Online Armor Free

独自のホスト侵入防止システム （HIPS） を搭載したパーソナルファイアウォール。
パソコン上で発生した不審な通信 / 疑わしいプログラムの挙動 等を、リアルタイムにブロック＆制御できる
ようにしてくれるセキュリティソフトです。
アプリケーションの通信を “ ルール ” で制御する機能 （ポートセッティング等） や、スタートアップアイテム /
Hosts ファイル を管理する機能、Hosts ファイルの改変を監視する機能 等も付いています。

「Online Armor Free」 は、高機能なパーソナルファイアウォールです。
パソコンを外部の攻撃から護ってくれるのはもちろん、パソコン上で不審な通信が発生した際に、その
通信を “ 許可 ” するのか “ 拒否 ” するのか を、自由に選択できるようにしてくれます^※1。
※1 通信の際に使用させるポートも、（接続先のみ） 自由に設定することができる。
通信元 / 通信先 のアドレスは、指定できない？模様。
また、不審なプログラムが 起動 / 他のプロセスを停止 / データを改竄 / OS をシャットダウン させようと
した時にも、その動作を “ 許可 ” or “ 拒否 ” できるようにしてくれるので、 アンチウイルス 等がスルーして
しまったマルウェアに対しても、大きな効力を発揮してくれると思います^※2。
※2 “ Program Guard ” という、ホスト侵入防止システム （HIPS） のような機能。
さらに、Hosts ファイルの改変監視、スタートアッププログラムの管理... などの機能も付いていたりします。
通信や動作の可否を求めるダイアログは、“ ホワイトリスト ” ^※3 に基づいて表示されるため、同系統の
ソフトと比べて労を要せずに使えると思います。
（ただし、“ Program Guard ”　はかなり鬱陶しいかも...）
※3 Online Armor team により “ 信頼できる ” と識別されているプログラムの通信や動作に関しては、
いちいち警告が表示されない。
（しかし、全ての通信＆動作 の可否 を、ユーザーが自分で選択するように設定することもできる）

使い方は以下の通りです。
　 Online Armor Free インストール方法
　 Online Armor Free 初期設定の解説

Learning Mode
プログラムの通信や動作を、Online Armor に学習させる機能。
この機能を有効にしている間は、警告が一切表示されず、全ての通信 ＆ 動作 が 「許可」 と
判断される。
（そして、そのままルールが生成される）
便利な機能ではあるが、必ず使わなくてはならない機能ではない。
ちなみに、Windows のスタートアップ動作を学習するために、初回起動時は約 2 分間だけ
「Learning Mode」 として動作するようになっている。
（その間は このようなダイアログ が表示されるので、極力他の操作を行わないようにする）
1. 「Online Armor Free」 はさほど警告が激しいソフトではないので、Learning Mode を
   使用する必要はないかもしれませんが、一応簡単に紹介しておきます。
   （インストール直後、ルールを一気に作成したい時などに便利）
2. まず、タスクトレイ上の 「Online Armor」 アイコンを右クリックし、「Learning Mode」 にチェックを
   入れます。
3. 普段よく使っているアプリケーションを一通り起動させ、ルールを作成していきます。
   （ソフトを実行するだけで、自動的に 「許可」 ルールが生成されていく）
   また、ネットワーク接続を必要とするソフトがあれば、これも一通り通信させます。
   IE / Firefox 等々、安全性が確認されているソフトは、既にOnline Armor の “ ホワイトリスト ” に
   登録されているので、わざわざ実行させたりする必要はありません。
4. 一通り起動＆通信 が終わったら、タスクトレイ上の 「Online Armor」 アイコンを右クリック →
   「Learning Mode」 のチェックを外します。

Firewall　-　通信に関するアラートの対処　-
1. Online Armor により “ 信頼できる ” と認識されていないプログラムが通信しようとすると、
   • A program wants to use the internet
   という警告ダイアログが表示されます^※5。
   ※5 警告ダイアログの色により、該当アプリの安全度が分かる。
   （緑 ＝ 信頼できるアプリ　|　オレンジ ＝ 未知のアプリ　|　赤 ＝ 危険と思われるアプリ）
   プログラムの場所は、「Program」 欄で確認することができる。
   この通信を許可する場合は 「Allow」 を選択し、拒否する場合は 「Block」 を選択します^※6。
   ※6 全く知らないファイルが通信しようとしていた場合、とりあえずファイル名をWeb 検索に
   かけてみるとよい。
   確実に安全である or 危険である と分かっている場合は、「Create rule」 にチェックを入れてから
   「Allow」 or 「Block」 を選択します。
   （このようにしておくと通信ルールが生成され、次回から警告が表示されなくなる）

