リモート アクセス マルウェア (リモート アクセス トロイの木馬 (RAT) やカーネル レベルのルートキットなど) は、悪意のある人物がユーザーの同意なしにシステムを制御できるようにすることで、Windows PC に重大なリスクをもたらします。これらの脅威はステルス性が高いため、検出が特に困難です。デバイスへの不正アクセスが疑われる場合は、このガイドがリモートからの存在を確認し、脅威を効果的に排除するのに役立ちます。
リモートアクセスの警告サインの特定
リモート アクセスは目に見えない形で行われることが多いですが、侵害を示す明らかな兆候がいくつかあります。これらの症状は関連のない問題を示している可能性もありますが、それらの組み合わせはリモート アクティビティを示唆している可能性があります。
- マウスやキーボードの不規則な動作:カーソルの動きが一定でなかったり、予期しないテキストが入力されたりした場合は、リモート コントロール ソフトウェアが原因である可能性があります。これには、カーソルがジャンプしたり、コマンドが自律的に実行されたりする動作が含まれます。不正アクセスを確認できるため、これらの発生を注意深く監視することが重要です。
- 予期しないアプリケーションの動作:アプリケーションがユーザーの入力なしに開いたり閉じたりし始めたら、これは危険信号である可能性があります。ハッカーはソフトウェアにリモートでタスクを実行するよう指示することができ、多くの場合、重要なアプリを標的にしてセキュリティ対策を無効にします。
- 新しいユーザー アカウントが検出されました:サイバー犯罪者は、発見された後もアクセスを維持するために、セカンダリ アカウントを作成することがよくあります。Windows の設定 -> アカウントを確認し、家族とその他のユーザーのセクションに見覚えのないエントリがないか確認してください。
- パフォーマンスの低下:システム パフォーマンスが突然低下した場合は、リソースを大量に消費するリモート アクションが発生している可能性があります。この問題が散発的に発生する場合は、不正なリモート アクセスの試みと関連している可能性があるため、細心の注意を払ってください。
- リモート デスクトップの不正なアクティブ化: Windows リモート デスクトップは本質的に脆弱であるため、ハッカーはユーザーの同意なしにこれを有効にすることがよくあります。Windows設定の[システム] -> [リモート デスクトップ]に移動して、これがオフになっていることを確認します。
PC でのリモート アクセスの確認
懸念される兆候が見つかった場合は、リモート アクセスの疑いを確認するための措置を講じることが重要です。Windows に組み込まれているツールを使用してアクティビティを追跡し、不正アクセスの可能性を示す証拠を収集します。
Windowsイベントビューアの利用
Windows イベント ビューアーは、ユーザー アクティビティを追跡するための貴重なリソースです。不正なログイン試行や RDP (リモート デスクトップ プロトコル) ログインを明らかにすることができます。まず、Windows 検索バーで「イベント ビューアー」を検索します。
Windows ログ -> セキュリティに移動します。イベントを ID で並べ替えます。特に、ログオン試行を示すイベント ID 4624に注目してください。ログオン タイプ 10と表示されるイベントはリモート ログオンを示唆するため、特に注意してください。
また、イベント ID 4778を確認してください。これは、リモート セッションの再接続の記録を提供し、アクティビティのネットワーク ID とタイムスタンプに関する情報を提供します。
ネットワークトラフィックを監視する
ネットワーク トラフィックを追跡することは、リモート アクセスを検出するための実用的な方法です。GlassWire などのツールを利用すると、疑わしい接続を特定し、潜在的な侵入者に対する自動防御メカニズムを提供できます。
GlassWire では、GlassWire Protectセクションでアクティブな接続を表示します。アプリは信頼できない接続にフラグを付け、悪意のあるリモート アクティビティを見つけるのに役立ちます。
スケジュールされたタスクを調査する
