初回投稿 2016/年6月25日

<無料>Windowsファイアウォール設定でウイルス対策 PowerShell WScript

Windows 7/8/10のファイアウォールでウイルス感染防ぐセキュリティ対策の紹介。無料Windowsファイアウォールの設定で powershell.exe、wscript.exe、mshta.exe の通信遮断ブロック方法。Eメール経由の添付ファイルからトロイの木馬、ランサムウェア、マルウェア、スパイウェア感染を防ぐ効果アリ。

Windows パソコンに保存しておいた文書、写真、圧縮アーカイブが開けなーい!?

破壊されたファイルを元に戻す名目で身代金の支払いを要求する脅威 ランサムウェアに感染する迷惑メール や、日本でも感染被害のお話でメディアを騒がすトロイの木馬 Emotet を送り込む不正なEメールが確認されています。

コンピュータウイルスの感染経路として3つのルートの中から、Windows ユーザーさんが1番目のミス 『ウイルスメールの受信 → うっかり不正なファイルを開いた』 をやらかしても、最終的に マルウェアの感染は失敗に終わる 有効な無料ウイルス対策を紹介しましょう。 <ファイアウォールの出番

  1. ウイルス感染を狙ったEメール
    └ 英語や日本語で書かれた不審メール

  2. ネットサーフィン中にサイトを見るだけでウイルス感染
    (ドライブバイ・ダウンロード攻撃)

  3. 実行ファイルのダウンロードと起動を促して自爆感染
    └ 例 海賊版やクラックツールHoeflerText フォント


メールのプレビューでウイルス感染!?

なお、注意すべきウイルスメールは 添付ファイル、あるいは 本文中の誘導リンク です。

メールソフトの Microsoft Outlook、Windows メールアプリ で プレビュー機能によりEメールを開く・見るだけでウイルスが勝手に起動して感染 は通常ありえません! <そういう感染手口が広く流行ったのは今から15年近く前

Eメール由来で危険なファイルの拡張子

ウイルスメールの添付ファイルとして、古典的な 実行ファイル (拡張子 .exe) や スクリーンセーバー (拡張子 .scr) が採用される場面は、(注意すべき拡張子ではあるものの) 以前より減っています。

その代わり、Eメール由来の不正なファイルの定番があります。


〔1〕 Windows スクリプトファイル … 拡張子 .js .jse .vbs .wsf

イメージ 6
JavaScript ファイル
(JScript Script ファイル)

イメージ 7
VBScript Script ファイル
Windows Script ファイル


〔2〕 Microsoft Office ファイル … 拡張子 .doc .docm .xls .xlsm

いわゆる、マクロウイルスのことです。





〔3〕 その他

ショートカットファイル … 拡張子は表示されない



HTMLアプリケーション … 拡張子 .hta

イメージ 5

Windows の正規プログラムを介したウイルス感染攻撃

これら不正なファイルは、ランサムウェアやネットバンキングウイルスそのものではありません。

Windows ユーザーさんが不正なファイルをうっかりダブルクリックして開くと攻撃処理の発動です。

実際に、不正なファイルを踏み抜いた直後の Windows のプロセスの様子を Microsoft のフリーソフト Sysinternals Process Explorer のウィンドウ画面で紹介します。


《wscript.exe を悪用したウイルス感染》

不正な Windows スクリプトファイルを開いた時の場面です。

イメージ 2
wscript.exe -> ***.exe

《mshta.exe を悪用したウイルス感染》

不正な .hta ファイルを開いた時の場面です。

イメージ 3
mshta.exe -> ***.exe

いずれも、緑色で示した実行ファイル (拡張子 .exe) が Windows PC に感染した瞬間のマルウェア本体です。


正規プログラムはセキュリティソフトをスリ抜ける

セキュリティ製品のファイルスキャンから一度でもスリ抜けるとヤバいです。

ウイルス感染攻撃が誰からも妨害されることなく、実被害へ一直線へと進む恐れがあります。<セキュリティ製品の振る舞い検出まで突破されたら終わり

一方、そのような場面では 外部ネットワークに接続する動作 が高確率で存在します。 ↓

イメージ 8
外部通信の様子で wscript.exe 介したファイルのダウンロード処理
→ ファイルの取得を阻止する絶好のチャンス

外部ネットワークに接続を試みて、ランサムウェアやネットバンキングウイルスの本体となる実行ファイル .exe をダウンロードしてきて起動する役目を持つ 「ダウンローダー型トロイの木馬」 という分類になります。

そんな外部通信を Windows ユーザーさんが自由に制御できるのが パーソナル・ファイアウォール であり、ファイアフォールの機能で通信を遮断ブロックしておく作業は、「保険」 の対策としてかなり有効です。