Firewall　-　設定の変更　-
1. タスクトレイ上のアイコンをダブルクリックし、設定画面を表示させます。
2. 左メニュー内にある 「Firewall」 を選択。
3. すると、これまでに 「Create rule」 してきたアプリケーションのリストが、一覧表示されます。
   単に通信の 「許可」 or 「拒否」 を変更したいだけの場合は、該当アプリ上で右クリック →
   「Allow」 or 「Block」 を選択すればOK。
   ルールを削除したい時は、「Delete」 を選択します。
4. アプリケーションに使用させるポートを細かく設定したい場合は、該当アプリ上で右クリック →
   「Go to ports」 を選択します。
   （先述のとおり、ソースポートやアドレスは指定できません）
5. すると、画面が 「Ports」 タブに切り替わり、該当アプリのルールが選択状態になります。
   そのまま、ダブルクリック。
   （ルールが複数ある場合は、一つ一つ設定する）
6. 「Firewall rule editor」 というウインドウ が開きます。
   ここの
   • 「Access」 欄で通信の許可 （ 「Allow」 ） or 拒否 （ 「Deny」 ） を、
   • 「Protocol」 欄で通信の際に使用させるプロトコルを、
   • 「Direction」 欄で通信の向き^※7 を
   それぞれ設定します。
   ※7 「Inbound」 ＝ インターネット → パソコン　|　「Outbound」 ＝ パソコン → インターネット
7. 次に、右側の 「Ports list」 欄の下部にある 「Add port」 ボタンをクリックし、接続先のポート番号を
   入力します。
   ポート番号は複数指定することができるほか、レンジで指定できるようにもなっています^※8。
   ※8 複数指定する場合は半角カンマ （,） 区切りで、レンジで指定する場合は半角ハイフン
   （-） 区切りで入力する。
   例）　80 / 443 / 8080 を指定する場合 → 80,443,8080
   110 〜 120 を指定する場合 → 110-120
   登録したポートを削除する時は、「Ports list」 欄で目的のポートを選択 → 「Delete port」 ボタンを
   クリックします。

Firewall　-　LAN 内のPC と、ファイル / プリンタ 等を共有　-
8. LAN 内のパソコンとファイル共有を行う場合、該当するネットワークを “ 信頼できるゾーン ” として
   設定してやる必要が出てきます。
   （おそらく、デフォルトのLAN は最初から “ 信頼できるゾーン ” として設定されている）
   以下に、その設定方法を紹介します。
9. タスクトレイ上のアイコンを右クリックし、「Configuration」 を選択。
10. 設定画面が表示されます。
    左メニュー内にある 「Firewall」 を選択。
11. そのまま、「Interfaces」 タブを開きます。
12. あとは、ファイル共有を行いたいネットワークの 「Trusted」 にチェックを入れればOK。
    （逆に、共有設定を無効化したい場合は、該当ネットワークの 「Trusted」 をOFF にしておきます）

Firewall　-　ルールのバックアップ / 復元　-
1. ファイアウォールのルールをバックアップしたい時は、次のような操作を行います。
2. まず、タスクトレイアイコンをダブルクリックし、メイン画面を呼び出します。
3. 左メニュー内にある 「Firewall」 を選択。
4. ルールリスト上で右クリックし、「Export」 を選択します。
5. 「名前を付けて保存」 ダイアログが表示されるので、バックアップファイルの保存先フォルダ＆
   ファイル名 を指定し、「保存」 ボタンをクリックします。
6. バックアップしたルールを復元する時は、ルールリスト上で右クリック → 「Import」 を選択 →
   保存しておいたバックアップファイルを選択すればOK です。
   （既存のルールが上書きされるので注意）

