初回投稿 2015年12月16日
最終更新 2018年5月5日

【感染不能】無料ウイルス対策3つでjs/jse/vbs/wsf拡張子ファイル無害化


ファイルの 拡張子 .zip / .rar / .7z を持つ圧縮アーカイブが添付された怪しい 迷惑メール(スパムメール) を受け取ります。

圧縮ファイルを解凍・展開してみると、中から下のような 拡張子 を持つナゾの スクリプトファイル が出現しました。 <これは何?

イメージ 5
危険なスクリプトファイル!
英語や日本語の迷惑メールが感染経路

  • 拡張子 .js .jse … JavaScript ファイル / JScript Script ファイル

  • 拡張子 .vbs .vbe … VBScript Script ファイル

  • 拡張子 .wsf … Windows Script ファイル

Eメールでスクリプトファイルをやり取りすることは通常あり得ません。

この正体は マルウェア です。 <ウイルス検出名 Nemucod で知られる脅威

スクリプトファイル開いたらウイルス感染

ファイルの種類について知識を持つユーザーさんなら、セキュリティソフトなど他人の力を借りずに自力で脅威を見抜けるでしょう。

ただ、これが不正で危険なブツであると見抜けず、スクリプトファイルをうっかりポチポチッとダブルクリックして開いてしまう Windows ユーザーさんも残念ながら一定数いる現実は見過ごせません。

イメージ 10
不正なスクリプトファイルを開いたら…
ランサムウェアに感染 した瞬間

そこで、Windows のスクリプトを使った攻撃を無にすることで、スクリプトファイルを無害化して攻撃者を出し抜く 強力な無料ウイルス対策 を3つ紹介します。

  1. スクリプトファイルの関連付けを変更する ← 初心者向け

  2. レジストリをいじってスクリプト実行環境の動作を変更する

  3. ファイアウォールで関連プログラムの外部通信をブロックする

スクリプトファイルの動作環境は?

  • スクリプトファイルは Windows XP/Vista/7/8/10 上でのみ動作する

  • macOS、Androidスマホ、iOS (iPhone/iPad)、ガラケー は関係なし

■  スクリプトファイルとブラウザは関連性は?

  • スクリプトファイルは Internet Explorer、Microsoft Edge、Google Chrome、Mozilla Firefox に実装されてる JavaScript とは別モノ

  • JavaScript の制御に絡んでるブラウザ拡張機能(NoScript、uMatrix、uBlock Origin など) はいっさい関係なし

スクリプトファイルの無害化対策

《1》 スクリプトファイルの関連付け変更

Windows の コントロールパネル で次の設定へ移動します。

[プログラム] → [既定のプログラム] → [ファイルの種類またはプロトコルのプログラムへの関連付け]

ここで、既定のプログラムが 「Microsoft ® Windows Based Script Host」 になってる 拡張子5つ を別のプログラムに切り替えて関連付けを変更します。

イメージ 1
拡張子 js jse vbs vbe wsf の 計5つ

たとえば、Windows のメモ帳 に関連付けておくと、スクリプトファイルをうっかり開いてもエディタ上にスクリプトの中身が表示されるだけです。

スクリプトファイルを使った攻撃はいっさい通用しません。


《2》 レジストリで動作の変更

レジストリエディタを起動 して該当のレジストリキーを変更します。

スクリプト実行環境 Windows Script Host(WSH) を無効化する、あるいはスクリプトを処理する直前に確認ダイアログを表示することが可能です。


☆ レジストリの位置

イメージ 2
レジストリを変更する前の状態


【現在ログインしてるユーザーだけ適用】
HKEY_CURRENT_USER\Software\Microsoft\Windows Script Host\Settings

【すべてのユーザーに適用】
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows Script Host\Settings


該当の項目が存在しないなら、左側のツリーの上位 Microsoft を選択 → 右クリックメニュー → [キー(K)] で 「Windows Script Host」 を新規に作成して、その下の階層に 「Settings」 を新規に作成してください。


《Windows Script Host の無効化》

【1】

レジストリエディタ右側の領域上で右クリックし、メニューから [新規(N)] → [DWORD (32ビット) 値(D)] をポチッとな

イメージ 6


【2】

作成された項目名を 「新しい値 #1」 から 「Enabled」 に変更する (逆にこの項目を削除すれば元に戻る)

イメージ 3 

この設定により、スクリプトファイルを開くと無効になってることを案内する警告ダイアログが表示されます。

イメージ 4
Windows Script Host へのアクセスがこのコンピュータ上で無効にされています。詳細については、管理者に連絡してください。 [OK]

《実行する直前に確認ダイアログの表示》

確認ダイアログを表示してスクリプトファイルを動作させて問題ないかユーザーに判断を仰げぐことができます。


【1】

(上の無効化の説明を参照) 新規項目として 「TrustPolicy」 を作成し、その項目をダブルクリックして [値のデータ] を 1 に指定する (項目がすでに存在するなら値のデータを変更するだけでOK)

イメージ 9


【2】

同じように、新規項目として「UseWINSAFER」を作成し、値のデータは初期値 0 のまま

イメージ 7

この設定によりスクリプトファイルを開くと、確認ダイアログが表示されて [実行する(R)][実行しない(D)] を選択する場面ができます。

イメージ 8 
Microsoft ® Windows Based Script Host - セキュリティの警告
発行元を確認できませんでした。このソフトウェアを実行しますか?
名前: ~.js / ~.jse / ~.vbs / ~.wsf
発行元: 不明な発行者

不正なスクリプトファイルに対して [実行する(R)] ボタンをポチッと押してしまえばどうにもならないけど、感染回避できる最後のチャンスを作れます。


《3》 ファイアウォールの活用

Windows Script Host(WSH) は Windows のシステムに存在する実行ファイル wscript.exe がその実体です。

【不正なスクリプトファイルの役割】
「ダウンローダー型トロイの木馬」 としてマルウェアの運び屋の役目
1) 外部ネットワークに接続する
2) 実行ファイル .exe や DLLファイル .dll をダウンロードしてくる
2) 裏でシレッと起動して感染させる

ここで登場するセキュリティの武器が ファイアウォール です。

ファイアウォールを使い、悪用される機会の多い wscript.exe、さらに powershell.exemshta.exe の外部通信(送信側、アウトバウンド)をあらかじめブロックします。

これにより、意図しないマルウェアのダウンロード処理をビシッと100%確実に遮断でき、悪用されても大きな実害を発生させない効果が期待できます。

Windows 7/8/10 に標準で実装されてる Windows ファイアウォールでも対処可能で、様々なマルウェア感染攻撃の実害を緩和する効果もあってオススメです。


ウイルス対策の効果確認方法

上で挙げたスクリプトファイルの無害化対策で1番と2番の効果を自分自身で確認する方法がコチラ♪


【1】

Windows のデスクトップ上で右クリック → メニューの [新規作成(X)] → 「テキスト ドキュメント」 をポチッとな


【2】

新規作成された 「 新しいテキスト ドキュメント.txt 」で、ファイル名の拡張子のところを 「 [任意の文字列].js 」 へ変更します

イメージ 12

ファイル名やフォルダ名を変更するには - Microsoft サポート


【3】

そのまま.jsファイルをダブルクリックして開きます

関連するブログ記事