テクノロジーを簡単に言うと

誰かがあなたのWindows PCにリモートアクセスしているか確認する方法

不審な男がテーブルの上にあるノートパソコンでログインページにアクセスしている

最も危険なタイプのマルウェアの一つは、リモートアクセスを得るために設計されています。リモートアクセス型トロイの木馬(RAT)やカーネルレベルのルートキットなどです。これらは静かに動作し、検出が難しいです。誰かがあなたのWindows PCに不正にリモートアクセスしているか心配な場合は、脅威を確認し、取り除く方法を学びましょう。

誰かがあなたのPCにアクセスしている兆候

ほとんどのリモートアクセスの試みは静かですが、いくつかの警告サインがあります。これらのサインは一般的なWindowsの問題と見なされることもありますが、組み合わせることでリモートアクセス活動の確かな証拠となります。

  • 異常なマウス/キーボードの動き: カーソルが不規則に動いたり、あなたの入力なしにテキストが入力される場合、それはリモートツールの仕業かもしれません。アクティブに制御していない場合でも、これらのツールはカーソルがジャンプしたりテレポートしたりする問題を引き起こすことがあります。このサインは、マウスとキーボードがブラウザのアドレスバーにアクセスしたり、ウェブサイトのアドレスを入力したりするタスクを実行し始めた場合にも確認として機能します。
  • プログラムが自動で開閉する: ハッカーは特定のアプリ(ウイルス対策ソフトやコマンドプロンプトなど)を開くためのコマンドを送信し、システムをさらに制御したり、セキュリティ機能を無効にしたりすることがあります。プログラムが自動で開閉するのを見たら、それは赤信号です。
  • 新しい未知のユーザーアカウントの作成: 一部の悪意のある行為者は、検出後も持続的にアクセスするために二次アカウントを作成しようとするかもしれません。彼らはおそらく、ロック画面からアカウントを隠すためにユーザー切り替えを無効にします。Windowsの設定 -> アカウントに移動し、家族その他のユーザーのセクションで二次アカウントを探してください。

Windows 11設定のアカウントオプション

  • 突然のパフォーマンス低下: リモートコントロール活動は多くのリソースを消費するため、パフォーマンスが突然低下することがあります。特に、リモートコントロール活動によるパフォーマンス低下が時折発生する場合は、考慮する価値があります。
  • Windowsリモートデスクトップが自動で有効になっている: Windowsリモートデスクトップは非常に脆弱であるため、ハッカーはしばしばこれを使用してリモート接続を作成します。デフォルトでは無効になっているため、あなたの介入なしに有効になっている場合は、ハッカーの仕業かもしれません。Windowsの設定で、システム -> リモートデスクトップに移動し、有効になっているか確認してください。

Windows設定で無効になっているリモートデスクトップ

あなたのPCがリモートでアクセスされているか確認する方法

上記のサインに気付いた場合は、疑念を確認するために必要な手順を踏んでください。リモートアクセスプロセスに関与するコンポーネント/アプリの活動を追跡することで、誰かがあなたのWindows PCにアクセスしていることを確認できます。以下は、最も信頼性の高い方法のいくつかです。

Windowsイベントビューアのログを確認する

Windowsイベントビューアは、ユーザーの活動を追跡し、RDP活動やログインログを追跡することでリモートアクセスの試みを検出するのに役立つ優れた組み込みツールです。

Windows検索で「イベントビューア」を検索し、イベントビューアを開きます。

Windowsログ -> セキュリティに移動し、イベントIDタブをクリックしてイベントをIDでソートします。ID 4624のすべてのイベントを探し、その詳細を確認してログオンタイプ10のイベントがないことを確認します。イベントID 4624はログオン試行用で、ログオンタイプ10はリモートアクセスサービスを使用したリモートログオンに対応しており、ハッカーが使用する可能性があります。

イベントIDを示すWindowsイベントビューア

また、イベントID 4778を探すこともできます。これはリモートセッションの再接続を示します。各イベントの詳細ページには、アカウント名やネットワークIPアドレスなどの重要な識別情報が記載されています。

