COMODO Firewallフリー版で標準ウイルス対策の弱点カバー

2022.06.23 09:00

1.ブラックリスト型アンチウィルスはWindows標準装備で十分

ウイルス対策にはノートン、ウイルスバスター、ESET、カスペルスキーなどのブラックリストベースのアンチウイルスが広く利用されています。しかし、最近では、これらの有料版を用いる必要ななくなって来ています。既知のマルウェアやウイルスに対しては、AV-comparatives、AV-Test、MRG Effitas等の第三者機関での評価結果から明らかなように、Windows標準装備のWindows Defenderのマルウェア検出・駆除性能がカスペルスキー、ESET等の名だたる有料版と同等レベルにまで向上しているからです(360° Assessment & Certification – Q1 2022Real-World Protection Test February-May 2022参照)。また、第三者機関の高評価自体が高額の参加料を支払う常連のアンチウイルスベンダへの忖度で決まっている面もあり、わずかな性能差にコストをかける意味が薄れてきているからです。もっとも、アドウェア駆除等、劣るところはまだ残っていますので、Adwcleanerをタスクスケジューラで定期的に実行させるなどして弱点を補う必要はあります。さらに、ブラウザにChromeを用いる場合、アドオンのWindows Defender Browser Protectionのインストールが必要になる点にも留意ください。このアドオンがEdge以外のブラウザでインストールされていないと、悪意のあるWebサイトをブロックしたり、マルウェア対策、フィッシング対策を行うSmartScreenフィルターが効かないからです。もちろん、日本でも2020年6月から配布されているChromiumベースの新Edgeであれば、SmartScreenフィルターはデフォルトで効きます。Chromiumベースなのでブラウジング性能は同等な上、実効性のあるトラッキング防止機能が付加されていますので、現時点ではChromeから新Edgeへの乗り換えがおすすめです。

2.ホワイトリストの制約をコンテナ仮想化で回避できるComodo Firewall

 そもそもブラックリストベースでは、ウイルスが未知の新種である場合、それがウイルスであるとブラックリスト作成側に特定されるまでの間は素通りになってしまう弱点(0-day脆弱性)があります。

 これに対し、ホワイトリスト型のウイルス対策の一つであるストアアプリ限定のインストール制限は、このような未知ウイルスが素通りなってしまう弱点はなく、新種のウイルスを使う標的型攻撃にも耐える強靭なセキュリティを確保できる利点があります。しかし、WindowsのSモードではストアに並んでいるアプリしか動かせません。アプリが動くには、マイクロソフト社側で登録が済んでいる必要があります。ユーザが自分のパソコンのホワイトリストに手動で追加登録できれば良いのですが、それは許されてはいません。これは、安全か否かをユーザ側で判定できるとは限らないことによります。Windowsユーザにとって、この制限は大変不自由で、Sモードが嫌われる原因となっています。

 このSモードの弱点を未知の実行可能ファイルに対するクラウドでの可否判定によりほぼ解消しているホワイトリスト型ウイルス対策ソフトに、PC Maticがあります。PC MaticはEmotetへの感染0の実績を謳っていますが、当然ながら有料です。これに対し、Comodo Firewallは、未登録の実行可能ファイルに対して、PC Maticのようなクラウドでの可否判定機能は備えていないものの、コンテナ仮想化実行により自身で可否判定することはできます。Comodo Firewall自体は定評がありますが、アンチウィルスと侵入防止システム(HIPS)を組み合わせたComodo Internet Securityは、無償で豊富な機能を利用可能ながら、不具合がなかなか解消されないこともあり評価は高くありません。

 Comodo Firewallにおけるコンテナ仮想化実行機能とはホワイトリストにない安全性未検証のソフトを実環境かコンテナ仮想化のいずれで動かすか、あるいは実行をブロックするかを選択可能とするものです。コンテナ仮想化は、Windows 11 あるいは Windows 10 Pro以上で利用できるWindows Defender Application Guard(WDAG)やHP Sure Click における仮想化技術と同様の仕組みにより、通常用いる実環境から分離されています。従って、喩えコンテナ仮想化の環境がマルウェアに感染しても、それによって実環境が汚染されることはありません。

 コンテナ仮想化をするかしないか、あるいは実行自体をブロックするかが、ファイルの種別、格納場所、入手先、信頼性評価、署名有無等のホワイトリスト相当の情報に基づくコンテナ仮想化ルールを複数設定することで、切り替えられます。

