誰かがあなたの Windows コンピュータにリモート アクセスできるかどうかを知るにはどうすればよいでしょうか?

最も危険な種類のマルウェアの中には、リモート アクセス型トロイの木馬 (RAT) やカーネル レベルのルートキットなど、被害者の PC へのリモート アクセスを取得するように設計されています。静かに動作するため、検出が困難です。誰かが Windows PC に不正にリモート アクセスしているのではないかと心配な場合は、脅威を確認して削除する方法を確認してください。

誰かがあなたのPCにアクセスしたときの警告サイン

ほとんどのリモート アクセスの試みは静かに行われますが、それでもいくつかの警告サインが現れます。これらの兆候は Windows の人気を示すものである一方、総合的に見ると、リモート アクセス アクティビティの強力な証拠ともなり得ます。

• 異常なマウス/キーボードの動作: カーソルが不規則に移動したり、ユーザーの介入なしにテキストが入力されたりする場合は、リモート ツールによる動作である可能性があります。これらのツールは、アクティブに制御されていない場合でも、カーソルのジャンプやテレポートなどの問題を引き起こす可能性があります。この信号は、マウスとキーボードがブラウザのアドレスバーにアクセスしたり、Web サイトのアドレスを入力したりするなどのタスクの実行を開始した場合の確認としても機能します。
• 自動的に開いたり閉じたりするプログラム: ハッカーは、システムをさらに制御したり、セキュリティ機能を無効にしたりするために、特定のアプリケーション (ウイルス対策ソフトウェアやコマンド プロンプトなど) を開くコマンドを送信することもできます。プログラムが勝手に開いたり閉じたりする場合は、それは警告サインです。
• 新しい不明なユーザー アカウントの作成: 悪意のあるユーザーの中には、検出後も永続的なアクセスを取得するためにセカンダリ アカウントを作成しようとする者もいます。ロック画面からアカウントを隠すために、ユーザー切り替え機能を無効にする可能性があります。Windows の [設定] -> [アカウント]に移動し、 [家族とその他のユーザー]の下にあるセカンダリ アカウントを見つけます。

• 突然のパフォーマンス低下: リモート コントロール操作もリソースを大量に消費するため、突然のパフォーマンスの低下に気付く場合があります。リモート コントロール操作によりパフォーマンスが時々低下する場合は、特に検討する価値があります。
• Windows リモート デスクトップは自動的に有効化されます。Windows リモート デスクトップは非常に脆弱であるため、ハッカーはリモート接続を作成するためにこの機能をよく使用します。この機能はデフォルトで無効になっているため、ユーザーの介入なしに有効にされると、ハッカーによって実行される可能性があります。 Windows 設定で、「システム」->「リモート デスクトップ」に移動し、この機能が有効になっているかどうかを確認します。

PCがリモートアクセスされていることを確認する方法

上記の兆候に気付いた場合は、疑いを確認するために必要な手順を踏んでください。リモート アクセス プロセスに関係するコンポーネント/アプリケーションのアクティビティを監視して、誰かが Windows PC にアクセスしていることを確認できます。最も信頼性の高い方法をいくつか紹介します。

Windowsイベントビューアのログを確認する

Windows イベント ビューアーは、ユーザー アクティビティを監視し、RDP アクティビティとログイン ログを監視することでリモート アクセスの試行を検出するのに役立つ優れた組み込みツールです。

Windows Search で「イベント ビューアー」を検索し、イベント ビューアーを開きます。

「Windows ログ」->「セキュリティ」に移動し、「イベント ID」タブをクリックしてイベントを ID で並べ替えます。 ID 4624のすべてのイベントを検索し、その詳細をチェックして、ログオン タイプ 10のイベントがないことを確認します。イベント ID 4624 はログオン試行用であり、ログオン タイプ 10 はハッカーが使用する可能性のあるリモート アクセス サービスを使用したリモート ログインに対応します。

リモート セッションの再接続を示すイベント ID 4778を探すこともできます。各イベントの詳細ページには、アカウント名やネットワーク IP アドレスなどの重要な識別情報が表示されます。

ネットワークトラフィックを監視する

リモート アクセスはネットワーク接続に依存するため、ネットワーク トラフィックを監視することが、それを検出する信頼できる方法です。この目的には、悪意のある接続を監視し、自動的に保護する GlassWire の無料バージョンを使用することをお勧めします。

GlassWire アプリケーションでは、GlassWire Protectセクションの下にすべてのアプリケーション接続が表示されます。アプリケーションは自動的に接続を評価し、信頼できない接続にフラグを立てます。ほとんどの場合、アプリケーションは悪意のあるリモート接続を検出し、警告することができます。

アプリのアルゴリズムに加えて、不明なアプリのデータ使用量が多いなどの手がかりを探すこともできます。リモート接続では永続的なデータが使用されるため、簡単に検出できます。

スケジュールされたタスクを表示する

多くのリモート アクセス試行は、Windows のタスク スケジューラ ツールを使用して管理されます。これにより、PC の再起動後も継続して実行することなくタスクを実行できるようになります。 PC がウイルスに感染している場合は、タスク スケジューラに不明なアプリケーションからのタスクが表示されます。

Windows Search で「タスク スケジューラ」を検索し、タスク スケジューラ アプリケーションを開きます。左側のパネルで、[タスク スケジューラ (ローカル)] -> [タスク スケジューラ ライブラリ]を開きます。 Microsoft 以外の奇妙なフォルダーや疑わしいフォルダーを探します。フォルダーが見つかった場合は、タスクを右クリックして[プロパティ] を選択します。

[プロパティ]で、 [トリガー] タブと[アクション]タブを調べて、タスクが何を実行し、いつ実行されるかを確認します。これにより、タスクに問題があるかどうかを判断するのに十分なはずです。たとえば、タスクがログイン時またはシステムがアイドル状態のときに不明なアプリケーションまたはスクリプトを実行する場合、そのタスクは悪意のあるものである可能性があります。

疑わしいタスクが見つからない場合は、Microsoft で調べてみてください。システム フォルダーに高度なマルウェアが隠れている可能性があります。 「systemMonitor」のような一般的な名前やスペルミスのある名前など、疑わしいタスクを探します。幸いなことに、ほとんどのタスクは Microsoft Corporation によって作成されるため、各タスクを調査する必要はありません。無視しても問題ありません。