初回投稿 2016/年6月25日

<無料>Windowsファイアウォール設定でウイルス対策の強化術

Windows 7/8/10のファイアウォールでウイルス感染防ぐセキュリティ対策の紹介。無料Windowsファイアウォールの設定で powershell.exe、wscript.exe、mshta.exe の通信遮断ブロック方法。Eメール経由の添付ファイルからトロイの木馬、ランサムウェア、マルウェア、スパイウェア感染を防ぐ効果アリ。

Windows 10 パソコンに保存してあった写真、文書ファイル、圧縮アーカイブが開けなーい!?

破壊したファイルを元に戻す名目で身代金の支払いを要求する ランサムウェアの感染を狙ったEメール や、日本でも被害のお話で以前にメディアを騒がせたトロイの木馬 Emotet を送り込むEメールが確認されています。

コンピュータ ウイルスの代表的な感染経路 3 つ…

  1. ウイルス感染を狙ったEメール
    └ 英語や日本語で書かれた不正なEメール

  2. 実行ファイルのダウンロードと起動を誘われて自爆感染する
    └ 例 迷惑ソフト海賊版ソフトやクラックツールHoeflerText フォント

  3. ネットサーフィン中のサイト閲覧で強制的にウイルス感染
    (ドライブバイ・ダウンロード攻撃)

Windows ユーザーさんが 『ウイルスメールを受信する → うっかり不正なファイルを開いてしまった』 というヒューマン エラー (人為的ミス) をやらかすことを大前提に、Windows 10 の ファイアウォール を活用する無料ウイルス対策を紹介します。


メールのプレビューでウイルス感染!?

なお、受け取ったEメールで注意すべきは、添付ファイル本文中のリンク です。

メールソフトの Microsoft OutlookWindows メールアプリ の利用者さんは、プレビュー機能でEメールを単に開くだけでウイルスが勝手に起動する ことは通常ありえません! <そういう感染手口が流行ったのは10年以上も前

Eメール由来のウイルス! 危険な拡張子は?

ウイルスメールの添付ファイルとして、古典的な Windows 向け実行ファイル (拡張子 .exe) や スクリーン セーバー (拡張子 .scr) が採用される機会は、注意スべき拡張子であることに変わりはないものの、以前よりは減っています。

代わりに、Eメール由来の不正なファイルとして添付されている機会が圧倒的に増えた ファイル形式 を 2 つ挙げます。


〔1〕 Microsoft Office ファイル

Windows ユーザーさんに影響を与えるウイルスとして、ファイルの拡張子 「.doc」 「.docm」 「.xls」 「.xlsm」 です。

いわゆる、マクロウイルス と呼ばれる脅威です。





〔2〕 Windows スクリプトファイル

Windows ユーザーさんに影響を与えるウイルスとして、ファイルの拡張子は 「.js」 「.jse」 「.vbs」 「.wsf」 です。

イメージ 6
JavaScript ファイル

イメージ 7
VBScript Script ファイル
Windows Script ファイル


〔3〕 その他

投入される頻度は低めだけど、注意しておきたいファイル形式として HTML アプリケーション 「.hta」 ファイルや、ショートカットファイル (拡張子 なし) がある。


正規プログラムを悪用するウイルス感染手口

攻撃処理が発動する着火点は、Windows ユーザーさんが 不正なファイルをダブルクリックして開く ことです。

実際に、不正なファイルを踏み抜いた直後の Windows のプロセスの様子を Sysinternals Process Explorer のウィンドウ画面で紹介します。


《wscript.exe を悪用したウイルス感染の症状例》

不正なスクリプトファイルを開いた瞬間です。

イメージ 2
wscript.exe -> ***.exe

《mshta.exe を悪用したウイルス感染の症状例

不正な .hta ファイルを開いた瞬間です。

イメージ 3
mshta.exe -> ***.exe

開いた不正なファイル (Office ファイル、スクリプトファイル) は、ランサムウェアやトロイの木馬そのものではないのが注目ポイントで、実は 緑色 の実行ファイル (拡張子 .exe) が御本尊です。

この実行ファイルはダウンロードされてきているので、外部ネットワークに接続する不正な動作 を可視化します。

- 外部通信の様子 -

イメージ 8
wscript.exe を悪用した実行ファイルのダウンロード処理

残念ながら、マイクロソフトが開発した正当なプログラムが悪用されている場合、セキュリティ製品はスリ抜けてしまいます。

開いた不正なファイル (Office ファイル、スクリプトファイル) の役割は、外部ネットワークに接続を試みて、ランサムウェアやトロイの木馬である実行ファイル (拡張子 .exe) をダウンロードしてきて起動しています。 <「ダウンローダー型トロイの木馬」

