WFP (Windows Filtering Platform) で通信遮断 (新型32ビット版「UsaMimi32.exe」および64ビット版「UsaMimi64.exe」用)
概要・注意事項・基本操作
●概要| 当機能は、Windowsに実装されている「Windows Filtering Platform
(WFP)」という仕組みを用いて、アウトバウンドフィルタリング(エグレス制御)を行います。具体的には、指定したプロセス(群)の、ネットワークへの接続と送信を遮断する機能であり、遮断するプロトコル、ポートおよびIPアドレスを指定可能です。 当機能は、Windowsに付属するMicrosoft Defenderファイアウォールを直接操作するような処理は行いません。 当機能の実行環境はWindows 7以降ですが、セキュリティ上の問題から、Windows 7といった古いWindows OSのPCをネットに繋ぐことはお勧めしません。 当機能を使用するには、当ソフトウェア「うさみみハリケーン」を管理者権限で起動させておく必要があります。 当機能での遮断、すなわちシステムへの遮断用フィルターの追加は、任意のタイミングで行えます。対象プロセスの起動時から接続を遮断したい場合は、プロセスIDではなく実行ファイルのパスを指定して、対象プロセスの起動前に遮断用フィルターを追加することで対処可能です。 当機能は、解析対象プロセスのネットワーク関連の挙動を観察できる、「ETW (Event Tracing for Windows) で挙動解析」機能との併用を想定してます。また、うさみみハリケーンには、全プロセスを対象とするプロセスモニター「猫原喜雨」さんを同梱していますので、必要に応じて併用することをお勧めします。これらは通信に用いられたポートやIPアドレスおよび、起動した子プロセスなどを記録できるため、当機能にこれらを併用することで、対象プロセスあるいは子プロセスの、不審な通信を検知およびコントロールすることが可能になります。 システムに登録されているWFPフィルターの一覧は、管理者コマンドプロンプトから「netsh wfp show filters」で、カレントフォルダにファイルとして出力可能です。 |
●注意事項
| 当機能の画面を閉じるあるいは、うさみみハリケーンを終了しても、追加した遮断用フィルターを削除していなければ、そのまま遮断が継続するうえ、Windows再起動後も遮断用フィルターが再適用されます。 当機能では、不測の深刻な事態が生じることを避けるため、当機能で追加した遮断用フィルターのみ削除できるようにしています。ちなみに、当機能で追加した遮断用フィルターは、当機能あるいはWFP関連の特殊なソフトウェアを用いないと削除できません。 当機能による遮断は、条件の指定内容によっては、各種セキュリティソフトとの競合が発生する可能性があります。 うさみみハリケーンを複数起動して、各うさみみハリケーンでの当機能を同時に使用すると、処理の競合による動作不具合が生じる可能性があります。 当機能による遮断は、WFPを用いた遮断で一般的には気づかれにくいといえます。しかしながら、EXEファイルのパス情報を基に対象プロセスを指定しており、実行環境のパソコンを操作できる者にとっては回避も可能です。そのため、ペアレンタルコントロール的な利用時には注意が必要です。ちなみに、対象プロセスの起動を阻止するならば「Image File Execution Options(IFEO)」レジストリを使用する手法があり、子ども、生徒および社員・職員用パソコンにおける、標準ユーザーの不適切な使用を防止する用途が考えられます。 当機能による遮断は、必ず自己の責任において行ってください。送信が遮断される状況を対象プロセスが想定していない場合、対象プロセスの異常動作を招く可能性があります。 当機能はWFPの仕様により、URLDownloadToFile関数によるファイルのダウンロードを遮断できません。ただし、同関数の呼び出し時には、ダウンロードしたファイルの作成と書き込みが行われるため、「ETW (Event Tracing for Windows) で挙動解析」機能で、同ファイルの作成と書き込みを検出可能です。 不測の深刻な事態を避けるため、当機能をウイルス対策ソフト/EDR/SIEM等のセキュリティソフトのプロセスには使用しないでください。 |
●参考スクリーンショット
 |
●基本的な操作の流れ
| ■遮断対象プロセスの指定 まず遮断対象プロセスのPID(プロセスID)を指定します。あらかじめ、当機能の起動時に解析対象プロセスのPIDを入力しています。 遮断用フィルターは、EXEパスが同じ全てのプロセスに適用されることから、最初からEXEファイルのパスで指定することもできるようにしています。この場合、「参照」ボタンでEXEファイルのパスを取得できます。 ■遮断詳細条件の指定 必要に応じて、「遮断するプロトコル」、「遮断するポート番号」および「遮断するIPアドレス」を指定します。 「遮断するプロトコル」は、TCPやUDPなどを指定できますが、通常は初期設定で問題ありません。 「遮断するポート番号」は、特定のポートのみ遮断したい場合に指定します。主要なポートはドロップダウンリストから選択できます。 「遮断するIPアドレス」は、特定のIPアドレスのみ遮断したい場合に指定します。指定はIPv4とIPv6のどちらの形式で入力しても対応可能です。 これらのポート番号やIPアドレスを変えながら遮断用フィルターを追加していくことで、複数のポート番号やIPアドレスを遮断することも可能です。 「左に入力したIPアドレスからドメイン名を取得」ボタンで、入力したIPアドレスをドメイン名に変換することができます。 ■遮断用フィルターの追加と削除 当機能では、「フィルター No.1」などのフィルター番号を設定し、完全に独立した8つのグループに分けて、遮断用フィルターの追加や削除を行えるようにしています。これにより、8つの異なる条件のフィルター群を追加することが可能です。また、8つのグループから操作対象のフィルター番号を正しく選択することで、遮断用フィルターの誤削除といった誤操作を回避できます。 「フィルター No.1:」などフィルターの番号を選択してから、「上の指定条件で接続遮断用フィルターを追加」ボタンで遮断用フィルターをシステムに追加します。 また、フィルターの番号を選択してから、「追加した全ての接続遮断用フィルターを削除」ボタンで、選択されたフィルター番号で追加された全ての遮断用フィルターを一括削除します。この一括削除では、Windows前回起動時に追加といった、過去に当機能で追加して削除していない遮断用フィルターも、併せて一括削除を行うことが可能です。あらかじめ、削除する遮断用フィルターのフィルター番号を選択しておくことに注意してください。 ■リスト上の操作 遮断用フィルターの情報を表示するリスト上では、フィルターIDが記載された、遮断用フィルター追加情報の項目をダブルクリックすると、その遮断用フィルターを個別に削除します。この操作は、64ビット版「UsaMimi64.exe」で行うことができます。 また、このリスト上では、項目を右クリックすると、その項目の文字列をクリップボードにコピーします。 ■その他の操作 「ヘルプを表示」ボタンでこのヘルプを表示します。 「挙動解析用イベントトレース機能を起動」ボタンで、うさみみハリケーンが実装している同機能を起動します。 「プロセスモニター「猫原喜雨」さんを起こす」ボタンで、うさみみハリケーン同梱のプロセスモニターを起動します。 「最前面表示」チェックボックスで、当機能のダイアログの最前面表示と通常表示を切り替えます。 ■マルウェア対策 当ソフトウェアのメニュー「編集」→「オプション」にある「その他の設定」タブで、「マルウェア対策としてウィンドウタイトル/クラス名を変更(実行ファイル名の変更も推奨)」を有効にしておけば、当ダイアログのウィンドウタイトルをランダムな文字列に変更します。 |