初回投稿 2016/年6月25日
<無料>ウイルス対策を強化するWindowsファイアウォール設定3ステップ

Windows パソコンを狙ってコンピュータウイルス (マルウェア) を送り込む代表的な感染経路を 3 つが…
- ウイルス感染を意図する不正なEメール
- 実行ファイルのダウンロードと起動を誘惑されて自爆感染する
└ 迷惑ソフト
└ 海賊版ソフト、クラック、チートツール
└ HoeflerText 偽フォント - ネットサーフィン中に強制的にウイルス感染
(ドライブバイ・ダウンロード攻撃)
このうち 1 番の経路で次のような被害が確認されています。



→ 破壊されたファイルを元に戻すため身代金を支払うよう要求する ランサムウェアの感染を狙ったEメール



→ 日本でも被害続出でメディアを騒がすトロイの木馬 Emotet の感染を狙ったEメール
ウイルスメールを受信する
↓
不正なファイルをうっかり開いてしまった
↓
不正なファイルをうっかり開いてしまった
そこで、Windows ユーザーさんが 「うっかり」 なヒューマンエラー (人為的ミス) を大前提に、Windows 10 & Windows 11 に実装されている Windows ファイアウォール を活用した無料ウイルス対策の設定を紹介しましょう。 

■ Eメールのプレビューでウイルス感染!?
なお、受け取ったEメールで注意すべきは、添付ファイル あるいは 本文中の URL リンク です。
メールソフトの Microsoft Outlook や Windows メールアプリ のユーザーさんは、プレビュー機能の影響でEメールを開くだけでウイルスが勝手に起動する ことはありません。
<そういう攻撃の手口が広く確認されたのは大昔

Eメール由来のウイルス! 危険な拡張子は?
ウイルスメールで注意スべき拡張子は?
古典的な 実行ファイル (拡張子 .exe) と スクリーンセーバー (拡張子 .scr) は注意スべき拡張子ではあるものの、不正なファイルとして目にする機会が増えたファイル形式を 2 つ挙げます。
〔1〕 Microsoft Office ファイル
Windows で影響があるウイルスとして、ファイルの拡張子 「.doc」 「.docm」 「.xls」 「.xlsm」 の 4 つに注意が必要です。
いわゆる、マクロウイルス と呼ばれる脅威です。
〔2〕 Windows スクリプトファイル
Windows に影響があるウイルスとして、ファイルの拡張子 「.js」 「.vbs」 「.wsf」 に注意が必要です。

JavaScript ファイル (拡張子 .js)

VBScript Script ファイル、Windows Script ファイル
正規プログラムを悪用するウイルス感染手口
攻撃発動の着火点は、Windows ユーザーさんが 不正なファイルをダブルクリックして開く ことです。
実際に、不正なファイルを踏み抜いた直後の Windows のプロセスの様子をフリーソフト 「Sysinternals Process Explorer」 のウィンドウ画面で紹介します。
《wscript.exe を悪用するマルウェア感染症例》
不正な Windows スクリプトファイルを開いた瞬間のスクリーンショット画像です。

wscript.exe -> ***.exe
《mshta.exe を悪用するマルウェア感染症例》
不正な .hta ファイルを開いた瞬間のスクリーンショット画像です。

mshta.exe -> ***.exe
最初に開いた不正なファイルの動作は、外部ネットワークに接続して 緑色 で示した未知の実行ファイル (拡張子 .exe) をコッソリとダウンロードしてくる処理でした。
~ 外部ネットワークに接続する通信状況の様子 ~
マイクロソフトによって開発され、Windows に最初から組み込まれている正規プログラム (mshta.exe、wscript.exe、powershell.exed など) を悪用されると、セキュリティ製品からスリ抜けてしまうことで被害に繋がる確率が上昇します。
そこで、外部通信を Windows ユーザーが制御できる ファイアウォール を使い、外部通信の接続をあらかじめ遮断 (ブロック) しておくウイルス対策は、後を追うセキュリティ製品の防護層を確実に効果的に補完できてオススメです。
Windows ファイアウォールの設定で無料ウイルス対策
無料ウイルス対策として Windows 10/11 パソコンに標準で実装されている Windows ファイアウォール の出番です。 

もし、インストールしているセキュリティソフトのファイアウォールが動作しているならば、そちらでプログラムの送信側 (アウトバウンド通信、外部通信) を遮断する設定を行ってください。
以下は、Windows ファイアウォール で設定するウイルス対策の方法 3 ステップです。 

【1】
次のいずれかで 「セキュリティが強化された Windows ファイアウォール」 を起動しましょう。
【2】
Windows ファイアウォールのウィンドウ画面が表示されて、左側に見えるツリーの 「送信の規則」 を選択 → 右クリックメニューで [新しい規則(N)...] 項目をポチッとな

セキュリティが強化された Windows ファイアウォール
【3】
「新規の送信の規則ウィザード」 ウィンドウ画面が表示されるので、各プログラムごとに規則を設定していきます。
どのプログラムを登録するかは、下の 「ウイルス対策に効果的なファイアフォールのブロック設定」 項目を参照してください。
【ファイアウォールの設定規則】
規則の種類 … [プログラム(P)] にチェックマークを入れるプログラム … [参照(R)...] ボタンでプログラム (拡張子 .exe) を選択する操作 … [接続をブロックする(K)] にチェックマークを入れるプロファイル … チェックマーク 3 つのままで OK名前 … 表示名を自由に指定し、説明は空欄のままで OK
こうして、Windows ファイアウォールの右側に見える 「送信の規則」 の一覧に反映されて設定作業は完了です。

設定されたアイコン
【ファイアウォールの設定 アイコンの意味】
グレー → 規則の設定の無効
斜線入り赤丸 → 外部通信が遮断されている
緑のチェックマーク → 外部通信が許可されている
ウイルス対策に効果的なファイアフォールのブロック設定
ウイルス感染で悪用されうる正規プログラムの通信だけバシッと遮断!
様々な ウイルスメール例の感染体験 に基づいて、ファイアーウォールを使って外部通信をあらかじめ遮断しておいた方が安心な正規プログラムを紹介します。 

bitsadmin.exe
C:\Windows\System32\bitsadmin.exe
C:\Windows\SysWOW64\bitsadmin.exe
cmd.exe … コマンドプロンプト
C:\Windows\System32\cmd.exe
C:\Windows\SysWOW64\cmd.exe
certutil.exe
C:\Windows\System32\certutil.exe
C:\Windows\SysWOW64\certutil.exe
cscript.exe … スクリプト実行環境のコンソール版
C:\Windows\System32\cscript.exe
C:\Windows\SysWOW64\cscript.exe
mshta.exe
C:\Windows\System32\mshta.exe
C:\Windows\SysWOW64\mshta.exe
powershell.exe
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
regsvr32.exe
C:\Windows\System32\regsvr32.exe
C:\Windows\SysWOW64\regsvr32.exe
wscript.exe
C:\Windows\System32\wscript.exe
C:\Windows\SysWOW64\wscript.exe
WMIC.exe
C:\Windows\System32\wbem\WMIC.exe
C:\Windows\SysWOW64\wbem\WMIC.exe
msiexec.exe
C:\Windows\System32\msiexec.exe
C:\Windows\SysWOW64\msiexec.exe
各プログラムで実行ファイルを 2 つ挙げているけれど、Windows 64ビット環境には 「32ビット用」 「64ビット用」 の実行ファイルが存在するためなので、ちゃんと両方を登録しましょう。
コメント