そんな外部通信を Windows ユーザーさんが自由に制御するセキュリティ機能が ファイアウォール です。

ファイアウォール で通信接続をあらかじめ遮断 (ブロック) しておく作業は、後を追うセキュリティ製品のファイルスキャンをらスリ抜けてしまうようなシチュエーションも何なりと回避できます。

Windows 10 ファイアウォールの設定でウイルス対策

ウイルスメール対策として Windows Vista/7/8/10 パソコンに標準で実装されている Windows ファイアウォール を設定しましょう。 <無料

イメージ 9

Windows 10 環境は Windows Defender ファイアウォール が稼働しているはずです。

もし、インストールしてある総合セキュリティソフトのファイアウォールが動作しているならば、そちらでプログラムの送信側 (アウトバウンド通信) をブロックする設定を行ってください。

以下は、Windows Defender ファイアウォール で設定する方法 3 ステップです。


【1】

次のいずれかの方法で、「セキュリティが強化された Windows Defender ファイアウォール」 を起動します。

  • Windows のスタートメニュー → 検索ボックスや [ファイル名を指定して実行...] で 「wf.msc」 と打ち込みエンターキー

  • Windows のスタートメーニュー → [すべてのアプリ] → [Windows 管理ツール] → 「セキュリティが強化された Windows ファイアウォール」 をポチッとな

  • Windows のコントロールパネル → 「Windows ファイアウォール」 → 左メニューの 「詳細設定」 をポチッとな


【2】

Windows ファイアウォールのウィンドウ画面の左側にあるツリー → 「送信の規則」 を選択 → 右クリックメニューから [新しい規則(N)...] をポチッとな

イメージ 11
セキュリティが強化された Windows ファイアウォール


【3】

「新規の送信の規則ウィザード」 が表示されるので、次のような規則を各プログラムごとに設定していきます。

どのプログラムを登録するかは、下の項目を参照してください。

イメージ 10
下部の[次へ(N) >]ボタンを押してステップを進める

【ファイアウォールの設定規則】
規則の種類 … [プログラム(P)] にチェックマークを入れる
プログラム … [参照(R)...] ボタンでプログラム (拡張子 .exe) を選択する
操作 … [接続をブロックする(K)] にチェックマークを入れる
プロファイル … チェックマーク3つのままで OK
名前 … 表示名を自由に指定する、説明は空欄のままで OK

これで Windows Defender ファイアウォールの右側にある送信の規則の一覧に反映されて、作業は完了です。

イメージ 4
設定されたアイコン

【ファイアウォールの設定 アイコンの意味】
グレー → 規則の設定の無効
斜線入り赤丸 → ファイアーウォールで外部通信の接続遮断
緑のチェックマーク → ファイアーウォールで外部通信の接続許可

Windows ファイアーウォールを活用したウイルス対策の強化術はセキュリティ対策としてオススメです。

  • 別のセキュリティ製品を追加で導入する必要性がなく費用0

  • Windows 10 の動作パフォーマンスが無駄に落ちる悪影響0

ウイルス対策にファイアフォールの接続ブロック例

筆者の ウイルスメール実例でのリアルな感染体験 を土台に、あらかじめファイアーウォールで外部通信をブロック遮断しておいたプログラムを挙げます♪ <ウイルス感染で悪用されうるシステムファイルの通信のみバシッと遮断

bitsadmin.exe
C:\Windows\System32\bitsadmin.exe
C:\Windows\SysWOW64\bitsadmin.exe
cmd.exe … コマンドプロンプト
C:\Windows\System32\cmd.exe
C:\Windows\SysWOW64\cmd.exe
certutil.exe
C:\Windows\System32\certutil.exe
C:\Windows\SysWOW64\certutil.exe
cscript.exe … スクリプト実行環境のコンソール版
C:\Windows\System32\cscript.exe
C:\Windows\SysWOW64\cscript.exe
mshta.exe
C:\Windows\System32\mshta.exe
C:\Windows\SysWOW64\mshta.exe
powershell.exe
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
regsvr32.exe
C:\Windows\System32\regsvr32.exe
C:\Windows\SysWOW64\regsvr32.exe
wscript.exe
C:\Windows\System32\wscript.exe
C:\Windows\SysWOW64\wscript.exe
WMIC.exe
C:\Windows\System32\wbem\WMIC.exe
C:\Windows\SysWOW64\wbem\WMIC.exe
msiexec.exe
C:\Windows\System32\msiexec.exe
C:\Windows\SysWOW64\msiexec.exe

使用する Windows OS が 32 ビット環境ならば 1 つ目のファイルパス (C:\Windows\System32\ ~) だけを登録し、現在のパソコン市場で主流となっている 64 ビット環境ならば両方のファイルパスを登録してください。
関連するブログ記事