2017年5月に爆発的に流行したランサムウェア「WannaCry」、まだ覚えていますか?そのような事態に備えて、開かれたポート445/TCP、135、139を閉じる(ブロック、遮断、無効にする)方法を知っているのは重要です。
ポート445とポート139はWindowsのポートです。ポート139はNetBIOS(Network Basic Input Output System)の名前解決に使用され、ポート445はSMB(Server Message Block)に使用されます。両方はファイル共有やプリンタ共有などのサービスを提供します。Windows 2000で、MicrosoftはSMBのためにTCP/UDPポート番号445を介して新しい輸送サービスを提供します。それはポート137、138、139経由の古い実装に取って代わります。ポート445とポート139が開いたままの状態であるなら、HDDが暴露されることになります。つまり、このポートにアクセスできれば、そのHDDは誰とでも共有できます。HDDフォーマット、ファイル削除、サイバー攻撃なども遭遇するかもしれません。
これでポート445を少し理解するかもしれません。ポート445を閉じると、如何なるファイルシステムをコピーできませんが、ドメインホストから考えると、これは間違いなくグループポリシーに違反します。同時にイントラネット経由でのネットワークを閲覧する機能を失います。
WannaCry(Wanna Decryptorなどとも呼ばれるランサムウェア)は2017年5月12日の午後からイギリス・スペインなど全世界のPCで大流行しています。重要なファイルとドキュメントは暗号化され、仮想通貨のビットコイン(一般的に300~600ドル)が身代金として要求されます。だが現時点ではまだ有効な復号化方法を見つけません。治療を無力に待つこと以外、ここではいくつかの対策を行って感染を予防し、今ある状況をよい良い方向に変えることができます。
ンストール中、システムによって開かれたポート445/TCP経由でHDDがWannaCryウイルスに感染します。だから、それを閉じる必要があります。
ほとんどの場合、ポート445はWindowsのシステムによって開かれましたが、ホストでその開放を確認する必要もあります。Windows + Rキーを押して実行ボックスを起動します。cmdを入力してコマンドプロンプトを開きます。そして、「netstat -an」を入力してEnterキーを押します。「netstat -an」コマンドは接続された全てのポートをスキャンして、番号で表示させます。
数秒後、上記のような画面は表示されます。マウスを先頭へ移動してポート445のIPアドレスを見つけます。その状態はLISTENINGと表示されるので、これはポート445が開いていることを意味します。
ポート445はWannaCryの一つの感染経路としてインターネット上の最も危険なポートであるため、それを閉じるのは緊急なことになります。Windows 11/10/8でポート445を遮断、ブロックする方法は3つがあります。全ては簡単です。次はそれらを一つずつ紹介しましょう。
最初の方法は一番簡単な方法だと思います。ほとんどのWindowsユーザーに適用します。
1. スタート→コントロールパネル→システムとセキュリティ→Windowsファイアウォールをクリックして左側の「詳細設定」を見つけます。
2. 受信の規則→新しい規則をクリックします。そしてポップアップでポート→次へ→TCP→特定のローカルポートを選択して「445」を入力します。「次へ」をクリックします。
3. 接続をブロックする→次へを選択します。そして3つのチェックボックスにチェックを入れて「次へ」をクリックします。好きなように名前を指定してから「完了」をクリックします。
4. プロパティ→プロトコルおよびポート→ローカルポートをリックして規則が作成されたかどうかを確認します。
1. 検索ボックスに「cmd」を入力し、結果からcmdを右クリックして管理者として実行します。
2. netsh advfirewall set allprofile state onを入力してEnterキーを押します。
3. netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=445 name="Block_TCP-445"と入力してEnterキーを押します。
システムのレジストリを変更するのはWannaCryランサムウェアから身を守ることもできます。しかし、レジストリの変更中、非常に注意しなければなりません。それはWindowsシステムプログラムとインストールされているアプリケーション用のデータベースです。誤って重要なファイルを削除すれば、これらのプログラムはうまく実行できないかもしれません。予想外の事故に備えて、レジストリをバックアップしてください。
1. 上述と同じ方法で実行ボックスを開きます。「regedit」を入力してEnterキーを押します。
2. 以下のパスを見つけます:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\NetBT\Parameters
3. 空白領域を右クリックして「新規」を選択します。システム種類(32 bitまたは64 bit)に基づいてDWORD(32 ビット)値またはQWORD(64 ビット)値を選択します。
4. 新しい値をSMBDeviceEnabledに再命名します。次は、それを右クリックして「修正」を選択します。ポップアップで「値のデータ」を1から0に変更します。「OK」をクリックして確認します。
1. 実行ボックスに「services.msc」を入力してWindowsサービスを開きます。
2. Serverを見つけてダブルクリックします。一般的にそれはサービスの項目の真ん中にあります。
3. ポップアップでドロップダウンリストから「無効」を選択して「OK」をクリックします。
TCPポート445または他の危険なポートを無効にするのはランサムウェアに対応する最も重要な手段の1つです。また、他の方面で実行可能な対応策はいっぱいあります。次はセキュリティ専門家によって並べられる幾つかのヒントです。
1. お使いのコンピュータはハッキングされたかどうかが分からない場合、まずネットワークアクセスを切断し、そしてコンピュータを再起動します。
2. Windows 7のためにセキュリティパッチMS17-010とウイルス対策ソフトをインストールします。
3. 電子メール内またはWebサイト上の不審なリンクをクリックしないでください。
4. バックアップソフトを使用して重要なデータをバックアップします。特にWannaCryランサムウェアに対抗するためにAOMEI Backupper Standardのようなバックアップフリーソフトを使用できます。起動可能メディアの作成も利用可能です。
5. 定期的にバックアップします。
WannaCryランサムウェアは全世界から注目を集めている大規模のサイバー攻撃行動です。我々がすべきことは悪意のあるハッカーと戦うんです。重要なデータを定期的にバックアップする習慣を身につければ、次回、同じ問題に遭う時こんなに慌てることは二度とありません。