園部研 > > > Lc|English|Ger|Fre|Spa|Por|Ita
【22世紀へ!園部研】
ポートを遮断しMSブラスト等のワームを防ぐ術 ポートを遮断しMSブラスト等のワームを防ぐ術  




 ワームはポートから忍び込む

 2003年8月,世界中でWindows 2000, Windows XP のコンピュータが勝手にシステムのシャットダウンを繰り返すという事態が発生しました.

 そのとき猛威を振るったのが,「MSブラスト」(MSBALST, エムエスブラスト,ラブサン,Lovsan, Lovesan, ブラスター,Blaster, Poza)や,
その派生種の「ウェルチア」(Welchia,Sachi, サチ,Welchi, ウェルチ,ナチ,Nachi, Nachi-A, Nachi.A, MSブラストD, MSBLAST.D, Lovsan.D)
その他(MSブラスト.B, MSBLAST.B, ブラスター.B,Blaster.B, Poza.C, Lovsan.c,Lovesan,ブラスター.C,Blaster.C, Blaster-B, Poza.B, MSBLAST.E, ブラスターE,Blaster.E, Blaster-E, MSBLAST.F, ブラスターF,Blaster.F, Blaster-F)でした.

 これらは,勝手に135番のポート(入口)からコンピュータに侵入し,Windowsの弱点すなわち障害MS03-026を突いて悪さをします.メールで感染するのではありません.
 これらはワーム型プログラムに分類されます.(ワーム(worm)とは自己増殖するタチの悪いプログラム.もとの意味はみみず.)

 さらに9月11日には,Windowsの別の弱点MS03-039「RPCSS サービスのバッファ オーバーランによりコードが実行される (824146)」も明らかになりました.
 ですから,135, 137, 138, 139, 445, 593のポートのどこかから侵入してこの障害を突いて悪さをするワームも増えると予想されています.
 2004年5月に100万台以上に感染したSasser(サッサー, WORM_SASSER.A, WORM_SASSER.B, W32.Sasser.Worm, W32.Sasser.B.Worm, W32/Sasser.worm, W32/Sasser.worm.b)もWindowsの脆弱性「MS04-011」を悪用しTCPポート445からはいってくるものです.

ポート,port

 ポート(port)とは,ネットワークの“海”からあなたのコンピュータの“国”にやってくるパケットという“船”が出入りする“港”のようなものです.
 パケット(packet)はインターネットを流れるデータの単位です.
 ポートは,Windowsなどのオペレーティングシステムの機能として,0, 1, 2, …, 65535という整数で管理されています.
 あなたのコンピュータも,ポートを一式もっています.

 それぞれのポートは,開いている(open)か閉じている(close)かのどちらかの状態です.
 HTTPやFTPといったさまざまなネットワークサービスは,送信側コンピュータの決められた番号のポートから,受信側コンピュータの決められた番号のポートにパケットを送って通信しています.
 ワームも送信元である加害者のコンピュータや,感染して踏み台にされた被害者のコンピュータからパケットを送ってきます.接続できるとパケットに“乗って”きて,コンピュータ内部の機能や弱点を使って悪さを働きます.
 受信ポートが閉じていると,送信元に拒否応答が返って接続が失敗します.



 ポートを遮断する

 そこで,MSブラストのようなワームなどの対策として,内部の弱点(障害)を修正することがもちろん必要ではありますが,あなたが使っていないポートを通るパケットを途中で遮断するという手法も効果的です.

 つまり,ネットワークとコンピュータの間でパケットを遮断(block)するフィルタを設けて,パケットがきて接続を要求してもポートごとに応答しないようにできます(後述のステルス状態).この場合,存在しないのと同様の状態に見えますから,悪意あるプログラムの度重なる攻撃をかわすのには最適です.

 ワームがどこかのポートからいったんコンピュータに侵入すると,自分で中からほかのポートを開いて,自分が中から外へ通信し,あるいは,外から悪いプログラムが通信することを可能とするものもいます.こうなるとファイルの書き換えでも操作のモニターでも勝手のし放題になります.

 コンピュータ内部のプログラムから,外のネットワークへの送信についても,ポートごとに遮断してしまえば,意図しない送信を食い止めることができます.

 もちろん,ポートを全部遮断したら正常な通信も一切できなくなってしまいますね.
 そこで,「何というアプリケーションプログラムからは何番のポートから何番のポートに送信/受信してよい」という最小限に絞った条件をあなた自身が設定することで,安全を図るわけです.
 
ポート,port

 この手法の利点や応用を見ていきましょう:
(1) ポートスキャン(どのポートが空いているか次々に試して弱点につけいってくる攻撃.scanとは走査のこと)も受け付けません.

(2) 世界中にいるウェルチアなどのワームが,乱数でアドレスを作ってはそれが動いているコンピュータに当たったかどうかと,ICMP(pingコマンド)という規約の通信を使って次々に探りをかけてきています.
 いまここにも,1時間に100回もの頻度で来ています.
 こんなワームも,あなたがポートを遮断していれば,このアドレスにはコンピュータはいないと思い込んで,あきらめるでしょう.

(3) ほかにも,トロイの木馬(加害者のサーバが被害者のコンピュータを,侵入させたプログラムであやつるもの),キーロガー(パスワードを含め,被害者の操作を勝手に送信させて読み出すプログラム),スパイウェア(勝手に個人情報やファイルを送信させて盗み出すプログラム),など,タチの悪いプログラムがあります.
 でも,これらが侵入したコンピュータから外部のコンピュータにこっそり送信をしようとしたときでも,その送信サービスのポートにアクセスできなければ,活動を食い止めることができます.

(4) ポートを遮断する手法は,まだ現れていない新種のワームやスパイウェアをほとんどポートのところで阻止できることも,大きな利点です.

(5) さらに,システムの障害修正をかけるのが何かの理由で失敗した場合でも,まずはこの術でワーム対策をしてしまうことで,安全な状態にできます:

  • あなたは,MSブラストの狙うWindowsの障害MS03-026の修正(パッチ)をかけようとして,「あなたのWindowsにはサービスパック(制御システムの修正の集積ファイル.SP)の何番がまだかかっていないからできない」というエラーになりませんでしたか?

     Windows 2000の場合,SP2以上がかかっていないとMS03-026の修正も,MS03-039の修正もかけられません=各ページ参照.
     そもそもWindows Update機能でかけようにも,SP2以上がかかっていないとこれらの障害が選択リストに出てこないのです.

  • 「DCOM(分散コンポーネントオブジェクトモデル)の無効化をすれば感染しないので回避策になる」というマイクロソフト社の情報を読んでそれをしようかと思ったけれど,「Windows 2000ではすでにサービスパックSP3以上を適用してないと無効化できない」,などと書かれているので愕然としたことはありませんでしたか?

  • それならとサービスパックをインストールしているときに,更新エラーになってインストールが失敗しませんでしたか?

    【日本語】
    Service pack 4 セットアップエラー
    システムの更新でエラーが発生しました

    【英語】
    Service pack 4 setup error
    An error updating your system has occurred. Select "OK"

     そのあと,ワームに感染していないのにコピー&ペースト(貼り付け)ができなくなった.
     回線接続を切る操作をしても切れなくなった.
     マイクロソフトのOffice製品を起動すると,

    「実行するにはアプリケーションをインストールする必要があります
    最初にこのアプリケーションをインストールした場所からセットアップしてください」

    というエラーになってそのとおりにしてもだめだった.
     MO(光磁気ディスク)が読めなくなった.
    という現象は出ていませんか?

  • 途中でワームに感染してしまい,再起動を繰り返してサービスパックや障害修正がかけられなくなっていませんか?


 そんなときにもまず,急いでポートを遮断する対処を行うとよいでしょう.
 そしたらあとは落ちついて,ネットにもつなぐことができので,ゆっくりと修正をダウンロードして掛け直すこともできるでしょう.

* サービスパックの危険性について *

 なんとWindows 2000のサービスパックを実施するとWindowsが起動しなくなってパソコンがだめになるアクシデントを,SP3, SP4と二度も体験されている人がおられます.みなさまリスクについては慎重にご判断ください.

 → ■我が家のPC、死亡(中妻 穣太さん=All About Japanセキュリティガイド)


 サービスパックの実施は,ネットワークからのダウンロードでは2度実施しても更新エラーが起こったのに,CD-ROMから実施するとなぜかうまくいった,という例があります.その場合,上記のOffice動かない, 回線切れない,コピー&ペーストできない,MO読めないといった現象がなぜか一挙に解消してしまいました.

