初回投稿 2016/年6月25日

<無料>ウイルス対策を強化するWindowsファイアウォール設定3ステップ

Windows 10/11ファイアウォールでウイルス感染防ぐセキュリティ強化術。無料Windowsファイアウォール設定で powershell.exe、wscript.exe、mshta.exe 通信遮断ブロック対策。トロイの木馬、ランサムウェア、マルウェア、スパイウェア感染を低減で効果的。

Windows パソコンを狙ってコンピュータウイルス (マルウェア) を送り込む代表的な感染経路を 3 つが…

  1. ウイルス感染を意図する不正なEメール

  2. 実行ファイルのダウンロードと起動を誘惑されて自爆感染する
    迷惑ソフト
    海賊版ソフト、クラック、チートツール
    HoeflerText 偽フォント

  3. ネットサーフィン中に強制的にウイルス感染
    (ドライブバイ・ダウンロード攻撃)

このうち 1 番の経路で次のような被害が確認されています。

Windows パソコンに保存してあった写真、文書、圧縮ファイルが開けない!?
→ 破壊されたファイルを元に戻すため身代金を支払うよう要求する ランサムウェアの感染を狙ったEメール

以前から知っている取引先の企業から怪しいウイルスメールが届いた!?
→ 日本でも被害続出でメディアを騒がすトロイの木馬 Emotet の感染を狙ったEメール

ウイルスメールを受信する

不正なファイルをうっかり開いてしまった

そこで、Windows ユーザーさんが 「うっかり」 なヒューマンエラー (人為的ミス) を大前提に、Windows 10 & Windows 11 に実装されている Windows ファイアウォール を活用した無料ウイルス対策の設定を紹介しましょう。


Eメールのプレビューでウイルス感染!?

なお、受け取ったEメールで注意すべきは、添付ファイル あるいは 本文中の URL リンク です。

メールソフトの Microsoft OutlookWindows メールアプリ のユーザーさんは、プレビュー機能の影響でEメールを開くだけでウイルスが勝手に起動する ことはありません。 <そういう攻撃の手口が広く確認されたのは大昔

Eメール由来のウイルス! 危険な拡張子は?

ウイルスメールで注意スべき拡張子は?

古典的な 実行ファイル (拡張子 .exe) と スクリーンセーバー (拡張子 .scr) は注意スべき拡張子ではあるものの、不正なファイルとして目にする機会が増えたファイル形式を 2 つ挙げます。


〔1〕 Microsoft Office ファイル

Windows で影響があるウイルスとして、ファイルの拡張子 「.doc」 「.docm」 「.xls」 「.xlsm」 の 4 つに注意が必要です。

いわゆる、マクロウイルス と呼ばれる脅威です。





〔2〕 Windows スクリプトファイル

Windows に影響があるウイルスとして、ファイルの拡張子 「.js」 「.vbs」 「.wsf」 に注意が必要です。

イメージ 6
JavaScript ファイル (拡張子 .js)

イメージ 7
VBScript Script ファイル、Windows Script ファイル

正規プログラムを悪用するウイルス感染手口

攻撃発動の着火点は、Windows ユーザーさんが 不正なファイルをダブルクリックして開く ことです。

実際に、不正なファイルを踏み抜いた直後の Windows のプロセスの様子をフリーソフト 「Sysinternals Process Explorer」 のウィンドウ画面で紹介します。


《wscript.exe を悪用するマルウェア感染症例》

不正な Windows スクリプトファイルを開いた瞬間のスクリーンショット画像です。

イメージ 2
wscript.exe -> ***.exe


《mshta.exe を悪用するマルウェア感染症例

不正な .hta ファイルを開いた瞬間のスクリーンショット画像です。

イメージ 3
mshta.exe -> ***.exe

最初に開いた不正なファイルの動作は、外部ネットワークに接続して 緑色 で示した未知の実行ファイル (拡張子 .exe) をコッソリとダウンロードしてくる処理でした。

~ 外部ネットワークに接続する通信状況の様子 ~

イメージ 8
wscript.exe を悪用して不審な実行ファイルがダウンロードされてくる

マイクロソフトによって開発され、Windows に最初から組み込まれている正規プログラム (mshta.exe、wscript.exe、powershell.exed など) を悪用されると、セキュリティ製品からスリ抜けてしまうことで被害に繋がる確率が上昇します。