 この切れ替えを自動/個別判定のいずれで行うかは、アクションで設定します。特定のルールについてアクションを個別判定(制限付き実行)とすれば、そのルールに該当する場合には一々確認が来るようになります。この確認に対しては、危ないと思えば実行を拒否すれば良いし、安全なはずと思えば、試しにそのまま仮想コンテナで実行させて、問題なく動作するか、しばらく様子を見ることになります。それで、もし、仮想環境がおかしくなれば、コンテナの仮想環境をリセットし、そのソフトのダウンロード以降を一切なかったことにすれば良いのです。これで済んでしまうのは、書き込みについてコンテナ側と分離されており、実環境が改変されるようなことが起こらないからです。しかし、実環境の参照に制限がかからず丸見え状態になってしまっている点や起動し直しても仮想環境にリセットがかからない点でWDAGほどのセキュリティ強度が確保されるわけでない点には注意が必要です。これは、仮想環境にウイルスが感染してしまうと、その仮想環境がリセットされてウイルスが除去されない限り、情報が抜き取られ続けることになるからです。このため、よりセキュアな環境が求められる場合には、コンテナ仮想化ではなく、実環境、コンテナ仮想化のいずれの実行も許さないブロックをルールで指定する必要があります。例えば、外部から取り込む実行可能ファイルをすべてブロックするセキュアな環境は、すべての入手先(インターネット、イントラネット、リムーバブルメディア)をブロックするルール設定だけで簡単に実現できます。ただし、この設定では、インストール済みのアプリケーションの自動アップデートもブロックされるようになってしまうので、外部から取り込む特定の実行可能ファイル(例えば、Edgeブラウザアップデートの場合は、C:\Program Files (x86)\Microsoft\EdgeUpdate\MicrosoftEdgeUpdate.exe)については、無視するになるよう個別のルール設定が必要になります。

 「有用なのはわかったけど、ここまでのルール設定の追加はとても無理」とComodo Firewall自体をあきらめてしまうことはありません。デフォルトでファイルレスマルウェア(Emotet等)にもかなり効く効果的なルールがスクリプトファイルを含む実行可能ファイルに対しても設定されているため、インストールしてWindows Defenderと併用すればウイルスに対する防御力がかなり上がるからです。

3.Comodo Firewallのインストールと利用法

 当然ですがComodo Firewallは、それが組み込まれたComdo Internet securityをインストールすれば利用できるようになります。しかし、残念ながら、Comdo Internet securityはAntivirusのブラックリストである照合パターン定義ファイルの更新間隔が格段に長い上に、完成度がイマイチのようで2019年には脆弱性の存在も発覚しているので、Firewall単独での利用が賢明なようです。Comdo Firewall 単独の利用は、Comodo Personal Firewall for Windows 10のサイトよりダウンロードして、インストールすることで実現できます。Windows Defenderのファイアーウォール部分がComodo Firewallと置き換わることになります。Comodo Firewallの機能は盛りだくさんなので、すべてを使いこなすにはかなりの熟練が必要です。とはいえ、標準的な使い方であれば、次の4点ほどを押さえればOKです。①メイン画面のホーム表示で右上すみの詳細表示をクリックして自動コンテナ仮想化とHIPS機能の有効無効切替を必要に応じて行うこと(インストール直後のデフォルトでは、自動コンテナ仮想化は無効化されているので、切替無しでは自動コンテナ仮想化は働かない。)、②メイン画面左上の設定のクリックで開く高度な設定の中のコンテナ仮想化のコンテナ仮想化の設定の仮想化しないファイル/フォルダの指定をクリックし、ダウンロードフォルダなどを追加、③メイン画面のタスク表示での一般的なタスクのアプリケーションのブロック解除をクリックして、ブロックされているアプリを確かめ、それが不適切なブロックである場合にはそれの解除(定期的に行う必要がある)、④メイン画面のタスク表示でのコンテナ仮想化タスクのコンテナをリセットを、仮想コンテナの動作不調時あるいは仮想環境がウイルス等で汚染された場合にクリック。

インストール法と機能の詳細についてはComodo Firewall 12.2.2.7036、COMODO Internet Security まとめWikiの12.x/各種設定/コンテナ仮想化等を参照ください。