(6) MSブラスト感染から復旧できない人もたくさんいるようです.詳細は不明ですがその記事の中に
「正しくパッチを適用していたコンピューターでさえ、ファイアーウォールで保護されていなかったためにブラスターの被害に遭ったケースもあり、混乱に輪をかけている。」
とあります.

(7) MS03-026, MS03-039などの重要障害を直した後も,未知のワームなどに備えるためには,ポートを遮断する対処をずっと継続していくほうが安全だと思います.


 お勧め手順

 そこで,お勧めする手順は次のとおりです:


園部研お勧め手順

 感染してしまったワームは駆除ツールで駆除する.

  *駆除ツールの例:→シマンテック社(無償駆除ツールの部分)

(本記事の手順のようにして)ポートを遮断する
(これで,ネットワークにコンピュータをつないでも,MSブラスト,ウェルチアに感染しなくなっています)

⇒最新のサービスパックをかける
(たとえばWindows 2000であれば今最新のSP4のCD-ROMを,マイクロソフト社から1,000円のオンライン販売で買えて(ユーザ登録含め1時間以内の手間),約2週間で郵送されます.
 → 詳細(マイクロソフト社Windows 2000 SP4).
 これなら,ネットワークにつながずにインストールできて,更新エラーも起こりにくいという長所があります.)


MS03-026MS03-039などの障害修正を行う.
「Windows Update」機能があなたのコンピュータで使えるなら,修正したい障害をチェックボックスで選んで実行すれば,より簡単にできます.





 防火壁がポートアクセスを遮断してくれる

 本記事では, SPF というソフトウェアを自分のコンピュータにインストールすることによって使わないポートを遮断する方法をご紹介します.

 ここでSPFと略して書いたのは,Sygate(サイゲート)社のPersonal Firewall(パーソナル ファイアウォール)(Sygate Personal Firewall, SPF)です.直訳すれば“個人用防火壁”ですね.

 Windows XPと,Windows 2003は「インターネット ファイアウォール機能」を内蔵していますので,SPFを使わないでそれを使うこともできます.
 → WindowsXPのファイアウォール機能を検証する(ITmedia),手順詳細(マイクロソフト社).

 なお,ファイアウォールのソフトウェアには,SPFのほかにも,


など,いろいろあります.

 ハードウェアのファイアウォール装置もあります.特徴は,通信性能やコンピュータの性能への影響があまりないこと,ファイアウォールが悪意のプログラムに破られにくいことです.
 ルータでファイアウォール機能を搭載したものがありますが,工場出荷時にはファイアウォール機能が十分に働かない設定になっている製品もあり,説明書を読んで設定しないと働かないということなので注意が必要でしょう.

 SPFは,もちろんソフトウェアゆえの欠点もありますが,(非商用利用の場合に)無料というのが魅力です.
 非熟練者にも使いやすく,熟練者には遮断と許可をきめ細かく指定できるのが便利です.OSは,Windows 2000 Professional, Windows XP ProfessionalおよびHome Editionのほか,Windows 95(OSR2 & OSR2.5), 98, 98SE, Me, NT4.0 (SP4以降), NT 4.0 Terminal Server(SP4.0以降),Windows 2000 Server, Advanced ServerおよびData Centerもサポートされています.

 【ご注意】コンピュータに複数のネットワークプロトコロルドライバがインストールされている場合,SPFは目立って性能低下の影響を及ぼす可能性がある,とReadmeファイルで説明されています.

 回線速度が気になる方は,導入後,回線速度測定サイト(speed.rbbtoday.comなど)で,(1) SPFを通常に働かせた場合と,(2) 終了(「File」⇒「Exit Firewall」)した場合と,で実効通信速度を比べておくとよいでしょう.かつてNorton Internet Security(NIS)2002のファイアウォール機能がWindows Meユーザで4Mbpsや1.2Mbps→0.4〜0.8Mbps,あるいは8Mbpsが2.5Mbpsといった大幅な通信速度低下を引き起こした,という何人かの指摘もあり,一般にファイアウォールが条件によって通信を遅くしないかには注意が必要でしょう.(なお,この問題は,NISのファイアウォール機能の無効化では直らないがアンインストールで改善した(記事No.579),また,インターネットエクスプローラの再インストールで改善したという情報(記事No.570)が載っていました).

 【ご注意】SPFには,運転しているうちにメモリの使用量が増えてしまう問題があることが体験上分かりました.
 この点,SPFの「つくり」がよくないですね.
 SPFのメモリ使用量は,Windows 2000, XPなどでShift-Ctrl-Escを押してタスク マネージャを開くと,プロセス欄のSmc.exeすなわち(欄がなければ表示(V)⇒列の選択(S)で選べばでます)で見えます.
 最初12MB程度だった仮想メモリサイズが380MBにも膨れ上がっていたこともあります.実メモリ(RAM)の使用量も,最初6MB程度だったものが,64MBにもなっていました.
 こんなに増えてしまいますと,実メモリの搭載が256MB以下のコンピュータでは,全体に処理速度低下が目立ってくる感じがします(512MB搭載すれば気にならない程度です).タスク マネージャで観察すると,常時76ページ/3秒のページフォルト(実メモリになかった部分をディスクから読み込むこと)が発生し,仮想メモリ使用量が単調に約2.8MB/Hの速度で増加するのが見えます.

SPF free download

 SPFが常時実メモリをほかのプロセスから奪いつづけるので,他のアプリケーションがいざ再び動こうとしたときにその実メモリの取り戻しに時間がかかるのでしょう.テキストの保存などが,ふだん0.何秒なのが10秒もディスクのアクセスをしてやっと終わるなど,重くてびっくりすることがあります.
 重くなりすぎた場合は,次のようにSPFを再起動すれば,実メモリが解放されるのでいったん直るようです(もちろんWindows再起動でも直りますが):

 回線切断(攻撃防止のため)⇒SPFの終了(下記手順)⇒SPFの起動(下記手順

 うーむ,それは面倒ですね…….

 以下,SPFを利用したポートの遮断のしかたをご説明いたします.

 本記事は,英語やネットワーク用語やWindowsの用語がよく分からなくてもSPFの設定が簡単にできるように,例も含めて丁寧に解説したいと思います.

 【おことわり】本記事は,SPF 5.1, 5.5に基づき,Windows 2000上で行った経験をもとに書きます.誤りあるいは損害に関して園部研は一切責任を負いませんので,ご自身でお確かめになりますようお願いいたします.

 
 1.SPFをインストールする

(1) あなたのコンピュータが,MSブラストやウェルチアなどに感染可能な状態の場合は,ダウンロードのためにネットワークにつないでいる時間(回線速度56Kbps以下で20分間〜70分間位)にも感染する危険があります.

 それも防ぎたいなら,Windows 95, 98, Meなどそれらのワームが感染しないコンピュータや,会社や友人の対策済みのコンピュータで,次項からの手順でspf.exeファイルをダウンロードして,メモリ媒体にコピーしてきて自分のコンピュータで実行する方が安全でしょう.

 ただ,6MB近くあるので普通のフロッピー1枚には収まりません.MO(光磁気ディスク)やフラッシュメモリなら大丈夫でしょう.

(2) サイゲート社のサイトに接続してSPFをダウンロードします.

 まず,下のリンクをクリックしてページを表示します.


米Sygate社……ここの左メニューの「DOWNLOAD & BUY」でも上記ページへ飛ぶ.)
(3) ダウンロード・購入のページが表示されますので「Sygate Personal Firewall」の「Free Download」(無料ダウンロード)をクリックします:

SPF free download

 もしクリックしても接続タイムアウトなどのエラーが起こって表示されないときは,サイゲート社のサーバが止まっていると思われるので,時間をおいてまたやってみます.米国時間で日曜日の夜間には保守で止まっているような気がします.
(4) SPFのダウンロードページが表示されます.「Download Now」をクリックします.

SPF download by CNET

 次の画面に進んだら,spf.exeをダウンロードする場所を適当に指定してOKをクリックします.もし止まってしまったときは,画面の「click here」の「here」をクリックします:

SPF download by CNET

(5) ダウンロードが終わりましたので次はインストールですが,ちょっと待ってください.
 インストールの前に,必ず他のアプリケーションを終わらせてください.

