少し前にzlkonやgumblarというウィルス(マルウェア)が流行しました。一般のサイトが不正なアクセスにより書き換えられ、そのサイトの閲覧者がウィルス感染してしまうというものです。ウィルス感染処理はそのサイト内で完結しているわけではなく、犯人が用意した感染用サイトに誘導されることで行われます。
今後も、同種の新しいウィルスが猛威を振るうことが考えられますが、感染用サイトとの通信を遮断してしまうのが感染防止の一番確実な方法です。
具体的な感染用サイトのドメイン名やIPアドレスはネットを検索すれば見つかりますが、ここではジャストシステム社のKaspersky Internet Security 2009(KIS2009)で特定のサイトとの通信を遮断する方法を紹介します。その方法はかなりわかりにくい上に、現時点でヘルプやサポートFAQにも記載されていません。細かくキャプチャした画像を使って、わかりやすく解説しています。また、勘違いが危険な方に振れてしまうという重要な注意点についてもまとめてありますので、最後までお読みください。
尚、通信を遮断すると、仮にブラウザでサイトにアクセスしても何も表示されなくなります。
初めに、スタートメニューからメイン画面を開きます。タスクトレイのアイコンをクリックしても構いません。
 |
 |
| (1) 画面右上の<設定>ボタンを押して、設定画面を開きます。 | メイン画面の「システム監視」中のファイアウォールのパケットルールの<設定...>をクリックすると、 設定画面を経由せずに直接(3)のアクセスルール設定画面を開くことができます。 |
 |
 |
| (2) 設定画面左部の「システム監視」を選択して、右部ファイアウォールの<設定...>ボタンを押します。 | (3) アクセスルール設定画面が表示されます。パケットルールタブが表示されているはずですが、もしも表示されていなければ自分で選択してください。そして左下の<+追加>をクリックします。 |
 |
 |
| (4) パケットルール設定画面が表示されるので、まず処理欄から「遮断」を選択します。 | (5) 次にネットワークサービス欄の<+追加>をクリックします。 |
 |
 |
| (6) ネットワークサービス設定画面が表示されるので、わかりやすい名前を入力します。 それから通信方法に「送受信」を選んだ後、<OK>ボタンを押します。 | (7) パケットルール設定画面に戻るので、ネットワークサービス(例では「blacklist」)が追加されて選択されていることを確認します。 その後、ネットワークアドレス欄の「ネットワークアドレスを設定」を選択します。 |
 |
 |
| (8) パケットルール設定画面左下の<+追加>をクリックします。 | (9) ネットワークアドレス設定画面が表示されるので、わかりやすい名前を入力します。 それからリモートアドレス欄の<+追加>をクリックします。 |
 |
 |
| (10) ここではドメイン名かIPアドレスを入力します。例では、ドメイン名の「gumblar.cn」を入力しています。 そして<OK>ボタンを押すわけですが、ドメイン名を入力した場合は、KIS2009がDNSにアクセスしてアドレスを取得できるようにネットに接続しておきます。 |
(11)
ネットワークアドレス設定画面に戻ると、IPアドレスが取得されていることがわかります。
実際は、この画面に戻る間に取得中の進捗表示が行われます。 その後、<OK>ボタンを押します。 |
 |
 |
| (12) パケットルール設定画面に戻るので、ネットワークアドレス(例では「gumblar.cn」)が追加されて選択されていることを確認します。 確認したら<OK>ボタンを押します。 |
(13)
アクセスルール設定画面に戻るので、今回の設定がパケットルール一覧の最後に追加されていることを確認します。
後は<OK>ボタンを押し、設定画面も |
感染用に用いられているサイトのIPアドレスが一つに固定されておらず、一定の範囲内で変動する場合があります。
例えば「94.229.65.160 - 94.229.65.191」の範囲内で変動する場合には、これら全てのIPアドレスを遮断しなければなりません。
しかし、KIS2009では、このような範囲指定をサポートしていません。
かといって、一つ一つのIPアドレスを指定していくのは大変です。
そこで、直接的な範囲指定よりは面倒ですが、CIDR(サイダー)という形式で指定することにします。
厳密にCIDRと言えば実際に組織に割り当てられているネットワークアドレスを指すのですが、KIS2009では範囲指定の方便としてCIDR表記を利用しているようです。
おそらく、「94.229.65.160/27」というCIDR表記をKIS2009内部で「94.229.65.160 - 94.229.65.191」に変換しているのでしょう。
実際の操作は次のようになります。
 |
(1)
まず、IPアドレス範囲からCIDR表記を得る必要がありますが、ここではIPアドレス変換計算というフリーソフトを使います。 詳細は、CIDR取得方法紹介ページをご覧ください。 |
 |
(2) 上記「特定のサイトとの通信を遮断する方法」に従って操作を行います。 ドメイン名かIPアドレスを入力する場面で、(1)で取得したCIDR表記を用いて入力します。 |
 |
(3) ネットワークアドレス設定画面に戻ると、入力したCIDR表記でIPアドレスが指定されていることがわかります。 |
KIS2009のパケットルール設定画面でネットワークアドレスを指定する際には注意すべき点があります。 それは、ネットワークアドレスは一つしか指定できないということです。 具体的に見ていきましょう。
 |
遮断すべきIPアドレスが多いので、IPアドレスの最上位バイトで分類してグループ化しながらネットワークアドレスを設定することにしました。左記の例は、60番台のIPアドレスをKIS2009のネットワークアドレスとして設定したものです。 同様にグループ化の例として、gumblarなどのウィルスサイトを「virus」、反社会的な内容のサイトを「asocial」などと分類してネットワークアドレスを設定するようなケースも考えられます。 |
 |
パケットルール設定画面左下の<+追加>をクリックしてIPアドレスのグループを追加していく作業を繰り返した結果、「IP50」「IP60」「IP70」などの名前のネットワークアドレスが出来上がりました。 後はパケットルール設定画面を<OK>ボタンで閉じるだけと考えがちですが、それは誤りです。 パケットルール設定画面では、一つしかネットワークアドレスを選択できないからです。 この操作は、ネットワークアドレス欄のすぐ上にあるネットワークサービスと同じと言えますが、<ネットワークアドレスを設定>にチェックをしてから一覧に追加していくので、追加したもの全てが有効になると勘違いしても不思議ではありません。しかも、ネットワークアドレス設定画面では複数のリモートアドレスを指定できるので尚更です。 |
 |
パケットルール設定画面で追加したネットワークアドレスの数だけパケットルールを作成していった結果、左記の画像のようになります。 パケットルール設定画面ではネットワークアドレスを一つしか選択できない、という事実に気付かなければ、追加したネットワークアドレスの大部分が働いていない状態になってしまいます。しかも、気付くチャンスは、アクセスルール設定画面のネットワークアドレス表示だけです。 勘違いが危険な方に振れてしまうという、悪いユーザーインターフェースの見本のような設計です。 |