ネットワークトラフィックを追跡する

リモートアクセスはネットワーク接続に依存しているため、ネットワークトラフィックを追跡することは検出の信頼性の高い方法です。これには、悪意のある接続に対して自動的に防御するのに役立つGlassWireの無料版を使用することをお勧めします。

GlassWireアプリでは、GlassWire Protectセクションの下にすべてのアプリ接続が表示されます。このアプリは接続を自動的に評価し、信頼できない接続にフラグを付けます。ほとんどの場合、悪意のあるリモート接続を検出し、警告することができるはずです。

メインインターフェースのGlasswire評価セクション

アプリのアルゴリズムを超えて、未知のアプリの高データ使用量などの手がかりを探すこともできます。リモート接続は継続的なデータを使用するため、検出は容易なはずです。

スケジュールされたタスクを確認する

多くのリモートアクセスの試みは、Windowsのタスクスケジューラツールを使用して管理されています。これにより、PCの再起動を通じて持続し、継続的に実行することなくタスクを実行できます。PCが感染している場合、タスクスケジューラに未知のアプリからのタスクが表示されるはずです。

Windows検索で「タスクスケジューラ」を検索し、タスクスケジューラアプリを開きます。左側のパネルで、タスクスケジューラ(ローカル) -> タスクスケジューラライブラリを開きます。Microsoft以外の不明または疑わしいフォルダを探してください。見つけた場合は、タスクを右クリックしてプロパティを選択します。

Windowsタスクスケジューラのタスクプロパティメニュー

プロパティで、トリガーおよびアクションタブを確認して、タスクが何をするのか、いつ実行されるのかを学びます。これにより、それが悪意のあるものであるかどうかを理解するのに十分です。たとえば、タスクがログオン時またはシステムがアイドルのときに未知のアプリやスクリプトを実行する場合、それは悪意のある目的のためかもしれません。

タスクプロパティのトリガーとアクションタブ

疑わしいタスクが見つからない場合は、Microsoftフォルダを確認することをお勧めします。高度なマルウェアがシステムフォルダに隠れている可能性があります。一般的な名前(「systemMonitor」など)やスペルミスのある名前のタスクを探してください。幸いなことに、ほとんどのタスクはMicrosoft Corporationが著者として表示されるため、スキップしても安全です。

リモートアクセスを停止し、PCを保護する方法

誰かがあなたのWindows PCにリモートアクセスしていることを確認したら、最初のステップはインターネットから切断することです。これにより、さらなる損害を防ぐことができます。あなたの優先事項は脅威を取り除くことよりも、損害を制御することです。したがって、別のデバイスを使用して、メール、金融アカウント、ソーシャルメディアアカウントなどの重要なアカウントのパスワードをリセットしてください。また、重要なデータのバックアップを確実に行ってください。

以下の方法を実行して、リモートアクセスマルウェアを取り除いてください。

Microsoft Defenderのオフラインスキャンを実行する

セキュリティシステムがこのリモートアクセス攻撃を検出または保護できない場合、それはルートキットやブートキットのような高度なマルウェアかもしれません。Microsoft Defenderのオフラインスキャンが役立つかもしれません。これは、起動時に安全で最小限の環境でPCをスキャンし、マルウェアが非アクティブなときに見つけます。

スキャンを実行するには、Windows検索で「Windowsセキュリティ」を検索し、Windowsセキュリティアプリを開きます。

ウイルスと脅威の保護 -> スキャンオプションに移動し、Microsoft Defender Antivirus(オフラインスキャン)を選択し、今すぐスキャンをクリックします。

Windows Defenderのオフラインスキャンを実行中

これにより、PCが再起動し、フルシステムスキャンが実行されます。脅威が見つかった場合、それらはWindowsセキュリティアプリの保護履歴セクションに表示されます。