 特に,コンピュータウイルス対策ソフトや,他のファイアウォールソフト,パケット捕捉ソフト等は絶対に忘れずに終了させてください.
 さもないと送受信が全然できなくなるような障害にあう危険性が高いそうですから ……関連情報(SalBさん).

(終了方法は各ソフトによりますが,アイコンを右クリックして出るメニューにもし「終了(exit)」があればそれを左クリックします)

  • (Readmeによると)ひとつのコンピュータに,SPFのほかの個人用ファイアウォールも起動して複数起動した状態にするのは推奨されていません.SPFの導入を決めたら,他のZoneAlarmなどのファイアウォールソフトは起動しないように設定するか,できれば設定やログのコピーを元の場所以外にも保存する措置をとったうえでアンインストールしましょう.

  • Windows XP, 2003 Serverなどに標準で付いている前述のインターネット ファイアウォール機能についても,もしSPFを導入するなら無効にしておくことで併用を避けた方が,障害回避のためによいと思います(インターネット ファイアウォール機能のアンインストールはできないでしょうけれどそれはOK)

  • ルータ(装置)をお持ちの場合,ルータによる保護とこのようなファイアウォール(ソフトウェア)による保護とを併用するのは大変安全で好ましいと言われていますので,この記事では触れませんが,併用を追求してみてはいかがでしょうか.


(6) ダウンロードまたは媒体にコピーしてきたspf.exeファイルをダブルクリックして実行します.
 すると,SPFのインストールがはじまります.
 あとは画面の指示にしたがいます.

 Windowsの再起動が指示されたら,ほかのプログラムで作業中のファイルがあれば保存して,Windowsを再起動します.

(7) 途中,ユーザ登録(Registration)の画面が出ます.名前,電子メールアドレスを漢字を使わずに書いて「今すぐ登録(Register Now)」を押します.
 とりあえず「後で登録(Register Later)」にしても大丈夫です.その方がややこしくならなくておすすめです.  (設定が全部終わってからSPFが聞いてきた頃合いを見計らって,回線を接続して,ユーザ名,メールアドレスを入力して登録(Register Now)します.)

SPFユーザ登録画面




 2. SPFの起動と終了の方法

■ SPFの起動方法

「スタート」⇒「プログラム」⇒「Sygate Personal Firewall」⇒「Sygate Personal Firewall」

 メイン画面のウィンドウも開かれます.

 タスクトレイにSPFのアイコン(SPF icon)が出ます.

■ SPFのウィンドウの消し方

 ウィンドウ右上の「× window close」ボタンをクリックします.

または,

 SPFのメイン画面で,「File」⇒「Close」をクリックします.

 これでも,SPFはメモリに常駐していて,ポートの監視・遮断などを実行しています.

■ SPFのウィンドウの出し方

(1) SPFが実行されているときは,

 タスクトレイにSPFのアイコン(SPF icon)があるのでそれ右クリック⇒「Sygate Personal Firewall」を左クリック.

(2) SPFが実行されていないときは,上記の起動手順を行います.

■ SPFの終了方法

 タスクトレイのSPFのアイコン(SPF icon)を右クリック⇒「Sygate Personal Firewall」を左クリック.

または,

 SPFのメイン画面で,「File」⇒「Exit Firewall」をクリックします.

■ SPFの強制終了方法

 通常の方法で終了できない場合,OSがWindows NT,2000, XP, 2003などであれば,次の方法で強制終了させることができます:

 Shift-Contol-Escを同時に押す⇒起動されるタスクマネージャのプロセスタブをクリック⇒イメージ名でSmc.exeをクリックで反転⇒「プロセスの終了(E)」⇒タスクマネージャの警告に「はい(Y)」を答える.


■ 補足

 すると,


(SPFを終了させると機密保護エンジンが無効になりますが本当に終了してよろしいですか?)

と聞いてくるので,「はい(Y)」をクリックします.

・Windowsを起動するときにもSPFは自動的に立ち上がるように,上記手順で設定してあります.

・SPFを起動しても,

SPFアプリケーションエラー

の画面が出て起動できないときは,キャンセルをクリックし(クリックしなくても一定時間でダイアログが消えて起動処理は終わりますが),再度起動してみます.それでもだめならたぶんインストールが失敗しています.SPFの再インストールを試みてみることができます.SPFのアンインストールを実施します.



 3.全遮断・全許可の方法を知っておく

 SPFを

 「スタート」⇒「プログラム」⇒「Sygate Personal Firewall」⇒「Sygate Personal Firewall」

で起動すると,次のようなメイン画面が現れます:


 ここで,Securityをポイントすると,次の3つの状態のメニューが出ます.

spf security

 この意味は,

  • Block All(全遮断)=SPFで全部のネットワーク送受信を遮断するモード

    ……コンピュータウイルス,ワームに攻撃されているなど,とにかく一刻も早く送受信を遮断すべき緊急時にも使えます.
     ツールバーには全遮断ボタンもあります.

  • Normal(通常)=SPFの設定にしたがって通常処理するモード

    ……ふつうはこれにしておきます.そうでなければSPFを導入した意味がありません.

  • Allow All(全許可)=SPFとしては全部通すモード

    ……SPFの設定がうまくいかなくて使えないときには,全許可にすれば,SPFがないのと同じになります.
     また,何かのサービスがSPFに遮断されて動かない模様だけれどどのポートか分からないときは,これにしてみて,「Logs」⇒「Traffic Log」で,ポートを知ることができます.あとでNormalに戻すこと.

     Allow Allは,自分のコンピュータのポートはSPFを使わないときにいったい外部からどう見えているのかに興味があれば,その状態を診断してみるときにも使えます.

     Allow Allにしている期間は,SPFプログラム(Smc.exe)が動いていないときと同様,遮断が効いていないので,コンピュータウイルスやワームに注意しましょう.
     たとえば,MSブラスト,ウェルチアの対策をとっていないWindows 2000, XP, 2003 Serverマシンでは感染の危険がありますから,修正を行ってからにしましょう.


 これを知っておけば,いざというときに役立ちます.



 4.SPFのオプション設定をする

 では簡単に,SPFのオプション設定をしておきましょう.ここにも,セキュリティの守り方をどうするかの重要な選択があります.

 SPFのメイン画面で,

「Tools(ツール)」⇒「Options(オプション)」

をクリックします.

Features that are disabled hese are available in our award-winning and ICSA-certified Sygate Personal Firewall PRO.

 (「ここで利用できないようになっている機能も,賞を受賞しICSA認証も受けているサイゲート パーソナル ファイアウォール PROではご利用になれます.詳細情報を見るにはTel Me Moreボタンを,継続するにはOKボタンを押してください.」という宣伝)

の問合せが出たら,「Remember my answer, and do not show this message again(回答を記憶して今度から表示しない)」にチェックを入れて「OK」をクリックします.

 そして,以下の設定例を参考に,全部のタブ画面で設定を行い,「OK」をクリックします.
 自宅であってLANも使っていない場合であれば,まずは,以下に書いた細かい設定を読まないで,以下の各例の画面のとおり設定してもいいでしょう.意外に簡単です.

■General(一般)タブ:


- Hide Sygate Personal Firewall System Tray Icon(SPFのシステムトレイアイコンを隠す)には,SPFが起動されていることをいつでもアイコンで見ることができるようにして,また,送受信や攻撃された情報を見たいときアイコンのクリックで簡単に画面を出せるようにしたければ,チェックを入れます.

- Automatically load Sygate Personal Firewall service at startup(Windows起動時にSPFを自動的にロードする)には,その方が便利なのでチェックを入れます.

- Block Network Neighborhood traffic while screensaver mode(スクリーンセーバモード時に隣接ネットワーク,つまりWindowsでいう「ネットワークコンピュータ」内との送受信を全遮断する)にはチェックを入れます(LANでファイルやプリンタを共用していて,自分が離席していても他人が使うことを許すときはチェックを入れません).
 「ネットワークコンピュータ」の外のネットワークからのアクセスに全遮断になるのかどうかは,ヘルプから分かりませんでした.

- Hide notification messages(警告ポップアップメッセージを隠す)には,まだ慣れていないのでチェックを入れません.警告とは,「〜が〜にアクセスしようとしていますがどうしますか?」という趣旨の表示をして,「Yes」「No」を聞いてくる問合せです:



- Beep before notify(警告ポップアップメッセージを出す前にベル音を鳴らす)には,鳴ってもやかましくないと思えば,チェックを入れずにおきます.