Windows ファイアウォールでウイルス対策

このウイルスメール対策は Windows Vista/7/8/10 パソコンに標準で実装されている Windows ファイアウォールWindows Defender ファイアウォール でも簡単に設定できます。 <無料だよ

まず、Windows アクションセンター (セキュリティとメンテナンス) を開いて、稼働するファイアウォールの種類を把握しましょう。

Windows 10 環境で標準の Windows セキュリティ機能が動いているならば、Windows Defender ファイアウォール が稼働しているはずです。

イメージ 9

もし、インストールしてある総合セキュリティソフトのファイアウォールが動作しているならば、そちらでプログラムの送信側 (アウトバウンド通信) をブロックする設定を行ってください。

以下は、Windows ファイアウォールでの設定方法を解説します。


【1】

次のいずれかの方法で、「セキュリティが強化された Windows ファイアウォール」 あるいは 「セキュリティが強化された Windows Defender ファイアウォール」 を起動します。

Windows のスタートメニュー → 検索ボックスや [ファイル名を指定して実行...] で 「wf.msc」 と打ち込みエンターキー

Windows のスタートメニュー → [すべてのプログラム] → [Windows 管理ツール] → 「セキュリティが強化された Windows ファイアウォール」 をポチッとな

Windows のコントロールパネル → 「Windows ファイアウォール」 → 左メニューの 「詳細設定」 をポチッとな


【2】

Windows ファイアウォールのウィンドウ画面の左側にあるツリー → 「送信の規則」 を選択 → 右クリックメニューから [新しい規則(N)...] をポチッとな

イメージ 11
セキュリティが強化された Windows ファイアウォール


【3】

「新規の送信の規則ウィザード」 が表示されるので、次のような規則を各プログラムごとに設定していきます。 (どのプログラムを登録するかは下の項目を参照)

イメージ 10
下部の[次へ(N) >]ボタンを押してステップを進める

【ファイアウォールの設定規則】
規則の種類 … [プログラム(P)] にチェックマークを入れる
プログラム … [参照(R)...] ボタンでプログラム (拡張子 .exe) を選択する
操作 … [接続をブロックする(K)] にチェックマークを入れる
プロファイル … チェックマーク3つのままで OK
名前 … 表示名を自由に指定する、説明は空欄のままで OK


【4】

「セキュリティが強化された Windows ファイアウォール」 の右側にある送信の規則の一覧リストに設定が反映されて、設定作業は完了です。

イメージ 4
設定されたアイコン

【ファイアウォールの設定 アイコンの意味】
グレー → 規則の設定の無効
斜線入り赤丸 → ファイアーウォールで外部通信の接続遮断
緑のチェックマーク → ファイアーウォールで外部通信の接続許可

このファイアーウォールを活用したウイルス対策は、「新たに別のセキュリティ製品を追加で導入する必要なし」 「Windows の動作パフォーマンスが落ちる影響なし」 というメリットだらけですぞい。

ウイルス対策にファイアフォールでブロック例

利用状況によるけれど、ブログ管理者の ウイルスメール実例でのリアルな感染体験 を土台に、ウイルス対策としてファイアーウォールで外部通信のブロック遮断の対象に設定しておきたいプログラムがコレ♪

なお、使用している Windows OS が 32 ビット環境ならば 1 つ目のファイルパス (C:\Windows\System32\ ~) だけを登録して、現在の市場で主流になっている 64 ビット環境ならば両方のファイルパスを登録しましょう。

bitsadmin.exe
C:\Windows\System32\bitsadmin.exe
C:\Windows\SysWOW64\bitsadmin.exe
cmd.exe … コマンドプロンプト
C:\Windows\System32\cmd.exe
C:\Windows\SysWOW64\cmd.exe
certutil.exe
C:\Windows\System32\certutil.exe
C:\Windows\SysWOW64\certutil.exe
cscript.exe … スクリプト実行環境のコンソール版
C:\Windows\System32\cscript.exe
C:\Windows\SysWOW64\cscript.exe
mshta.exe 【ブロック推奨】
C:\Windows\System32\mshta.exe
C:\Windows\SysWOW64\mshta.exe
powershell.exe 【ブロック推奨】
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
regsvr32.exe
C:\Windows\System32\regsvr32.exe
C:\Windows\SysWOW64\regsvr32.exe
wscript.exe 【ブロック推奨】
C:\Windows\System32\wscript.exe
C:\Windows\SysWOW64\wscript.exe
WMIC.exe
C:\Windows\System32\wbem\WMIC.exe
C:\Windows\SysWOW64\wbem\WMIC.exe
msiexec.exe
C:\Windows\System32\msiexec.exe
C:\Windows\SysWOW64\msiexec.exe

ブロック推奨の実行ファイル3つは、ウイルス感染攻撃で悪用される機会が多い正規プログラムなので、ファイアーウォールの設定でサッサと遮断しておくことを強くオススメします。
関連するブログ記事