そこで、外部通信を Windows ユーザーが制御できる ファイアウォール を使い、外部通信の接続をあらかじめ遮断 (ブロック) しておくウイルス対策は、後を追うセキュリティ製品の防護層を確実に効果的に補完できてオススメです。

Windows ファイアウォールの設定で無料ウイルス対策

無料ウイルス対策として Windows 10/11 パソコンに標準で実装されている Windows ファイアウォール の出番です。

イメージ 9

もし、インストールしているセキュリティソフトのファイアウォールが動作しているならば、そちらでプログラムの送信側 (アウトバウンド通信、外部通信) を遮断する設定を行ってください。

以下は、Windows ファイアウォール で設定するウイルス対策の方法 3 ステップです。


【1】

次のいずれかで 「セキュリティが強化された Windows ファイアウォール」 を起動しましょう。

  • Windows のスタートメニューの検索ボックスや [ファイル名を指定して実行...] で 「wf.msc」 と打ち込みエンターキー

  • Windows のスタートメーニューの [すべてのアプリ] → [Windows 管理ツール] → 「セキュリティが強化された Windows Defender ファイアウォール」 をポチッとな

  • Windows のコントロールパネルの 「Windows Defender ファイアウォール」 → 左メニューの 「詳細設定」 をポチッとな


【2】

Windows ファイアウォールのウィンドウ画面が表示されて、左側に見えるツリーの 「送信の規則」 を選択 → 右クリックメニューで [新しい規則(N)...] 項目をポチッとな

イメージ 11
セキュリティが強化された Windows ファイアウォール


【3】

「新規の送信の規則ウィザード」 ウィンドウ画面が表示されるので、各プログラムごとに規則を設定していきます。

どのプログラムを登録するかは、下の 「ウイルス対策に効果的なファイアフォールのブロック設定」 項目を参照してください。

イメージ 10
下部の[次へ(N) >]ボタンを押してステップを進める

【ファイアウォールの設定規則】
規則の種類 … [プログラム(P)] にチェックマークを入れる
プログラム … [参照(R)...] ボタンでプログラム (拡張子 .exe) を選択する
操作 … [接続をブロックする(K)] にチェックマークを入れる
プロファイル … チェックマーク 3 つのままで OK
名前 … 表示名を自由に指定し、説明は空欄のままで OK

こうして、Windows ファイアウォールの右側に見える 「送信の規則」 の一覧に反映されて設定作業は完了です。

イメージ 4
設定されたアイコン

【ファイアウォールの設定 アイコンの意味】
グレー → 規則の設定の無効
斜線入り赤丸 → 外部通信が遮断されている
緑のチェックマーク → 外部通信が許可されている

ウイルス対策に効果的なファイアフォールのブロック設定

ウイルス感染で悪用されうる正規プログラムの通信だけバシッと遮断!

様々な ウイルスメール例の感染体験 に基づいて、ファイアーウォールを使って外部通信をあらかじめ遮断しておいた方が安心な正規プログラムを紹介します。

bitsadmin.exe
C:\Windows\System32\bitsadmin.exe
C:\Windows\SysWOW64\bitsadmin.exe
cmd.exe … コマンドプロンプト
C:\Windows\System32\cmd.exe
C:\Windows\SysWOW64\cmd.exe
certutil.exe
C:\Windows\System32\certutil.exe
C:\Windows\SysWOW64\certutil.exe
cscript.exe … スクリプト実行環境のコンソール版
C:\Windows\System32\cscript.exe
C:\Windows\SysWOW64\cscript.exe
mshta.exe
C:\Windows\System32\mshta.exe
C:\Windows\SysWOW64\mshta.exe
powershell.exe
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
regsvr32.exe
C:\Windows\System32\regsvr32.exe
C:\Windows\SysWOW64\regsvr32.exe
wscript.exe
C:\Windows\System32\wscript.exe
C:\Windows\SysWOW64\wscript.exe
WMIC.exe
C:\Windows\System32\wbem\WMIC.exe
C:\Windows\SysWOW64\wbem\WMIC.exe
msiexec.exe
C:\Windows\System32\msiexec.exe
C:\Windows\SysWOW64\msiexec.exe

各プログラムで実行ファイルを 2 つ挙げているけれど、Windows 64ビット環境には 「32ビット用」 「64ビット用」 の実行ファイルが存在するためなので、ちゃんと両方を登録しましょう。
関連するブログ記事