- Password Protection(パスワード保護)には,もし他人も使う可能性があるコンピュータの場合,SPFの設定を他人に変更されないようにチェックを入れますが,そうでなければ,チェックを入れません.
■Netwark Neighborhood(ネットワークコンピュータ)タブ:


- Network Interface(ネットワークインタフェース)では,ネットワークコンピュータとして認識する接続のネットワーク接続名を選びます.会社でLANを使っていればそのLAN接続に使われている接続名を選べばいいと思われます.自宅などで,LANなどで「ネットワークコンピュータ」を特に意識しているのではない場合は,何を選んでいてもいいと思われます.

- Allow to browse Network Neighborhood files and printer(s)(自分のコンピュータからネットワークコンピュータのファイルおよびプリンタへのアクセスを許可)には,LANでその機能を使用している場合に限りチェックを入れます.

- Allow others to share my files and printer(s)(ネットワークコンピュータから自分のファイルおよびプリンタへのアクセスをさせる(共有する))には,LANでその機能を使用している場合に限りチェックを入れます.
■Security(機密)タブ:


 このタブ画面の中には,灰色になっていて,PROバージョンの製品でないために利用できない機能がいくつか含まれていますね.それらの説明はここではしません.

- Enable driver-level protection(ドライバ段階での保護を有効にする)にはチェックを入れます.
 こうすると,(トロイの木馬などの)プロトコルドライバがネットワークにアクセスしたときに,ちゃんと捕まえられます.

- Enable DLL authentication(ダイナミック リンク ライブラリ(DLL=Windowsアプリケーションが使う機能・データのリスト)の認証を有効にする)には,もしあなたがWindowsのDLLにあまり詳しい人でなければ,チェックを入れないでいいと思います.
 これは,警告がでたときにどうしていいか判断がつきにくいかもしれないからです.
 警告が出たときに,このDLLモジュールは本来結びついたもの,あるいは自分が変更したからOKであるとか,変更していないから悪さをされているとか判断して対応することになります.
 けれども,チェックすれば,情報漏洩の検出能力はノートンパーソナルファイアウォール(2002)よりも高まるので(→根拠…SalBさん),DLLに詳しい方はチェックを入れて運用するのもよいでしょう.


- NetBIOS Protection(ネットバイオス保護)には,自分のコンピュータと同じゲートウェイコンピュータにつながっている「サブネット」の外にあるコンピュータから送受信を全遮断するものです.会社のLANで他のコンピュータからのアクセスを許しているならチェックを入れられませんが,自宅のコンピュータの場合,ふつうはチェックを入れます.
 AOLやYahoo!BBなど(?…未確認)では,多数のユーザが広いサブネットに入れられているそうで,そのままでは他のコンピュータのファイルの読み書きができてしまうという怖い話もあり,ここでチェックを入れておくと安心です.
■E-Mail Nortification(電子メール通知)タブ:


- Do Not Notify(通知しない)にチェックを入れます.
 通知機能を使うと,自分のコンピュータが攻撃を受けたとSPFが判断したときに,指定されたアドレスに電子メールを送って知らせます.
 たとえば,会社のコンピュータが攻撃されたことを自宅や出先ですぐ知ることができるように,携帯電話の電子メールアドレスを登録しておくようなことができます.
 この機能を使うのは,SPFに慣れてきてからがいいでしょう.
 あまり短時間にたくさん通知してデータを詰まらせないよう,間隔を15分など適当に空けることが大切です.
■Log(ログ)タブ:


 各種のログの取得サイズ,保存期限を指定します.特に自分で調査する予定がなければ,初期値のままでよいでしょう.
 トラフィックログの容量を大きく取り過ぎると,表示に時間がかかってかえって使いにくく感じました.

- Capture Full Packet(全パケットを捕捉する)には,チェックを入れません.
■Updates(更新)タブ:


- Automatically check for new versions(新しいバージョンを自動的にチェックする)は,チェックを入れません.バージョンアップを早めに知りたいならチェックを入れます.

 以上で,SPFのオプション設定は終わりましたが,いったんSPFを終了させて,また起動してください.これは,Windows終了のタイミングでSPFの設定ファイルが消えてしまうような障害がたまにあるからです. …関連情報(SalBさん)

 × window close」ボタンをクリックしてもウィンドウが閉じるだけで,SPFのプログラム(Smc.exe)は動き続けます.SPFを終了させるには,「File(ファイル)」⇒「Exit Firewall(SPFプログラムを終了する)」をクリックします.
 本当に終了してよいか聞いてきたときには,「はい(Y)」を答えます.

 SPFを起動するには,「スタート」⇒「プログラム」⇒「Sygate Personal Firewall」⇒「Sygate Personal Firewall」をクリックします.



 5.アプリケーション単位で遮断設定をする

 ここでは,次のようなアプリケーションプログラムについて,アプリケーション単位で送受信を全遮断しましょう.

・利用しているブラウザ
(たとえば,インターネット エクスプローラ).
(遮断してしまって大丈夫かと疑問が湧いて当然ですが,あとで説明します.)

・ふだん利用していなくても起動できるブラウザ(たとえば,ネットスケープ派でもインターネット エクスプローラ).

  (以下の3個は最初から起動されていることでしょう)

・「LSA Excutable and Serever DLL (Export Version)」

・「Task Scheduler Engine」

・「NT Kernel and System」


 これをすれば全ポート送受信が遮断されますが,ブラウザの場合,上記のルールで送受信を許可する条件を例外的に指定しているので,通信できるようになるのです.

(1)  SPFメイン画面の表部分の右上に,Hide(隠す)チェックボックスがありますが,以下の設定をしている間はオフにしておくことで,実行中アプリケーションの一部の表示が隠されてしまわないようにします.


 上のチェックボックスのチェックを外します.

(2)  該当のプログラムを起動すると,SPFのメイン画面の下部のRunning Application(実行中アプリケーション)に載ります.

(3)   ブラウザと上記LSA…,Task…のそれぞれのアイコンで,右クリックして,「Block(遮断する)」をチェックします.するとアイコンは,進入禁止のマークになります.
 「Ask(尋ねる)」をチェックすれば,通信があるたびに毎回,遮断するか通過させるかをたずねてくるようになります.このときは疑問符になります.

 ほかに,アクセスさせたくないプログラム,たとえば,自分のコンピュータ上に設置したウェブサーバ(Apacheなど),考えられるものはこの方法で遮断するのが適切で,かなり安心になります.

 なお,次のアプリケーションの送受信は許す必要があるそうなので,遮断しないことにします:

・「Services and Controller app」

・「Generic Host Process for Win32 Services」

・「EnterNet」(あれば)


(4)  設定を行ったら,SPFのウィンドウを「× window close」ボタンまたは「File」⇒「Close」で閉じてかまいません.引き続き次に説明するルール設定をすることもできます.



 6.SPFのルール設定をする

 SPFのメイン画面で,

「Tools(ツール)」⇒「Advanced Rules(応用ルール)」


をクリックすると,次のような画面が出ます.これは最初は空です.


 この7ルールを全部設定(Add)することをお勧めします.

 Addボタンで追加します.修正はEditボタン,削除はRemoveボタンで行います.

 Addボタンをクリックすると,次の画面が出ます:



 いちばん下のボックスは面白い機能で,いまされている設定を文章にして説明するものです.英語なのが残念ですね

 あとで述べる「アプリケーション」タブでは,次のように,設定時にちょうど実行されているプログラム,および過去にSPFが認識した通信プログラムが,選択肢として出てくるようになっているようです:



 そこで,Addを行う前に,ふだん利用しているブラウザをすべて起動しておきます
 ブラウザには,Internet Explorer, Netscape, Opera, Mozilla, RealOne Player,その他があります.
 複数のバージョンを利用していれば両方起動しておきます.

 5個の各タブの画面について設定を行って,最後に「OK」をクリックすればそのルールが追加されます.

 以下,7個のルールそれぞれの設定例を掲載いたしますので,これを参考に設定しましょう.
 設定は一度に行わなくてもかまいません.

