが増えているかと存じます。ウイルス対策ソフトなどで防げるマルウェアだけでなく、ソフトウェアが持つ「脆弱性」という弱点を悪用する手口も多く存在します。
普段お使いのアプリケーションにも、発見されていない、あるいはまだ修正されていない脆弱性が存在する可能性があります。攻撃者はこの脆弱性を突き、PCの制御を奪ったり、不正なプログラムを実行させたりしようと試みます。このような攻撃手法を「エクスプロイト」と呼びます。
Windowsには、こうしたエクスプロイトによる攻撃からPCを保護するための標準機能が備わっています。それが「Exploit Protection(エクスプロイト保護)」です。この機能を適切に設定することで、未知の脆弱性を狙った攻撃に対しても一定の防御力を高めることができます。
Exploit ProtectionはWindowsに標準で搭載されており、別途ソフトウェアを導入する必要はありません。この解説では、Exploit Protectionの必須設定(主にデフォルト設定の確認)を、初心者の方にも分かりやすい手順でご案内します。設定が完了しているか確認し、PCの防御を強化しましょう。
Exploit Protectionの設定手順
Exploit Protectionの設定は、Windowsセキュリティアプリから行います。以下のステップで進めてください。
- スタートボタンをクリックします
- Windowsの画面左下にあるスタートボタン(ウィンドウズマーク)をクリックしてください。
- 「設定」を開きます
- スタートメニューが開いたら、歯車アイコンの「設定」をクリックしてください。
- 「更新とセキュリティ」または「プライバシーとセキュリティ」を選択します
- 設定画面が表示されます。Windowsのバージョンによって表示が異なりますが、「更新とセキュリティ」または「プライバシーとセキュリティ」という項目を探してクリックしてください。
- 「Windowsセキュリティ」を選択します
- 左側のメニュー項目から「Windowsセキュリティ」をクリックしてください。
- 「セキュリティを開く」ボタンをクリックします
- Windowsセキュリティの概要が表示されます。「セキュリティを開く」ボタンをクリックして、Windowsセキュリティアプリを起動します。
- 「アプリとブラウザーコントロール」を選択します
- Windowsセキュリティアプリの左側に表示されるメニューから、「アプリとブラウザーコントロール」のアイコン(盾の形にチェックマークなど)をクリックしてください。
-
「Exploit Protection設定」を選択します
-
「アプリとブラウザーコントロール」の設定項目が表示されます。一番下にある「Exploit Protection設定」をクリックしてください。
-
画面例:
[画像の場所を示す矢印] アプリとブラウザーコントロール └─ Exploit Protection設定 (ここをクリック)
-
-
「システム設定」タブの内容を確認します
- Exploit Protection設定画面が開きます。画面上部に「システム設定」と「プログラム設定」というタブがあります。「システム設定」タブが選択されていることを確認してください。
- この画面では、PC全体に適用されるExploit Protectionの設定項目が表示されています。
-
各項目が「既定でオン」になっていることを確認します
- 表示されている項目(例えば DEP, ASLR などに関連する設定項目)が、基本的に「既定でオン」またはそれに準ずる推奨設定になっていることを確認してください。
-
これらの設定は、通常デフォルトで有効になっています。特別な理由がない限り、ここでの設定変更は推奨されません。各項目が推奨される「オン」の状態になっていることを確認するだけで完了です。
-
設定項目例(表示はWindowsのバージョンにより異なります):
- 任意コードガード(ACG)
- 追加のオプション(Additional options)
- ASLR(Address space layout randomization)
- Bottom-up ASLR
- 高エントロピーASLR
- GEH例外のオーバーライドを検証
- ヒープ整合性
- 無作為化イメージを強制的にランダム化する(必須ASLR)
- メモリ割り当てを検証する
- リモートイメージを検証する
- DEP(Data Execution Prevention)
- SEHOP(Structured Exception Handler Overwrite Protection)
- システムコールを検証する
-
通常、これらの各項目のドロップダウンリストは「既定でオン」または「オン」などが選択されています。この状態であれば、基本的な保護は有効になっています。
設定の確認は以上で完了です。ほとんどの場合、デフォルト設定のままで十分な保護が得られます。
Exploit Protection 設定の意味
Exploit Protectionは、アプリの脆弱性を狙った攻撃コード(エクスプロイト)が、PC上で意図しない動作をすることを防ぐための技術の集まりです。
例えば、「DEP(Data Execution Prevention)」は、プログラムコードではない領域(例えばデータ領域)からコードが実行されることを防ぐ機能です。攻撃コードは通常、アプリのデータ領域に不正に送り込まれて実行されることを試みますが、DEPはこの試みをブロックします。
また、「ASLR(Address space layout randomization)」は、メモリ上でプログラムが使用する領域(コードやデータなど)の配置を起動するたびにランダムに変更する機能です。攻撃者は特定のメモリ位置にあるコードやデータを利用しようとしますが、配置がランダム化されることで、その予測を難しくし、攻撃を成功させにくくします。
Exploit Protectionのシステム設定は、PC全体にこれらの保護機能を適用します。これらの機能は、過去の多くの攻撃手法に対して効果を発揮するため、特別な理由がない限り「既定でオン」や「オン」の状態にしておくことが強く推奨されます。安易にこれらの設定を無効化すると、セキュリティリスクが大幅に高まります。
「プログラム設定」タブでは、個別のアプリケーションに対してこれらの設定をカスタマイズできますが、これは特定のアプリで互換性の問題が発生した場合などに限定的に行うものであり、高度な知識が必要です。通常利用においては、システム設定がデフォルトでオンになっていることを確認するだけで十分なセキュリティ対策となります。
まとめ
この記事では、アプリの脆弱性を悪用する攻撃からPCを保護するWindows標準機能「Exploit Protection」の必須設定手順を解説しました。
解説した手順に従って、「システム設定」タブの各項目が「既定でオン」になっていることを確認できていれば、基本的なExploit Protectionの保護は有効になっており、脆弱性を狙った基本的な攻撃に対する防御力を高めることができています。
Exploit Protectionはセキュリティ対策の重要な一部ですが、これだけで全ての脅威から完全にPCを守れるわけではありません。引き続き、Windows Updateを適用してシステムを最新の状態に保つこと、Microsoft Defenderなどのウイルス対策機能を有効にしておくこと、そして他の必須セキュリティ設定についても確認していくことが重要です。
かんたんWindowsセキュリティ設定サイトでは、他にもPCを安全に使うための様々な必須設定手順を解説しています。ご自身のPCのセキュリティ状態を確認し、必要な対策を進めていただくことを推奨いたします。