初回投稿 2016/年6月25日
最終更新 2019年2月2日

【対策】Windowsファイアウォールでウイルス感染防ぐ設定 PowerShell WScript

Windows 7/8/10のファイアウォールでウイルス感染防ぐセキュリティ対策の紹介。無料Windowsファイアウォールの設定で powershell.exe、wscript.exe、mshta.exe の通信遮断ブロック方法。Eメール経由の添付ファイルからトロイの木馬、ランサムウェア、マルウェア、スパイウェア感染を防ぐ効果アリ。

パソコンに保存してある文書ファイル、画像ファイル(写真)、圧縮アーカイブが開けないっ!?

破壊したファイルを復元して元に戻すとして身代金の支払いを要求する脅威 ランサムウェアの感染を狙った迷惑メール(スパムメール) や、日本でもネットバンキング不正送金の被害でニュースを騒がしたマルウェア EmotetUrsnif(Dreambot) を感染させるEメールが確認されています。

その手のコンピュータウイルスの感染経路は、大きく 3つ のルートがあります。

  1. ウイルス感染を狙ったEメール
    └ 英語や日本語で書かれた不審メール

  2. ネットサーフィン中にサイトを見るだけでウイルス感染被害
    (ドライブバイ・ダウンロード攻撃)

  3. 実行ファイルをダウンロードさせて起動するよう仕向ける自爆感染
    └ 例 海賊版プログラム・クラックツールHoeflerText フォント

そこで、Windows ユーザーさんが1番目の 「ウイルスメールの受信 → うっかり不正なファイルを開いちう」 という最悪のミスをやらかしても、最終的には マルウェアの感染は失敗に終わる 有効なウイルス対策を紹介します。 


メールのプレビューでウイルス感染!?

なお、注意すべきウイルスメールは 添付ファイル、あるいは 本文中の誘導リンク です。

メールソフトの Microsoft Outlook、Windows メールアプリ で プレビュー機能によりEメールを開く・見るだけでウイルスが勝手に起動して感染 はありません! <そのような感染手口が広く流行ったのは今から15年近く前

Eメール由来で危険なファイルの拡張子

ウイルスメールの添付ファイルとして、古典的な 実行ファイル (拡張子 .exe) や スクリーンセーバー (拡張子 .scr) の形式が採用される場面は、注意すべきことに変わりはないものの、以前より採用率は減っています。

その代わり、Eメール由来の不正なファイルの定番は何でしょうか?


Windows スクリプトファイル … 拡張子 .js .jse .vbs .wsf

イメージ 6
JavaScript ファイル
(JScript Script ファイル)

イメージ 7
VBScript Script ファイル
Windows Script ファイル


Microsoft Office ファイル … 拡張子 .doc .docm .xls

いわゆるマクロウイルス





ショートカットファイル … 拡張子はなし

→ ショートカットファイルを悪用するウイルス感染手口と対策


HTMLアプリケーション … 拡張子 .hta

イメージ 5


不正なファイルの役割は?

これら不正なファイルは、ランサムウェアやネットバンキングウイルスそのものではありません。

外部ネットワークに接続を試みて、ランサムウェアやネットバンキングウイルスの本体となる実行ファイル .exe をダウンロードしてきて起動する役目を持つ 「ダウンローダー型トロイの木馬」 という分類になります。

Windows の正規プログラムを介したウイルス感染攻撃

Windows ユーザーさんが不正なファイルをうっかりダブルクリックして開くと攻撃処理の発動です。

実際に、不正なファイルを踏み抜いた直後の Windows のプロセスの様子を Microsoft 純正のフリーソフト Sysinternals Process Explorer のウィンドウ画面で紹介しましょう。


《wscript.exe を悪用したウイルス感染》

不正な Windows スクリプトファイルを開いた時の場面です。

イメージ 2
wscript.exe -> ***.exe

《mshta.exe を悪用したウイルス感染》

不正な .hta ファイルを開いた時の場面です。

イメージ 3
mshta.exe -> ***.exe

いずれも、緑色で示した実行ファイル (拡張子 .exe) が Windows PC に感染した瞬間のマルウェア本体です。


正規プログラムはセキュリティソフトをスリ抜ける

セキュリティ製品のファイルスキャンから一度でもスリ抜けるとヤバいです。

ウイルス感染攻撃が誰からも妨害されることなく、実被害へ一直線へと進む恐れがあります。<セキュリティ製品の振る舞い検出まで突破されたら終わり

一方、そのような場面では 外部ネットワークに接続する動作 が高確率で存在します。 ↓

イメージ 8
外部通信の様子で wscript.exe 介したファイルのダウンロード処理
→ ファイルの取得を阻止する絶好のチャンス

そんな外部通信を Windows ユーザーさんが自由に制御できるのが パーソナル・ファイアウォール であり、ファイアフォールの機能で通信を遮断ブロックしておく作業は、「保険」 の対策としてかなり有効です。