(1)
■General(一般)タブ
・Rule Description(ルール説明):
 「全ブラウザに送信を許可する」と記入する.
(この画面からコピー&貼り付けをすると楽になる.この説明欄の表記方法はユーザの自由.IME以外のかな漢字変換は働かないので,Alt-漢字を押して漢字を入力し,同じキーで戻す)
・Action(動作):
 「Allow this traffic(この送受信を許可)」にチェック
・Apply Rule to Network Interface(ネットワークインタフェースへのルール適用):
 「All network interface cards(全ネットワークインタフェースカード)」のまま変えないでよい.
・Apply this rule during Screensaver Mode(スクリーンセーバモード中本ルール適用):
 「Both on and off(スクリーンセーバがオンでもオフでも適用するルールである)」変えないでよい.
・Record this traffic in Packet Log(本ルールに影響されるトラフィックをパケットログに記録)
 チェックしないでよい.

■Hosts(ホスト)タブ
 「All Addresses(全アドレス)」のまま変えないでよい.

■Ports and Protocols(ポートとプロトコル)タブ
・Protocol
 「TCP」を選ぶ.
・Remote Ports Number(相手先コンピュータ側ポート番号)
 「21,70,80,81,443,1080,1081,1130,1180,8080,8081」を記入する.
 これ以外のポートを利用しているウェブサイトがないとは限らない.遮断していてアクセスできなかったときに,必要なら,ここに追加していくことになる.それが面倒なら,チェックは甘くなるが21-8081のように広く指定しておくこともいいだろう.
・Local Ports Number(自分の側ポート番号)
 「1024-4999」を記入する.
  (以前,先頭の「1」が抜けて024-4999と書いていたのを上のように訂正いたします.すみません,チェックが甘くなっていました.)

・Traffic Direction(送受信方向)
 「Outgoing(送信)」を選択する.

■Scheduling(スケジューリング)タブ
 (enable scheduling(スケジューリングを可能とする)にチェックを入れないまま)変えないでよい.

■Applications(アプリケーション)タブ
 FileName(ファイル名)で,ブラウザにチェックを入れる.たとえば,Internet Explorerを利用しているのであれば,Internet Explorerを起動してからSPFを起動することにより,または過去にそのように認識されたことで,このタブ画面で表示されるので,チェックを入れる
 同様に,次のようなブラウザを利用しているなら,起動しておいて登録する:Netscape,Opera,RealOne Playerなど.
  あとで追加することもできるので,ここで表示されていなければいったんOKを答えて設定しておいて,あとでブラウザを起動してからルールのEdit(修正)を行えばいい.

 OKをクリックして次のルール追加に進む.

(2)
■General(一般)タブ
・Rule Description(ルール説明):
 「全ブラウザに受信を許可する」と記入する.
・Action(動作):
 「Allow this traffic(この送受信を許可)」にチェック
・Apply Rule to Network Interface(ネットワークインタフェースへのルール適用):
 「All network interface cards(全ネットワークインタフェースカード)」のまま変えないでよい.
・Apply this rule during Screensaver Mode(スクリーンセーバモード中本ルール適用):
 「Both on and off(スクリーンセーバがオンでもオフでも適用するルールである)」変えないでよい.
・Record this traffic in Packet Log(本ルールに影響されるトラフィックをパケットログに記録)
 チェックしないでよい.

■Hosts(ホスト)タブ
 「All Addresses(全アドレス)」のまま変えないでよい.

■Ports and Protocols(ポートとプロトコル)タブ
・Protocol
 「TCP」を選ぶ.
・Remote Ports Number(相手先コンピュータ側ポート番号)
 「20」を記入する.
・Local Ports Number(自分の側ポート番号)
 「1024-4999」を記入する.
・Traffic Direction(送受信方向)
 「Incoming(受信)」を選択する.

■Scheduling(スケジューリング)タブ
 (enable scheduling(スケジューリングを可能とする)にチェックを入れないまま)変えないでよい.

■Applications(アプリケーション)タブ
 前記ルール(1)「全ブラウザに送信を許可する」と同様に設定する.すなわち──

 FileName(ファイル名)で,ブラウザにチェックを入れる.たとえば,Internet Explorerを利用しているのであれば,Internet Explorerを起動してからSPFを起動することにより,または過去にそのように認識されたことで,このタブ画面で表示されるので,チェックを入れる
 同様に,次のようなブラウザを利用しているなら,起動しておいて登録する:Netscape,Opera,RealOne Playerなど.
  あとで追加することもできるので,ここで表示されていなければいったんOKを答えて設定しておいて,あとでブラウザを起動してからルールのEdit(修正)を行えばいい.

 OKをクリックして次のルール追加に進む.

(3)
■General(一般)タブ
・Rule Description(ルール説明):
 「FTP送信を許可する」と記入する.
・Action(動作):
 「Allow this traffic(この送受信を許可)」にチェック
・Apply Rule to Network Interface(ネットワークインタフェースへのルール適用):
 「All network interface cards(全ネットワークインタフェースカード)」のまま変えないでよい.
・Apply this rule during Screensaver Mode(スクリーンセーバモード中本ルール適用):
 「Both on and off(スクリーンセーバがオンでもオフでも適用するルールである)」変えないでよい.
・Record this traffic in Packet Log(本ルールに影響されるトラフィックをパケットログに記録)
 チェックしないでよい.

■Hosts(ホスト)タブ
 「All Addresses(全アドレス)」のまま変えないでよい.

■Ports and Protocols(ポートとプロトコル)タブ
・Protocol
 「TCP」を選ぶ.
・Remote Ports Number(相手先コンピュータ側ポート番号)
 「21,1024-65535」を記入する.
(窓の杜など,ftp受信するときに,44xxxといった大きなポート番号が使われるサイトが多いそうようなので,このように65535まで許可しておく必要がある.)
・Local Ports Number(自分の側ポート番号)
 「1024-4999」を記入する.
・Traffic Direction(送受信方向)
 「Outgoing(送信)」を選択する.

■Scheduling(スケジューリング)タブ
 指定しないでよい.

■Applications(アプリケーション)タブ
 FileName(ファイル名)に,ウェブページのメンテナンスや他のコンピュータへのファイル送信に使っているFTPプログラム(FFFTP, CuteFTP,NextFTP, WS_FTP, FTP Explorer, WinFTP, SmartFTP, FTP.COM, FTP.EXEなど)があればそれをチェックする.

 また,ブラウザでFTPのアップロードをすることもあるなら,ブラウザプログラムもチェックしておく.

 OKをクリックして次のルール追加に進む.

(4)
■General(一般)タブ
・Rule Description(ルール説明):
 「FTP受信を許可する」と記入する.
・Action(動作):
 「Allow this traffic(この送受信を許可」にチェック
・Apply Rule to Network Interface(ネットワークインタフェースへのルール適用):
 「All network interface cards(全ネットワークインタフェースカード)」のまま変えないでよい.
・Apply this rule during Screensaver Mode(スクリーンセーバモード中本ルール適用):
 「Both on and off(スクリーンセーバがオンでもオフでも適用するルールである)」変えないでよい.
・Record this traffic in Packet Log(本ルールに影響されるトラフィックをパケットログに記録)
 チェックしないでよい.

■Hosts(ホスト)タブ
 「All Addresses(全アドレス)」のまま変えないでよい.

■Ports and Protocols(ポートとプロトコル)タブ
・Protocol
 「TCP」を選ぶ.
・Remote Ports Number(相手先コンピュータ側ポート番号)
 「20」を記入する.
・Local Ports Number(自分の側ポート番号)
 「1024-4999」を記入する.
・Traffic Direction(送受信方向)
 「Incoming(受信)」を選択する.

■Scheduling(スケジューリング)タブ
 指定しないでよい.

■Applications(アプリケーション)タブ
 FileName(ファイル名)に,ウェブページのメンテナンスや他のコンピュータへのファイル送信に使っているFTPプログラム(FFFTP, CuteFTP,NextFTP, WS_FTP, FTP Explorer, WinFTP, SmartFTP, FTP.COM, FTP.EXEなど)があればそれをチェックする.
 また,ブラウザでもFTPを使うことがあるので,ブラウザ類にチェックを入れる.たとえば,Internet Explorerを利用しているのであれば,Internet Explorerを起動してからSPFを起動することにより,または過去にそのように認識されたことで,このタブ画面で表示されるので,チェックを入れる
 同様に,ブラウザを利用しているなら,ブラウザでもダウンロードのときftp受信を使うので登録する:Netscape,Opera,RealOne Playerなど.
  あとで追加することもできるので,ここで表示されていなければいったんOKを答えて

 OKをクリックして次のルール追加に進む.

