ランサムウェア対策機能とは

ランサムウェア対策機能では、未知のランサムウェア （身代金型ウイルス） が、
データを不正に暗号化したり、変更したりする動きを検知し、ブロックします。

ランサムウェア対策機能を有効にする方法

1. 管理コンソールを開き、ログオンします。
2. メニューから[デバイス] タブをクリックし、対象となるコンピュータグループを選択して[ポリシーの設定] をクリックします。
   　
   ※例では[デスクトップ(初期設定)] グループを選択しています。
   ※ 設定を有効/無効にしたい端末が含まれているグループを 選択してください。
   　
   
   　
   　
3. メニューから「挙動監視」をクリックします。
   　
   
   　
4. 下記項目の「ランサムウェア対策」の項目にチェックを入れます。
   　
5. 最後に画面の一番下にある「保存」ボタンをクリックします。
   　
   
   　

文書の保護を有効にして不正な暗号化や変更を防止する

ドキュメント、画像、音声ファイルなど特定のファイルの種類を監視対象とし、不審なプロセスが監視対象のドキュメントに対して変更等を実施しようとした際にプロセスを停止し、実行元のプログラムの隔離を行います。
本機能で検知された場合、ウイルスログ、および挙動監視ログにおいて、「Unauthorized File Encryption」と表示されます。

該当プログラムが問題無いものと確認されている場合は、除外設定に該当プロセスを登録後、下記手順で復元を実施ください。
 

• ツール：暗号化された隔離ファイルを元に戻す方法

疑わしいプログラムによって変更されたファイルの自動バックアップ

不審なアクセスがあったファイルを自動的にバックアップし、ランサムウェアと思われるプロセスによるファイルの暗号化または変更を検知すると、ファイルの復元を試みます。
本機能は、「不正な暗号化や変更から文書を保護 」が有効な場合に有効にでき、バックアップおよび復元対象のドキュメントも同等となります。
リムーバブルメディアおよび共有フォルダのファイルは対象外となります。
 

本機能の設定値は以下となります。各設定値の変更は出来ません。

なお、他プロセスからのアクセス状況や、バックアップ元のファイルの状況によっては復元できない場合があります。復元状況は挙動監視ログで確認できます。

主にランサムウェアに関連付けられていることの多いプロセスのブロックを有効にする

OSで利用されている実行ファイル等にインジェクションされるようなランサムウェアの挙動を監視し、不審な動作をブロックします。

本検出があった場合は、ウイルス/不正プログラム検索では、セキュリティ上の脅威に “Ransomware Process “として検出結果が表示されます。また、挙動監視ログにも該当のプロセスが表示されます。

プログラム検査を有効にして不正な実行可能ファイルを検出およびブロックする

コンピュータのプロセス挙動監視を強化し、ランサムウェア特有の挙動をする実行可能ファイルを検出しブロックします。