疑わしいプログラムを取り除く

スキャンが何かを検出したかどうかにかかわらず、未知のプログラムがゲートウェイとして機能していないことを確認するために、プログラムの手動監査を行うべきです。Windows設定で、アプリ -> インストール済みアプリに移動し、Windowsの一部ではなく、インストールした記憶がないアプリを探してください。さらに、TeamViewer、AnyDesk、VNC、Chromeリモートデスクトップなど、侵害される可能性のあるリモートアクセスアプリを取り除いてください。

悪意のあるブラウザ拡張が原因である可能性もあります。すべての拡張を確認し、不審な拡張をアンインストールしてください。

ファイアウォールでリモートアクセスの受信ポートをブロックする

PCにリモートアクセスしたり、誰かから支援を受けたりしない場合は、ファイアウォールでリモート接続のための一般的な受信ポートをブロックできます。これにより、受信リモート接続がブロックされますが、必要に応じて他のデバイスを制御することができます。

Windows検索で「Windows Defenderファイアウォール」を検索し、Windows Defenderファイアウォール(高度なセキュリティ付き)アプリを開きます。

受信ルール -> 新しいルールを選択し、次にポート -> 次へを選択します。TCPを選択し、以下のポート番号のいずれかを指定します。

  • 3389(Windowsリモートデスクトップ)
  • 5900(仮想ネットワークコンピューティング)
  • 5938(TeamViewer)
  • 6568(AnyDesk)
  • 8200(GoToMyPC)

Windowsファイアウォールで受信ルールを作成

接続をブロックするを選択し、ルールを作成するための設定を完了します。後で識別できるように、ルールに明確な名前を付けてください。このプロセスを各ポートごとに繰り返してブロックします。

必要に応じてクリーンなWindowsインストールを行う

何も効果がない場合や、リスクを取りたくない場合は、クリーンなWindowsインストールを行うことも選択肢です。オフラインのウイルス対策スキャンとクリーンOSインストールの両方を生き延びるマルウェアは非常に稀です。ただし、クリーンインストールを行うとPC上のすべてのデータが削除されるため、重要なデータのバックアップを行う必要があります。

クリーンなWindowsを安全にインストールするためのすべての手順を学ぶには、クリーンインストールのガイドを確認してください。

PCアクセスに疑念がある場合は、リモートアクセスであれローカルアクセスであれ、決してリスクを取らないでください。このような制御は常により大きなセキュリティ問題にエスカレートします。もちろん、最初からそれが起こらないようにするのが最善ですので、これらのWindowsセキュリティ設定や高度なWindows Defenderオプションを使用することを確認してください。

画像クレジット: Vecteezy。すべてのスクリーンショットはKarrar Haiderによるものです。

内容

  1. 誰かがあなたのPCにアクセスしている兆候
  2. あなたのPCがリモートでアクセスされているか確認する方法
  3. Windowsイベントビューアのログを確認する
  4. ネットワークトラフィックを追跡する
  5. スケジュールされたタスクを確認する
  6. リモートアクセスを停止し、PCを保護する方法
  7. Microsoft Defenderのオフラインスキャンを実行する
  8. 疑わしいプログラムを取り除く
  9. ファイアウォールでリモートアクセスの受信ポートをブロックする
  10. 必要に応じてクリーンなWindowsインストールを行う
Ello-dashboardprofile

Ello: プライベートソーシャルネットワークの探求

Bitdefenderがインストールされない:使用できる3つの簡単な解決策

Bitdefenderの修正についてもっと知る

GoogleがInboxを終了し、6ヶ月の猶予を与える

アスペクト比-16x9

ビデオのアスペクト比を理解する

タグでファイルを整理するファイルマネージャー:トップ5

Wake on LANが動作しない修正

Wake On LANがWindowsで動作しない [解決済み]

easycap-mac-mspacman-console

EasyCAPを使用してMacでVHSとコンソールをキャプチャする

GoogleはWindows 11アップグレードの適格性を判断する新しいChrome機能をテスト中