(5)
■General(一般)タブ
・Rule Description(ルール説明):
 「LSAを遮断する」と記入する.
・Action(動作):
 「Block this traffic(この送受信を遮断)」にチェック
・Apply Rule to Network Interface(ネットワークインタフェースへのルール適用):
 「All network interface cards(全ネットワークインタフェースカード)」のまま変えないでよい.
・Apply this rule during Screensaver Mode(スクリーンセーバモード中本ルール適用):
 「Both on and off(スクリーンセーバがオンでもオフでも適用するルールである)」変えないでよい.
・Record this traffic in Packet Log(本ルールに影響されるトラフィックをパケットログに記録)
 チェックしないでよい.

■Hosts(ホスト)タブ
 「All Addresses(全アドレス)」のまま変えないでよい.

■Ports and Protocols(ポートとプロトコル)タブ
・Protocol
 「TCP」を選ぶ.
・Remote Ports Number(相手先コンピュータ側ポート番号)
 空欄にする.
・Local Ports Number(自分の側ポート番号)
 空欄にする.
・Traffic Direction(送受信方向)
 「Incoming」を選択する.

■Scheduling(スケジューリング)タブ
 指定しないでよい.

■Applications(アプリケーション)タブ
 FileName(ファイル名)にあるはずの,「LSA Excutable and DLL (Export version)」)をチェック.

 OKをクリックして次のルール追加に進む.

(6)
■General(一般)タブ
・Rule Description(ルール説明):
 「TCP port 1028を遮断する」と記入する.
・Action(動作):
 「Block this traffic(この送受信を遮断)」にチェック
・Apply Rule to Network Interface(ネットワークインタフェースへのルール適用):
 「All network interface cards(全ネットワークインタフェースカード)」のまま変えないでよい.
・Apply this rule during Screensaver Mode(スクリーンセーバモード中本ルール適用):
 「Both on and off(スクリーンセーバがオンでもオフでも適用するルールである)」変えないでよい.
・Record this traffic in Packet Log(本ルールに影響されるトラフィックをパケットログに記録)
 チェックしないでよい.

■Hosts(ホスト)タブ
 「All Addresses(全アドレス)」のまま変えないでよい.

■Ports and Protocols(ポートとプロトコル)タブ
・Protocol
 「TCP」を選ぶ.
・Remote Ports Number(相手先コンピュータ側ポート番号)
 空欄にする.
・Local Ports Number(自分の側ポート番号)
 「1028」を記入する.
・Traffic Direction(送受信方向)
 「Both(送受信両方)」を選択する.

■Scheduling(スケジューリング)タブ
 指定しないでよい.

■Applications(アプリケーション)タブ
 チェック不要.

 OKをクリックして次のルール追加に進む.

(7)
■General(一般)タブ
・Rule Description(ルール説明):
 「UDP port 135 Windows messengerを遮断する」と記入する.
・Action(動作):
 「Block this traffic(この送受信を遮断)」にチェック
・Apply Rule to Network Interface(ネットワークインタフェースへのルール適用):
 「All network interface cards(全ネットワークインタフェースカード)」のまま変えないでよい.
・Apply this rule during Screensaver Mode(スクリーンセーバモード中本ルール適用):
 「Both on and off(スクリーンセーバがオンでもオフでも適用するルールである)」変えないでよい.
・Record this traffic in Packet Log(本ルールに影響されるトラフィックをパケットログに記録)
 チェックしないでよい.

■Hosts(ホスト)タブ
 「All Addresses(全アドレス)」のまま変えないでよい.

■Ports and Protocols(ポートとプロトコル)タブ
・Protocol
 「UDP」を選ぶ.
・Remote Ports Number(相手先コンピュータ側ポート番号)
 空欄にする.
・Local Ports Number(自分のコンピュータ側ポート番号)
 「135」を記入する.
・Traffic Direction(送受信方向)
 「Incoming(受信)」を選択する.

■Scheduling(スケジューリング)タブ
 指定しないでよい.

■Applications(アプリケーション)タブ
 チェック不要.

 OKをクリックして終了します.




 7. 警告が出たら


(1) 新アプリケーション認識のポップアップ

 SPFを走行させてWindowsを使っていると,ときに次のようなダイアログが画面中央に出てくることがあります:



(QuickTime Player というアプリケーションが,
 ウェブサイト qtpix.apple.com [IPアドレス 17.254.3.194]
 のポート 80番に接続しようとしています.
 このプログラムをネットワークに繋ぎますか?)

 これは,該当のソフトウェアが通信を実行しようとして,SPFのチェックにひっかかっているということです.

 SPFのルールで「Ask(尋ねる)」に設定した条件にマッチすると,この問合せが出ます.

 覚えがない場合は,まさに悪いプログムが外部と通信して,情報を流出させる,あるいは,悪いプログラムの本体をダウンロードしようとするなどの瞬間をとらえたのかもしれません.あなたは緊張して「No」を答えます.
 許可してよい場合は,以後たずねてきて欲しいかどうかでチェックボックスをチェックするかしないかして,「Yes」を答えます.

 何も考えずに「Yes」を答えてはSPFを入れた意味が薄まってしまうでしょう?
 スパイウェアやトロイの木馬が外部に秘密を漏らそうとしている瞬間に取り逃がしてしまうことになります.
 ですから,分からないときは安易に「Yes」を答えないで,「No」を答える習慣にしましょう.

 ……といっても,万一必要な通信が遮断されるとあなたが影響を被るのも確かです.ですから,安易に「No」を答えてもいけません

 「一体このアプリケーションは,どの依頼で何の通信をしたいのかな?」

ということを,一瞬頭を巡らして推理することが大切です.

 ソフトウェアはあなたがリンクをクリックしたときだけでなく,さまざまなときに通信を行っているものです.
 たとえば,MediaPlayer, RealPlayer, QuickTime, Winamp, AcobatReaderなどのソフトウェアが最新情報をサーバからもってこようとしているときや,ウイルス対策ソフトがウイルス定義ファイルをダウンロードするとき,ハーボット(ソニーが配布しているホームページロボット)がサーバと通信するとき,ウェブページに含まれていた広告がそのサーバとつなぐときなどです.

 「No」を答えた直後に起こる現象には,緊張して注意深く観察してください.悪いプログラムが黙り込むということであれば目的は達したことになります.そうでなく,あなたがしようとしていた作業が失敗してしまった場合,その作業に必要な通信を謝って遮断してしまったことになります.次回は「Yes」を答えることにして,その作業を再度行ってください.
   こうして,SPFはあなたと一緒に経験を積んで,だんだん賢くなっていきます.

 このダイアログで蓄積されるアプリケーションごとのルールは,SPFメイン画面の「Applications」ボタンを押して,見ることや変更することができます.

(2) プログラムが変化したという警告ポップアップ

 こういう警告が画面中央に出ることがあります.



(「プログラム名」(ここではウィンドウズアップデートの自動更新クライアント)はあなたが最後に使用して以来変更されています.
 最近あなたがこのプログラムを更新したならば,発生してよいことです.
「Detail」をクリックすれば詳細が表示されます.
 このプログラムがネットワークにアクセスするのを許可しますか?)

 表示されるアイコンはSPFのアイコンではなく,該当プログラムのアイコンなので,該当プログラムが何か言ってきたと誤解しないようご注意ください.
 この警告は,SPFの「チェックサム」(check sum)比較機能のために起こります.
 送受信するアプリケーションプログラムのファイルがコンピュータウイルス等に改変されられても,SPFはプログラムから一意に計算できるデータであるチェックサムを計算し記憶して,再度起動があったときに変わっていないか比較しています.
 プログラムのどこか一部でも変わった場合に,完全ではありませんが多くの場合に検出できるものです.

 あなたがそのアプリケーションのアップデート(新しいバージョンへの置き換えや,パッチの適用など)を行ったならば,理由がはっきりしているので「Yes」を答えます.
 怪しいなら「No」を答えます.

(3) 自動的に遮断したというポップアップ

 オプションのGeneral(一般)タブで設定してあれば,SPFが遮断するような送受信があった旨のメッセージがシステムトレイの近くに薄緑色のウィンドウで現れて,数秒間表示されます.チェックを入れる必要はありません.



(アプリケーションに遮断が作動中です.
 ファイル名はApache.exeです)



(ポートスキャン攻撃が記録されています)

 こられは,まさに攻撃を受けている状態を表しています.しかし,アクセスは遮断されているのでとりあえず安全ではあります.

