有料ウイルス対策ソフトより秀逸フリーウェアによる標準セキュリティ強化!
Windows標準のアンチウイルスは防御能力が劣るのでは? と心配な方へ、以下の3つの秀逸フリーウェアによる補強をお勧めします。
①インストールソフトの厳格な安全性チェックが必要になるものの、それ以外ではSモード以上ともいえる防御能力を提供するSimple Software Restriction Policy(Windows 11には未対応)
②トップレベルの性能のアンチフィッシングを提供するTrafficLightあるいはアドオンアドウェア駆除で定評のあるMalwarebytes社製のMalwarebytes Browser Guardアドオン
③ブラウザ上の入力文字列が、暗号化されて送信されるようにすることで、万が一の感染により “ キーロガー ” を仕掛けられた場合でもその脅威を無効化できるKeyScrambler Personal
ただし、Cromium版Edgeの使用を前提としている点には注意ください。Cromium版Edgeでは、SmartScreenがデフォルトで効き、悪意のサイト検出、ダウンロードファイルチェックに加え、Chrome、Firefoxを大きく上回る性能のアンチフィッシングが実現されるからです。また、Windows 10,11のHome版のMicrosoft Defenderは、多くの有料版が備えている決済保護、ID/パスワード管理機能、迷惑メール対策などの機能のない点にも留意ください。決済保護にも効果的で最強の補強手段とも言えるMicrosoft Defender Application Guardは、残念ながらWindows 10 Pro版以上か、Windows 11でないとサポートされていません。とはいえ、Application Guardが利用できないWindows 10 Home版でも、決済機能に限れば、かなりの部分がSaAT Netizen、Rapport等の銀行・証券から提供されているセキュリティ対策ツール、ID/パスワード管理機能ならばBitwarden、迷惑メール対策ならばWebメールやMozilla Thunderbird等のフリーウェアを用いることで有料版並みかそれ以上の機能を実現することができます。
1.ベストなウイルス対策ソフトより抜本的な攻撃防御対策
無料版で済ますのは危ない、第三者機関の評価の高いKaspersky, ESET等の有料版のウイルス対策ソフトを入れておくべきだとお考えの方が大半かと思います。しかし、お得意様であるベンダへの忖度から肝心の未知マルウェアに対するテストが適切の行われておらず、検出・駆除性能が過大評価となってしまっています。従って、第三者機関の検出・駆除性能の評価がほぼ100%のベストのウイルス対策ソフトを入れられたとしても、未知のマルウェアによる、あるいは脆弱性をつく高度な攻撃を防ぎ切れるとは言えません。加えて、取り切れていないバグに起因する脆弱性が攻撃の対象となることも少なくありません。実際、ウイルスバスター等で最近幾度か起こっています。結局、ベストに拘って有料のウイルス対策ソフトを入れるより、Microsoft Defenderのままでも、これら高度な攻撃にも効く抜本的な対策を併用する方がより効果的と言えます。
ただし、Microsoft Defenderは、有料版よりマニュアル設定の割合が高いのに加え、トラブル時の問い合わせ窓口がないため自主的な管理が求められる点にも留意ください。
2.抜本的対策の一つのSモードは新規ユーザ以外は使えない !?
Windows 10、11は、Sモードで動作させることで、セキュリティを大幅に強化できます。Sモードが、インストールをストアアプリしか許さない上に、cmd.exe、powershel.exe、cscript.exe、regedit.exe とか、Windows 標準のシェル/スクリプト環境とレジストリ編集環境までブロックする仕様となっているからです。従来は、Chromeやデスクトップ版Officeが動かないなど致命的ともいえる弱点がありましたが、最近では、ストアアプリも充実してきている上に、Chrome互換のChromium版Edgeブラウザやデスクトップ版OfficeのMicrosoft 365アプリもインストールできるようになっています。従って、ブラウザ、メールソフト、Office程度しか利用しないのであれば、不自由なく使える環境が実現され、セキュリティ強化に労力やコストをかけられない一般ユーザは、極力Sモードを利用すべきと言えます。
とはいえ、Sモードには検索エンジンがBing固定となるとか、フリーウェアや既存のアプリの大半が利用できない等、WindowsやGoogle検索を使い慣れたユーザにとって致命的ともいえる欠点があります。このため、Windows 10,11の S版をせっかく購入しても、購入直後に解除してしまう方が少なくないのが現実です。
3. Simple Software Restriction Policyで実現! Sモード以上のセキュリティ
