賢く使って！パーソナルファイアウォール：セキュリティTips for Today（3）（2/3 ページ）

市販のウイルス対策ソフトには、外部からの悪意あるアクセスを制御する、パーソナルファイアウォールの機能がついています。今回紹介するTipsでは、そのパーソナルファイアウォールをさらにデキるように、ほんのちょっと手を加えます（編集部）

LINE

Hatena

注目すべきは著名なウイルスの「ある共通点」

　私が提案する対策とは、皆さんもすでにご存じの対策と思いますが、やはり基本に立ち返り、「パーソナルファイアウォール」を利用することです。この提案を聞いて、多くのセキュリティ管理者は、「な～んだ。その対策だったらすでに知っているよ」もしくは、「パーソナルファイアウォールを有効にしていても被害に遭って困っているのに」という方もいらっしゃるのではないでしょうか。

　そういう方にこそ、いま一度考えてほしいことがあります。本来、閉じることのできるポートを開放していませんか？ぜひ、この質問を自問自答してみてください。

　私が本記事を通じて提案したいことは、「賢くパーソナルファイアウォールを利用する」ということです。パーソナルファイアウォール機能は、現在のWindowsであれば標準で実装されていますし、当然、ほとんどのウイルス対策製品でも実装されている機能です。パーソナルファイアウォールの機能を十分に発揮し、適切なポリシーを持って運用すれば、絶大な効果が期待できます。

　ここで面白いデータがありますのでお見せしたいと思います。過去に多くの感染被害を与え、セキュリティホールを悪用して感染活動を行う主だったウイルスを下記に挙げてみました。


年	脆弱性	ウイルス名	攻撃ポート番号
2003年	MS03-026	WORM_MSBLAST （MSブラスト／ブラスター）	135/139/445
2004年	MS04-011	WORM_SASSER（サッサー）	445
2005年	MS05-039	WORM_ZOTOB（ゾトブ）	445
2006年	MS06-040	WORM_IRCBOT（IRCボット）	139/445
2008年	MS08-067	WORM_DOWNAD（ダウンアド）	139/445

　上記に挙げたウイルス以外にもさまざまなセキュリティホールを悪用するウイルスは存在しますが、ここで列挙したウイルスはその中でも多くの企業を苦しめた代表的なウイルスです。セキュリティ管理者の方々は記憶に残っているウイルスもあるのではないでしょうか。

　ここで挙げたウイルスの特徴として、ある共通点を見つけられます。その共通点とは、すべてのウイルスでポート「445」が攻撃ポートとなっていることです。このポート445とは、「ダイレクト・ホスティングSMBサービス」を提供しているポートです。このサービスは、ファイルやフォルダをネットワーク共有（ファイル／プリンタ共有サービス）する際に利用します。また、ネットワークプリンタとしてサービスを提供する際にも必要となるポートです（Windowsのバージョンによっては、ポート137／138／139を利用してファイルやフォルダをネットワーク共有することもできるため、この点も留意しておいてください）。

　ファイルやフォルダをネットワーク共有する最たる例は、ファイルサーバの利用時だと思います。ちょっとしたファイルから大容量サイズのファイルまで、あらゆるファイルを気軽に交換できる場をファイルサーバは提供しています。企業においてファイルサーバとは、いわば円滑なファイル交換を実現することで利便性向上はもちろんのこと、生産性向上も担っています。

　このように、企業にとってファイルやフォルダのネットワーク共有機能は需要が高いものになっているため、パーソナルファイアウォールを利用していたとしてもすべてのPC、サーバ上でこのサービスを提供するポートを開放していることが多く見られます。そこを逆手に取られ、手薄となっているポート445を攻撃するウイルスが企業内では甚大な被害を与えている要因となっています。

“賢く”パーソナルファイアウォールを活用する

　しかし、実際のファイルサーバの利用シーンを思い浮かべてみてください。多くの企業ではファイルサーバを設置していると思いますので、社員PC同士でネットワーク共有を行う必要はないはずです。

　また、セキュリティ管理部門が社員のPCをリモート管理したいというニーズもあると思いますが、そのような場合にはリモート管理する端末をあらかじめ決めておき、管理側の端末からのみアクセスを許可するといったように制限できるはずです。

　Active Directoryの利用環境でも同じです。昨今ではActive Directoryを構成する企業が増えていますが、そのActive Directoryを構成するサーバ群からのアクセスを許可しておけばよいのです。

　上記のような観点から考えると、ポート445も決して制限できないポートではありません。いま一度利用しているパーソナルファイアウォールの設定をご確認いただき、不要なポートが開放されていないか確認してみてください。自身のPCでファイルやフォルダのネットワーク共有をする必要のない場合には、それらのサービスを提供するポート（137／138／139／445）はすべて閉じることをお勧めします。セキュリティ対策を考えるうえで、ウイルス被害を局所化するという考え方は、とても重要になってきています。

　少々乱暴ないい方になってしまいますが、実際の企業におけるパーソナルファイアウォールの使用方法を見ても、すべての端末に同じポリシーを適用するのか、はたまたすべての端末に適用しないのかといったような、0か１かという極端な使われ方が目立ちます。そうではなく、ウイルス被害を局所化するという考え方に立ち返り、よりセキュアなポリシーを適用できる端末が存在する場合には適用していくというように、柔軟に活用することが「賢くパーソナルファイアウォールを利用する」という真意です。