初回投稿 2016/年6月25日

<無料>Windows 10ファイアウォール接続ブロック設定でウイルス対策

Windows 7/8/10のファイアウォールでウイルス感染防ぐセキュリティ対策の紹介。無料Windowsファイアウォールの設定で powershell.exe、wscript.exe、mshta.exe の通信遮断ブロック方法。Eメール経由の添付ファイルからトロイの木馬、ランサムウェア、マルウェア、スパイウェア感染を防ぐ効果アリ。

Windows パソコンに保存しておいた写真、文書、圧縮アーカイブが開けない!?

破壊されたファイルを元に戻す名目で身代金の支払いを要求する ランサムウェアの感染を狙った迷惑メール や、日本でも被害のお話で一時期にメディアを騒がせたトロイの木馬 Emotet を送り込む不正なEメールが確認されています。

コンピュータ ウイルス感染経路 3 つのルートの中で、Windows ユーザーさんが 『ウイルスメールの受信 → 不正なファイルをうっかり開いた』 というミスをやらかすことを大前提に、ファイアウォールを活用して 感染失敗に終わらせる無料ウイルス対策を紹介しましょう。

  1. ウイルス感染を狙ったEメール
    └ 英語や日本語で書かれた不審メール

  2. ネットサーフィン中にサイトを閲覧するだけで強制的にウイルス感染
    (ドライブバイ・ダウンロード攻撃)

  3. 実行ファイルのダウンロードや起動を促されて自爆感染する
    └ 例 海賊版ソフトやクラックツールHoeflerText フォント


メールのプレビューでウイルス感染!?

なお、受け取ったメールで真っ先に注意すべきは、添付ファイル本文中のリンク です。

メールソフト Microsoft Outlook、Windows メールアプリ の利用者さんは、プレビュー機能によりEメールを単に開くだけでウイルスが勝手に起動して感染する ことは、まずありえません! <そういうウイルス感染手口が流行ったのは相当前

Eメール由来で危険なファイルの拡張子

ウイルスメールの添付ファイルとして、古典的な 実行ファイル (拡張子 .exe) や スクリーンセーバー (拡張子 .scr) が採用される機会は、(注意スべき拡張子として変わらないが) 以前より減っています。

その代わり、Eメール由来の不正なファイルとして添付される機会が増えた形式があります。


〔1〕 Windows スクリプトファイル … 拡張子 .js .jse .vbs .wsf

イメージ 6
JavaScript ファイル
(JScript Script ファイル)

イメージ 7
VBScript Script ファイル
Windows Script ファイル


〔2〕 Microsoft Office ファイル … 拡張子 .doc .docm .xls .xlsm

いわゆる、マクロウイルスのことです。





〔3〕 その他

ショートカットファイル … 拡張子は表示されない



HTMLアプリケーション … 拡張子 .hta

イメージ 5

Windows の正規プログラムを介したウイルス感染攻撃

これら不正なファイルは、ランサムウェアやネットバンキングウイルスそのものではありません。

Windows ユーザーさんが 不正なファイルをうブルクリックして開く ことで、攻撃処理が発動します。

実際に、不正なファイルを踏み抜いた直後の Windows のプロセスの様子を Microsoft のフリーソフト Sysinternals Process Explorer のウィンドウ画面で紹介します。


《wscript.exe を悪用したウイルス感染》

不正な Windows スクリプトファイルを開いた時の場面です。

イメージ 2
wscript.exe -> ***.exe

《mshta.exe を悪用したウイルス感染》

不正な .hta ファイルを開いた時の場面です。

イメージ 3
mshta.exe -> ***.exe

いずれも、緑色で示した実行ファイル (拡張子 .exe) が Windows PC に感染した瞬間のマルウェア本体です。


正規プログラムはセキュリティソフトをスリ抜ける

セキュリティ製品のファイルスキャンから一度でもスリ抜けるとヤバいです。

誰からもウイルス感染攻撃が妨害されることなく、被害へ一直線へと進む恐れがあります。<セキュリティ製品の振る舞い検出まで突破されたら終わり

一方、そのような場面では 外部ネットワークに接続する動作 が高確率で存在します。 ↓

イメージ 8
外部通信の様子で wscript.exe 介したファイルのダウンロード処理
→ ファイルの取得を阻止する絶好のチャンス

外部ネットワークに接続を試みて、ランサムウェアやネットバンキングウイルスの本体となる実行ファイル .exe をダウンロードしてきて起動する役目を持つ 「ダウンローダー型トロイの木馬」 という分類になります。

そんな外部通信を Windows ユーザーさんが自由に制御できるのが パーソナル・ファイアウォール であり、ファイアフォールの機能で通信を遮断ブロックしておく作業は、「保険」 の対策としてかなり有効です。