使い慣れたWindows環境そのままで、Sモード並みのセキュリティを得る方法はないかと思うのが当然ですが、探してみたところそんなうまいセキュリティ強化を実現するツールが見つかりました。機能制限は同様でもストアアプリ限定というようなインストール制限は行わないSimple Software Restriction Policy(SSRP: ウイルス対策の切り札! 悪用され得るソフト/機能の制限参照)がそれです。Sモードとの違いは、インストールをストアアプリに限定する代わりに、悪用され得るソフトの実行制限を徹底的にかけられるようにする点です。具体的には、インストール/アンインストール等で必要に迫られロックを解除する時以外は、陽にインストールされた悪用の可能性の低いソフトしか実行できないようにしてしまいます。これにより、文書ファイルに偽造されたマルウェアをそれと気づかずクリックしたとか、ドライブバイダウンロードにより勝手にダウンロードされたマルウェアが起動されようとしたとかしても、感染は起こり得ません。これは、管理者権限でインストールされたわけでないために実行が阻止されるからです。従って、マルウェアあるいはマルウェア付きのソフトをそれと知らずに管理者権限でインストールしない限り、あるいはシステムやアプリの脆弱性を突かれてSSRPの実行制限が突破されない限り、感染は起こらなくなります。ただし、マルウェアをそれと知らずにインストールするようなことが起こらないように、インストール時に、Virus Totalで安全性を一々確認することは省けません。マルウェアあるいはマルウェア付きのソフトのインストールが、Sモードのようにストアアプリ限定により自律的に排除されるわけではないからです。
4.Malwarebytes Browser Guardアドオンで弱点補強
Windows Defenderの弱点の一つはブラウザに感染するアドウェアの検出能力が低いことです。実際、Windows Defenderのみで数ヶ月以上運用した私のノートパソコンをアドウェア検出ツールとして定評のあるAdwareCleanerでスキャンしたところ、アドウェア(ブラウザハイジャッカー含む)がいくつも検出されました。AdwareCleanerは、残念ながら、リアルタイムのアドウェア検出はできませんが、同じソフトウェアベンダー製のMalwarebytesプレミアム版(有償版)ならば検出可能です。この有償版にどこまで迫られるかは不明ですが、リアルタイムの防御ということであれば、Webサイトの安全性をチェックするアドオンをブラウザに組み込むことで実現できます。この安全性チェックアドオン中で、最も評価の高いのは、Bitdefender Traffic Light ですが、アドウェアの検出能力は360° Assessment & Certification – Q3 2021にも示されているBitdefenderのそれと同等程度しか期待できず、十分とはいえません。実際、私の使用実績ではAdwareCleanerで検出されるアドウェアをWindows Defender同様に見逃していました。これに対しMalwarebytes Browser Guardは、リスク判定がより厳しいため、当然見られるべきサイトまで見えなくなることがあるものの、Malwarebytes社製であることからAdwareCleanerやMalwarebytesを引き継ぐ高いアドウェア検出能力が期待できます。なお、EdgeブラウザでMalwarebytes Browser Guardを、uBlock Origin等の広告ブロックアドオンと併用する場合には、ギアマーククリックにより設定を開き、Ads/Trackersをオフにしておくとよいでしょう。広告ブロックの能力が劣るのに加え、トラッキング防止機能がEdgeブラウザ自体に備わっているからです。
5.決済保護の実現
Application Guardが利用できないWindows 10 Home版においては、金融機関提供のツールだけでウイルスあるいはマルウェアへの感染時に決済の保護を十分なレベルで行うことはできません。フィッシング・MITB攻撃対策程度の保護しかできなかったり、保護の効くサイトがそのツールに対応している金融機関に限定されたりするからです。従って、ウイルス対策ソフトが加わる分、脆弱性が高まっても、決済は確実に保護したいというのであれば、Windows 11にアップグレードし、Application Guardが動作するよう設定するとよいでしょう。アップグレード不可で、 Windows 10 Home版を使わざるを得ない場合は、Microsoft DefenderをあきらめてAvastの無料アンチウイルスを入れるしかありません。そのインストールによりAvast Safety Browserに備わっている決済保護機能のバンクモードが利用できるようになるからです。ただし、カスペルスキー、ESET等のように、あらかじめ決済を伴うサイトを登録しておくことで、セキュアブラウザを自動で開くようにするまでの機能は実現できない点に留意ください。また、Avast無料アンチウイルスは、360° Assessment & Certification – Q3 2021 によると、AdwareやFileless Malwareに関する検出能力がMicrosoft Defenderより劣るだけでなく、CPU負荷が重いという弱点があります。この弱点のうち前者については、Simple Software Restriction PolicyとMalwarebytes Browser Guardの併用で解消されると思われますが、後者の弱点は解決しようがありません。性能に余裕のない実用スペックのマシンでは、脆弱性問題に加え、性能、決済保護のいずれを優先するかも考慮した上でAvastを導入するか否かを判定すると良いでしょう。
0コメント