 メール閲覧,チャット,ウェブ閲覧,広告閲覧,プログラムインストール・実行などに端を発して始まった攻撃を,SPFのおかげで遮断でき,また,ポップアップ警告で見ることができる機会が得られます.
 悪質または広がりそうな気配を感じたら,緊急にBlock All(全遮断)に切り替えて,SPFの各ログや最新のコンピュータウイルス情報を調べることです.

 攻撃を検出して色が変わり,ピカピカしているSPFのアイコン(SPF icon)をクリックしてSPFを起動します.
 セキュリティログやトラフィックログを見ると詳細が分かります.

 ログの中で特定の行で右クリックしてバックトレース(Back trace)させると,最初の発信元が最下段に出るので特定できます.そこで「whois(誰)」ボタンを押せば「いったいそいつはどこの誰が管理しているコンピュータなんだ?」が分かることがあります.




 上の例では,セキュリティログでコードレッドという名前のワームがTCPのポートに攻撃を行ってきた例です.バックトレースをして発信元が分かりました.

 ただ,悪意あるアクセスの発信元だからといってワームをばらまいた加害者とは限りません.単に加害者の加入しているプロバイダが出ている場合があります.また,ワームにのっとられた被害者のコンピュータかもしれません.勇み足で警告電話をかけませんように.

 もしかすると,警告が出たとき,あなたのコンピュータが既に乗っ取られて「踏み台」にされ,まさにほかを無差別攻撃しようとしている事態が起こっていないとも限りません.

 SPFといえども現在,将来のすべての悪質なプログラムを100%防げるわけではありません.
 あなたのルール設定の不完全さを突いて活動するやつもいます.
(たとえば,SPFメイン画面⇒「Tools(ツール)」⇒「Options(オプション)」⇒「Security(機密)タブ」⇒「Enable DLL authentication(ダイナミック リンク ライブラリの認証を有効にする)」にチェックがはいっていないとき,悪いDLLがあなたの信頼しているインターネット エクスプローラ経由で悪いアクセスをすることが可能です.)



 8. メール送受信

 以上の設定ではメールの送受信が遮断されてできないことがあります.
 そこで,送信が失敗しても困らないテスト用のメールを自分のメールアドレス宛に送信し,受信します.
 前項で説明した警告ポップアップが出たら,チェックを入れて「はい」を答えます.これによって,関連アプリケーションの通信許可がSPFに登録され,次回以降のメール送信が通るようになります.

 ここまでの準備でSPFは使えるようになりました.どうもお疲れさまでした.

 最後に,SPFプログラムを起動して,ウィンドウは閉じておきます(前述 SPFの起動と終了の方法).



 9.SPFの効果をテストする
(SPFを入れない人も診断してみましょう)

 診断は,あなたのコンピュータの外の信頼できるサイトからの疑似攻撃をして行います.攻撃といっても通信を試みるだけで悪さはしないということです.
 自宅でLANも使っていないコンピュータの場合はこれでよいのです.しかし,CATVや企業などのLANでは,そこで設置されたファイアウォールやプロキシ(proxy, プロクシ,串)セキュリティと効率化を目的に設置され,組織内部のコンピュータ群の代理となってインターネットと通信する中継コンピュータ)が間にはいった構成をとっている場合があります.
 その場合,疑似攻撃はその“おもての方の”ファイアウォール/プロキシに行われてしまい,あなたのコンピュータまで疑似攻撃が届かないかもしれません.
 そうすると適切な診断になりませんので,しない方がよいかもしれません.
 もしあなたの組織のネットワーク管理者が慣れていないと,あなたに問合せがくるかもしれませんね.
 では,診断サイト「シールズ アップ」を使って,次のように診断します:

(1) shields Up のサイトを表示します.「Poceed(開始)」ボタンを押します.

(2) ページの中ほどに,「ShieldsUP!! Services」(サービス)のボックスが見えます:

shields up


 以後,このボタンを押して診断しては,その結果に出てくる同じボックスのボタンで次の診断に進みます.
 シールズアップは有名な診断サイトであって,別に悪さをするものではありません.あなたのコンピュータのアドレスを認識してメッセージを出します.
 診断中,SPFは攻撃があったことを検出して,セキュリティログに,その事象を記録します.
 また,SPFのオプション設定で指定されていれば,タスクトレイに攻撃中を表す画像表示(shields up)をして,タスクトレイの近くにポップアップメッセージを数秒出します.

shields up


(3) まず,「File Sharing」(ファイル共有)を押します.

shields up


 すると診断画面になり,数秒で結果が揃うでしょう.
 マル1の「Attempting connection to your computer. . . 」
 (あなたの計算機に接続しようとしています)

のメッセージは,診断が終わっても出っぱなしですので気にしないでいいようです.

 その下に,
 「(-) Your Internet port 139 does not appear to exist!」
 (あなたのインターネットポート 139は存在しないように外からは見えます)

と出ていればまずOK,

 その下に,
  「(-) Unable to connect with NetBIOS to your computer.」
 (あなたのコンピュータにネットバイオスで接続することはできません)

と出ていれば合格.でもあなたが対策をしたことがなければ,接続できたと警告が出るでしょう.

(4) 次に,下のボタンのボックスで,「Common Ports」(よく使うポート)をクリックします.

shields up


 すると,診断画面になり,数秒で診断結果が出るでしょう.

 冒頭に総評として,赤いFAILED(不合格)か,緑のPASSED(合格)のどちらかの「スタンプ」がポンポンと押されます.

(合格/不合格とはあなたにとってのことです.ワームにとってのことではないのでご注意)
 その下の表が,各ポートの状態を表しています.
 赤いOpenが出ているところは,開いていて,ワーム侵入の危険があるところです.
 青いClosedの出ているところは,閉じていて,まず大丈夫ですが,ネットワークから存在が見えていますから,試される(絡まれる)懸念があります.
 MSブラスト ワームの突いてくる135番は開いていませんか?
 緑のStealth(ステルス)は,ネットワークに存在が見えないということで,開いているか閉じているかどうかも分かりません.全部のポートがこれになっていれば合格です.

(5) 次に,下のボタンのボックスで,「All service Ports」(全部のサービスポート)をクリックします.

shields up


 すると,診断画面になり,1分ちょっとでポート0からポート1055までの診断結果が出るでしょう.
 赤,青,緑は上記と同じ意味です.
 クリックすると,そのポートの説明が出ます.
 赤がなければ一応安全ですが,全部緑になれば合格でしょう.

(6) 次に,下のボタンのボックスで,「Messenger Spam」(迷惑メッセンジャー(メッセンジャー スパム))ボタンを押します.
shields up


 出てくる画面で,「Spam Me with this Note(ここに書いたことを私にスパムしてください)」という長いボタンを見つけます.
 そのボタンの上の入力ボックスを,何か適当なメッセージに入れかえて(日本語も可能),ボタンをクリックしてください.

messsenger spam button
(ここに書いたことを私にスパムしてください)



 この診断は,結果がその画面で通知されません.ほかの様子を観察してください.
 SPFに遮断されないと,次の例のようなウィンドウズ メッセンジャー(Windows Messenger)のポップアップウィンドウが出ます.

Messenger Spam


 出てしまった場合は,SPFの上記設定が正しくされていないためにUDPのポート135が空いてしまっていると思われます.
 一方,SPFに遮断されれば合格です.遮断された場合,上記のオプション設定にしたがって,何も表示されないか,タスクトレイの近くに遮断したというウィンドウが数秒間出るかになります.

 ネットワークの途中でエラーがあると簡単に消えてしまうタイプの通信なので,それを見込んで数通発信してきますので,何度も出るかもしれません.もし出るはずなのに出なかったら,もう一度試してみてください.

 メッセンジャー機能なんて使っていないのに,これを悪用して無差別に広告宣伝を送ってくる会社があるんですよね.これで静かになることでしょう.

 はい,以上でシールズ アップによる診断は終わりです.うまくいくと気持ちのよいものですね.
 あとでログを見たときに,自分による疑似攻撃だったことを忘れてビックリしないようにどうぞ.


 このほかに,「サイゲート オンライン サービス(SOS)」で診断することもできます.SPFのメイン画面で,

 「Tools」⇒「Test Your Firewall」

をクリックすると,S.O.S.というページがブラウザで表示されます.