ウイルスメール怖い! ファイアウォールでウイルス対策

このウイルスメール対策は Windows Vista/7/8/10 パソコンに標準で実装されている Windows ファイアウォールWindows Defender ファイアウォール でも簡単に設定できます。 <無料だよ

まず、Windows アクションセンター (セキュリティとメンテナンス) を開いて、稼働するファイアウォールの種類を把握しましょう。

Windows 10 環境で標準の Windows セキュリティ機能が動いているならば、Windows Defender ファイアウォール が稼働しているはずです。

イメージ 9

もし、インストールしてある総合セキュリティソフトのファイアウォールが動作しているならば、そちらでプログラムの送信側 (アウトバウンド通信) をブロックする設定を行ってください。

以下は、Windows ファイアウォールでの設定方法を解説します。


【1】

次のいずれかの方法で、「セキュリティが強化された Windows ファイアウォール」 あるいは 「セキュリティが強化された Windows Defender ファイアウォール」 を起動します。

Windows のスタートメニュー → 検索ボックスや [ファイル名を指定して実行...] で 「wf.msc」 と打ち込みエンターキー

Windows のスタートメニュー → [すべてのプログラム] → [Windows 管理ツール] → 「セキュリティが強化された Windows ファイアウォール」 をポチッとな

Windows のコントロールパネル → 「Windows ファイアウォール」 → 左メニューの 「詳細設定」 をポチッとな


【2】

Windows ファイアウォールのウィンドウ画面の左側にあるツリー → 「送信の規則」 を選択 → 右クリックメニューから [新しい規則(N)...] をポチッとな

イメージ 11
セキュリティが強化された Windows ファイアウォール


【3】

「新規の送信の規則ウィザード」 が表示されるので、次のような規則を各プログラムごとに設定していきます。 (どのプログラムを登録するかは下の項目を参照)

イメージ 10
下部の[次へ(N) >]ボタンを押してステップを進める

【ファイアウォールの設定規則】
規則の種類 … [プログラム(P)] にチェックマークを入れる
プログラム … [参照(R)...] ボタンでプログラム (拡張子 .exe) を選択する
操作 … [接続をブロックする(K)] にチェックマークを入れる
プロファイル … チェックマーク3つのままで OK
名前 … 表示名を自由に指定する、説明は空欄のままで OK


【4】

「セキュリティが強化された Windows ファイアウォール」 の右側にある送信の規則の一覧リストに設定が反映されて、設定作業は完了です。

イメージ 4
設定されたアイコン

【ファイアウォールの設定 アイコンの意味】
グレー → 規則の設定の無効
斜線入り赤丸 → ファイアーウォールで外部通信の接続遮断
緑のチェックマーク → ファイアーウォールで外部通信の接続許可

このファイアーウォールを活用したウイルス対策は 「新たに別のセキュリティ製品を追加で導入する必要がない」 「Windows の動作パフォーマンスが落ちる影響はない」 といったメリットもあります。

ウイルス対策でブロックしておきたいプログラム例

利用状況によるけれど、ブログ管理者の ウイルスメール実例でのリアルな感染体験 を土台に、ウイルス対策としてファイアーウォールで外部通信のブロック遮断の対象に設定しておきたいプログラムがコレ♪

なお、使用している Windows OS が32ビット環境ならば1つ目のファイルパス (C:\Windows\System32\ ~) だけ登録して、64ビット環境ならば両方のファイルパスを登録してください。

自分のパソコンが 32 ビット版か 64 ビット版かを確認したい - Microsoft
https://support.microsoft.com/ja-jp/help/958406

bitsadmin.exe
C:\Windows\System32\bitsadmin.exe
C:\Windows\SysWOW64\bitsadmin.exe
cmd.exe … コマンドプロンプト
C:\Windows\System32\cmd.exe
C:\Windows\SysWOW64\cmd.exe
certutil.exe
C:\Windows\System32\certutil.exe
C:\Windows\SysWOW64\certutil.exe
cscript.exe … スクリプト実行環境のコンソール版
C:\Windows\System32\cscript.exe
C:\Windows\SysWOW64\cscript.exe
mshta.exe 【ブロック推奨】
C:\Windows\System32\mshta.exe
C:\Windows\SysWOW64\mshta.exe
powershell.exe 【ブロック推奨】
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
regsvr32.exe
C:\Windows\System32\regsvr32.exe
C:\Windows\SysWOW64\regsvr32.exe
wscript.exe 【ブロック推奨】
C:\Windows\System32\wscript.exe
C:\Windows\SysWOW64\wscript.exe
WMIC.exe
C:\Windows\System32\wbem\WMIC.exe
C:\Windows\SysWOW64\wbem\WMIC.exe
msiexec.exe
C:\Windows\System32\msiexec.exe
C:\Windows\SysWOW64\msiexec.exe

ブロック推奨の実行ファイル3つは、ウイルス感染攻撃で悪用される機会が多めな正規プログラムなので、ファイアーウォールの設定でサッサと遮断しておきましょう。
関連するブログ記事