多くの場合、攻撃者はタスク スケジューラを利用して、再起動後もアクセスを維持します。このユーティリティでスケジュールされている不明なタスクや疑わしいタスクがないか確認してください。Windows Search で検索してタスク スケジューラを開き、タスク スケジューラ (ローカル) -> タスク スケジューラ ライブラリに移動して、見慣れないフォルダーを精査します。
リモートアクセスに対する対策
不正アクセスを確認したら、すぐにインターネットから切断してください。これにより、被害防止策を講じる間、さらなる悪意のある活動を防ぐことができます。別のデバイスを使用して、重要なアカウントのパスワードをリセットし、重要なデータをバックアップしてください。
Microsoft Defenderでオフラインスキャンを実行する
現在のセキュリティ ソリューションがルートキットなどの高度な脅威に対して効果がない場合、Microsoft Defender のオフライン スキャン機能を検討してください。この方法では、起動時に PC をスキャンし、永続的なマルウェアを検出するための安全な環境を提供します。
「Windows セキュリティ」を検索し、「ウイルスと脅威の防止」 -> 「スキャン オプション」に移動して、 「Microsoft Defender ウイルス対策 (オフライン スキャン) 」を選択し、 「今すぐスキャン」をクリックしてスキャンを開始します。
疑わしいプログラムを削除する
スキャン結果に関係なく、見慣れないアプリケーションがないか手動でチェックしてください。[設定] -> [アプリ] -> [インストール済みアプリ]に移動して、疑わしいソフトウェアを特定します。知らないうちに侵害されたりインストールされたりした可能性のある TeamViewer、AnyDesk、Chrome リモート デスクトップなどのアプリケーションを削除します。
ファイアウォール設定を構成する
不正なリモート アクセスを防ぐには、ファイアウォール設定で一般的な受信リモート アクセス ポートをブロックします。これらのサービスを使用しない場合は、このアクションが重要です。
Windows Search で検索して、セキュリティが強化された Windows Defender ファイアウォールを開きます。 [受信の規則] -> [新しい規則]を選択し、[ポート]を選択してから[次へ]を選択します。TCP を指定し、必要に応じてブロックする次のポートをリストします。
- 3389 (Windows リモート デスクトップ)
- 5900 (仮想ネットワークコンピューティング)
- 5938 (チームビューアー)
- 6568 (エニーデスク)
- 8200 (ゴートゥーマイPC)
Windowsのクリーンインストールを検討する
他の修復手順が不十分な場合は、Windows のクリーン インストールが必要になる場合があります。この方法により、マルウェアが残る可能性が大幅に減りますが、プロセスによって PC からすべてのデータが消去されるため、完全なデータ バックアップが必要になります。
不正アクセスの可能性については、リモートかローカルかを問わず、断固たる行動をとることが重要です。予防戦略と強力な Windows セキュリティ オプションの使用は、将来の脅威に対する最善の防御策です。
画像クレジット: Vecteezy。すべてのスクリーンショットはKarrar Haiderによるものです。
よくある質問
1.誰かが私の PC にリモートアクセスしているかどうかはどうすればわかりますか?
カーソルの動きが不規則だったり、不明なプログラムが開いたり閉じたり、設定に新しいユーザー アカウントが表示されたりといった異常な兆候がないか確認してください。ネットワーク トラフィックを監視し、Windows イベント ビューアーをチェックすると、不正なアクティビティを確認できます。
2. PC にリモート アクセスの証拠が見つかった場合はどうすればよいでしょうか?
不正なアクティビティを阻止するために、すぐにインターネット接続を切断してください。次に、重要なアカウントのパスワードをリセットし、セキュリティ ツールを使用してシステムをスキャンし、疑わしいプログラムやネットワーク トラフィックがないか確認してください。
3. Windows のクリーン インストールは必要ですか?
他の方法がすべて失敗した場合、または悪意のあるソフトウェアを完全に削除したい場合は、クリーン インストールを検討してください。この方法ではデバイスからすべてのコンテンツが消去されるため、この方法を実行する前に必ずデータをバックアップしてください。
コメントを残す ▼