 そこで「Scan Now」ボタンを押せば,これもやはり疑似攻撃によって診断が行われます.SPFはポートスキャン攻撃があったと認識して記録するでしょう.約1分10秒前後待たされます.次のように表示されれば成功です:

sos ok. Unable to determine your computer name! Unable to detect any running services!

(あなたのコンピュータ名が分かりません.実行中サービスをまったく検出できません.)

 この他にも,ページの左のメニュー(ステルススキャン,トロイの木馬スキャン,TCPスキャン,UDPスキャン,ICMP)の各診断が試せます.


 SPFで防御したときとしないときとで,結果を比較してみたくなりませんか.
 前に述べたSPFメイン画面のセキュリティ設定を,一時「Allow All(全許可)」に変えて上記診断をして比べてみましょう.
 ただし,MSブラストなどの重要障害の修正が終わっていない場合は,こうした許可をしてはいけません.短時間でも感染の恐れがあるからです.

spf security

 あとで「Normal」に戻すのをお忘れなく.



 10. 何かのプログラムが送受信できずエラーになったら

(1) 上記のSPFのオプションやルールの設定を見直します.

 「Enterasys Aurorean VPN」,「DirectPC」,「Winpopup」が動かない場合の対処はReadmeにあります.

(2) 必要ならルールを追加するなどして,制限を緩めます.

(3) 困ったらSPFのメイン画面の「Security(機密)」⇒「Allow All(全許可)」にしてみます.それで通ったら,Traffic Log(送受信ログ)を見て,どのアプリケーションがTCP/UDP/ICMPなどで何番のポートから相手の何番のポートに,送信したか受信したかということを見つけます.それを許すルールに変更して,また「Security(機密)」⇒「Normal(通常)」でモードを戻します.

 たとえば,SPF動作中にSmartCert(Sm@rtCert)というソフトウェアでキー情報をダウンロードしようとしたとき,Sm@rtCertが1〜2分通信しようとしたのち回線混雑やホストダウンというエラー表示をしてしまいした.
 その原因を信じて,1時間以上再試行してしまいましたが無駄でした.
 ふと気づいてSPFのトラフィックログを見るとその時刻TCPアクセスを遮断したという記録が残っていました.SPFのせいだったのですね.SPFは回線の一部と覚えましょう.
 ただ,Sm@rtCertのアプリケーション名が空のためこれを許すSPF設定が簡単にはできないため,仕方なくダウンロード時だけ全許可にしました.もちろんすぐに通りました.

(4) そのほかの情報として,[FAQ] インストール後ネットワーク通信ができなくなった(SalBさん)が助けになるかもしれません.

(5) その他のトラブル解決法や制限事項に関しては,Readmeファイルにあるほか,サイゲート社のサポートページ(英語),特にサポートフォーラム(英語)で事例を読んだり質問することができます.

(6) SPFの起動をやめるには,メイン画面の「Tools(ツール)」⇒「Options(オプション)」⇒「General(一般)」タブ⇒「Automatically load Sygate Personal Firewall service at startup(Windows起動時にSPFを自動的にロードする)」のチェックをはずします.
 そして「File(ファイル)」⇒「Exit Firewall(SPFプログラムを終了する)」をクリックします. × window close」ボタンでウィンドウは消えますが,終了しません.



 11. SPFの再インストールまたはバージョンアップ

 うまく動かないときや,Sygate社からSPFのバージョンアップされた版をダウンロードしたときの再インストール方法は次のとおりです.

(1) SPF,その他のアプリケーション(コンピュータウイルス対策ソフトや,他のファイアウォールソフト,パケット捕捉ソフト,その他)を終了させます.

(2) spf.exeをダブルクリックして開くと,再インストールがはじまります.

(3) じきに,

spf security
(SPFの旧バージョンが見つかりました.アップグレードを続けますか?)


と出ます.同じバージョンでもこのメッセージが出るのは変ですが,アンインストールされていなれば出るようですから,「OK」を答えます.

(4) 次に,

spf security

(今までの設定を継続して使いますか?)


と出ますので,通常は「はい(Y)」と答えます.

 いいえ(N)と答えてしまうと,オプション,応用ルール,アプリケーションの設定などが消えてしまうので,いちからやり直しになってしまいます.
 (ただ,SPFがエラーを起こすので再インストールで試すときは,その不便を覚悟して「いいえ」を試すこともできます.)

(5)  再インストールは短時間で終わり,Maintenance Complete(保守完了)と出ます:

spf security

(6) すぐに動作確認するには,「Launch Sygete Personal Firewall(SPFを起動する)」にチェックを入れます.

(7) バージョンアップだったのなら「View Sygate Personal Filrewall ReadMe(はじめにお読みください,を見る)」にもチェックを入れます.

(8) 「Finish(完了)」を押すとインストーラは終了します.

(9) (障害防止のために)ここでいったんWindowsを再起動しておくのがよいでしょう.


(10) (設定によりますが)SPFが自動起動されます.(設定によりますが)タスクトレイにSPFのアイコン(SPF icon)が出るので確認します.

(11) 「Application(アプリケーション)」ボタンを押して内容がはいっていればまずOKでしょう.

(12) ここで,動作確認をしてもいいでしょう.

(13) 起動されたSPFの「× window close」ボタンをクリックしてウィンドウを閉じます.

■ うまく動かなくて困っているときは,アンインストールをしてから再インストールするのも試すことができます.
 アンインストールをすると,すでにしてある設定や,過去に蓄積されたログが消えてしまうのかどうか私は知りません.それらのファイルは,あなたがSPFをインストールしたフォルダにあります.通常は「"C:\Program Files\Sygate\SPF\"」でしょう.



 12. SPFのアンインストール

 アンインストール方法は次のとおりです.

(1) まずSPFを終了させます(参考:前述のSPFの起動と終了の方法).

(2) 他のプログラム,とりわけウイルス対策ソフトウェアやパケット遮断プログラムは必ず停止させてください.さもない,思わぬ障害にあうかもしれません.

(3) SPF停止から2分以上たってから次に進みます.

(4) 「スタート」⇒「プログラム」⇒「Sygate Personal Firewall」⇒「Uninstall Sygate Personal Firewall」をクリックすると,アンインストールされます.

 アンインストールできない場合,[FAQ] 手動による完全なアンインストール(SalBさん)が参考になります.


【商標について】製品名,会社名等の固有名詞は各社の商標または登録商標である場合があります.

* 参考資料・関連リンク
  参考にさせていただきました.感謝いたします.

 ■ 本当は食べられるspamのはなし宮崎 豊久さん トンデモインターネット博物館
  ……愉快な語源.スパムってもともとスペシャルハムのことだったんだ

 ■ セキュリティについて説明するページ: Personal Firewall Review (SalBさん)
  ……特に,「Sygate Personal Firewall 5.0 index」のとても詳しいレビュー記事と,SPFにも使えるPFルール凡例集が,本記事と関連しています.

 ■ ファイアウォールAll About Japanインターネットセキュリティ.ガイド中妻さん
  ……ファイアウォールの貴重なリンク集です.本記事も掲載されました.

 ■ Sygate Personal Firewall(オンラインヘルプ)(英語)(Sygate社

 ■ SEのためのリンク集H&Yさん
  ……診断サイトや,個人用ファイアウォールへのリンクが豊富

 ■ ファイアウォール (リクルート社キーマンズネットシステム ネットワーク基礎とおさらい大事典)

 ■ ファイアウォールについて知るマイクロソフト

 ■ ペストカテゴリーPestPatrol・アークン社
  ……ワームをはじめ,約60種類ものネットワーク不正プログラムが一覧になっています.

 ■ PORT NUMBERS(ポート番号の意味一覧) (英語)(The Internet Assigned Numbers Authority

 ■ ポート番号(意味一覧)Koaraさん

 ■ 検索「"sygate personal firewall" 日本語化」 本記事では述べませんでしたが,SPFの英語表示の日本語化にご興味がある方のための検索です.日本語化をするとき,SPFのバージョンに完全に合ったパッチを適用しないとおかしくなると思いますからご注意ください.

 


  >>   園部研 順路   >>> 

                   
- Copyright © sonobelab.com, Masayuki Sonobe 2003-2017.
- 最終更新日 3067日前: 2009. 7. 2 Thu 19:19
- ページのアクセス数(2003.09.12〜) 00,121,134
- 園部研のアクセス数(2002.07.01〜) 10,235,411