Windows ファイアウォールでウイルス対策

このウイルスメール対策は Windows Vista/7/8/10 パソコンに標準で実装されている Windows ファイアウォールWindows Defender ファイアウォール でも簡単に設定できます。 <無料

まず、Windows アクションセンター (セキュリティとメンテナンス) を開いて、稼働するファイアウォールの種類を把握しましょう。

Windows 10 環境で標準の Windows セキュリティ機能が動いているならば、Windows Defender ファイアウォール が稼働しているはずです。

イメージ 9

もし、インストールしてある総合セキュリティソフトのファイアウォールが動作しているならば、そちらでプログラムの送信側 (アウトバウンド通信) をブロックする設定を行ってください。

以下は、Windows ファイアウォールでの設定方法を解説します。


【1】

次のいずれかの方法で、「セキュリティが強化された Windows ファイアウォール」 あるいは 「セキュリティが強化された Windows Defender ファイアウォール」 を起動します。

Windows のスタートメニュー → 検索ボックスや [ファイル名を指定して実行...] で 「wf.msc」 と打ち込みエンターキー

Windows のスタートメニュー → [すべてのプログラム] → [Windows 管理ツール] → 「セキュリティが強化された Windows ファイアウォール」 をポチッとな

Windows のコントロールパネル → 「Windows ファイアウォール」 → 左メニューの 「詳細設定」 をポチッとな


【2】

Windows ファイアウォールのウィンドウ画面の左側にあるツリー → 「送信の規則」 を選択 → 右クリックメニューから [新しい規則(N)...] をポチッとな

イメージ 11
セキュリティが強化された Windows ファイアウォール


【3】

「新規の送信の規則ウィザード」 が表示されるので、次のような規則を各プログラムごとに設定していきます。 (どのプログラムを登録するかは下の項目を参照)

イメージ 10
下部の[次へ(N) >]ボタンを押してステップを進める

【ファイアウォールの設定規則】
規則の種類 … [プログラム(P)] にチェックマークを入れる
プログラム … [参照(R)...] ボタンでプログラム (拡張子 .exe) を選択する
操作 … [接続をブロックする(K)] にチェックマークを入れる
プロファイル … チェックマーク3つのままで OK
名前 … 表示名を自由に指定する、説明は空欄のままで OK


【4】

「セキュリティが強化された Windows ファイアウォール」 の右側にある送信の規則の一覧リストに設定が反映されて、設定作業は完了です。

イメージ 4
設定されたアイコン

【ファイアウォールの設定 アイコンの意味】
グレー → 規則の設定の無効
斜線入り赤丸 → ファイアーウォールで外部通信の接続遮断
緑のチェックマーク → ファイアーウォールで外部通信の接続許可

ファイアーウォールを活用したウイルス対策は、「新たに別のセキュリティ製品を追加で導入する必要なし」 「Windows の動作パフォーマンスが落ちる影響なし」 というメリットだらけで、セキュリティ対策としてオススメです。

ウイルス対策にファイアフォールで接続ブロック例

ブログ筆者の ウイルスメール実例でのリアルな感染体験 を土台に、あらかじめファイアーウォールで外部通信をブロック遮断しておきたいプログラムを挙げましょう♪ <システムファイルの悪用をバシッと防ぐ

bitsadmin.exe
C:\Windows\System32\bitsadmin.exe
C:\Windows\SysWOW64\bitsadmin.exe
cmd.exe … コマンドプロンプト
C:\Windows\System32\cmd.exe
C:\Windows\SysWOW64\cmd.exe
certutil.exe
C:\Windows\System32\certutil.exe
C:\Windows\SysWOW64\certutil.exe
cscript.exe … スクリプト実行環境のコンソール版
C:\Windows\System32\cscript.exe
C:\Windows\SysWOW64\cscript.exe
mshta.exe 【ブロック推奨】
C:\Windows\System32\mshta.exe
C:\Windows\SysWOW64\mshta.exe
powershell.exe 【ブロック推奨】
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
regsvr32.exe
C:\Windows\System32\regsvr32.exe
C:\Windows\SysWOW64\regsvr32.exe
wscript.exe 【ブロック推奨】
C:\Windows\System32\wscript.exe
C:\Windows\SysWOW64\wscript.exe
WMIC.exe
C:\Windows\System32\wbem\WMIC.exe
C:\Windows\SysWOW64\wbem\WMIC.exe
msiexec.exe
C:\Windows\System32\msiexec.exe
C:\Windows\SysWOW64\msiexec.exe

使用する Windows OS が 32 ビット環境ならば 1 つ目のファイルパス (C:\Windows\System32\ ~) だけを登録し、現在のパソコン市場で主流となっている 64 ビット環境ならば両方のファイルパスを登録してください。
関連するブログ記事