Program Guard （HIPS）　〜　実行の許可 or 拒否
Program Guard を無効化したい場合は、タスクトレイ上のOnline Armor アイコンを右クリック →
「Program Guard」 のチェックを外す。
（その後 「Are you sure 〜」 というダイアログが表示されるので、「Yes」 をクリックする）
キーロガー的な挙動の監視のみを無効化したい場合は、「Anti-Keylogger」 のチェックを外す。
Hosts ファイルの監視も無効にしたい場合は、「Deactivate HIPS features」 にチェックを入れる。
（こちらはOS の再起動が必要）
1. Firewall と同様、このProgram Guard にも “ ホワイトリスト ” 機能が付いています^※9。
   ※9 Online Armor により “ 信頼できる ” と認識されているプログラムに関しては、警告を
   出さないようにする機能。
   このホワイトリスト機能を使わず、全てのプロセスを自分で管理する場合は、タスクトレイ上の
   Online Armor をダブルクリックし、左メニュー内にある 「Programs」 を選択 → 「Options」 タブを
   開き、中段にある
   • Automatically trust programs that Emsisoft deems trustworthy
   のチェックを外しておきます^※10。
   ※10 その後、「本当にこの機能をOFF にしますか？」 というダイアログが表示されるので、
   「Yes」 をクリック。
2. ルールにないアプリケーションが何らかのアクションを起こそうとすると、
   • A program wants to □□
   • Screen logger detected
   • Keylogger detected
   • ○○.exe wants to modify the Hosts file
   というようなアラートが表示されます^※5。
   （ □□ の部分は、アクション内容によって異なる）
   このアラート内に表示されているファイルの名前、および、アクション先 / アクション元 の
   ファイル 等を確認し、今回のアクションを許可する場合は 「Allow」 を、拒否する場合は 「Block」 を
   選択します。
   （全く見知らぬプログラムの場合、ファイル名をWeb 検索にかけてみるとよい）
   今回の判断内容をOnline Armor に記憶させたい時は、「Remember my decision」 にチェックを
   入れてから 「Allow」 or 「Block」 をクリックします。
   アプリケーションが確実に安全であると分かっている場合は、「Trust this program」 にチェックを
   入れてから 「Allow」 をクリックします^※11。
   ※11 「信頼できるアプリケーション」 として認識させる。
   信頼されたアプリケーションは、他のアクションに関しても 「許可」 と判断される。
   見知っているアプリケーションではあるけれど、なんとなく不安がある場合は 「Run Safer」 に
   チェックを入れてから 「Allow」 をクリックします^※12。
   ※12 この 「Run Safer」 オプションを指定できるのは、アプリが起動しようとしている時のみ。
   管理者権限を持って実行しようとするアプリを、特権なしで実行させる。
   （が、元から特権を持っているアプリに対しては効かない？）

Program Guard （HIPS）　-　設定の変更　-
1. タスクトレイアイコンをダブルクリックし、設定画面を呼び出します。
2. 左メニュー内にある 「Programs」 を選択。
   尚、
   • Screen logger detected
   • Keylogger detected
   • ○○.exe wants to modify the Hosts file
   というアラート上で設定したアプリの挙動を変更したい場合は、左メニューの 「Anti-Keylogger」
   および 「Hosts file」 を開きます。
3. すると、実行の許可 / 拒否 を制御してきたアプリケーションが、一覧表示されます。
   単に実行の 「許可」 or 「拒否」 を変更したいだけの場合は、該当アプリ上で右クリック →
   「Allow」 or 「Block」 を選択すればOK。
   （ 「Ask （尋ねる）」 にしてもよい）
   必要に応じて、この右クリックメニューからアプリケーションを 「Trust」 したり^※11、「Untrust」 に
   したりすることもできます^※13。
   （ 「Open file location」 から、ファイルが存在するフォルダを開くこともできる）
   ※13 「信頼できるアプリケーション」 としての認識を解除させたくなったら、「Untrust」 を選択する。
   ただし、「Anti-Keylogger」 「Hosts file」 画面では、「Trust」 操作を行うことはできません。
4. さらに、任意のアプリケーションをダブルクリックすることで、より詳細な動作設定を行うことも
   できたりします。
   （やはり、「Anti-Keylogger」 「Hosts file」 画面では、この操作を行うことはできない）
   ここでは、アプリケーションを 「Run Safer」 or 「Installer」^※14 として実行させるように設定したり、
   アプリケーションが
   • start applications　-　他のプロセスを実行
   • set global hooks　-　グローバルフック
   • physical memory access　-　他のアプリケーションが使用しているメモリデータへアクセス
   • remote code　-　他のプロセスをコントロール
   • remote data modification　-　他のアプリケーションが保持している仮想メモリデータを変更
   • suspend process/thread　-　他のプロセスを停止
   • create executable　-　実行ファイルの生成
   • direct Disk Access　-　ハードディスクへのダイレクトアクセス
   • system shutdown　-　シャットダウン
   しようとしたりするのを 「Allow」 or 「Block」 したり、他のプロセスから
   • Protect from termination　-　強制終了されないようにする
   • Protect from suspend　-　停止されないようにする
   • Protect from remote code control　-　コントロールされないようにする
   • Protect from remote data modification　-　メモリデータを変更されないようにする
   ように 設定したりすることができます。
   ※14 インストーラー等は 「Installer」 にしておくとよい。

トラフィック / アクティブコネクション の確認
1. タスクトレイ上のアイコンを右クリック → 「Show Firewall Status」 を選択。
2. 通信のステータス画面 が表示されます。
   画面は大きく 3 つに分かれていて、上から順に
   • 通信の内容を表す折れ線グラフ
   • 通信中のプロセスリスト^※15
   • 通信元 / 通信先 の IP アドレスやポート、通信状態^※16
   が表示されるようになっています。
   ※15 プログラム名 / プロセスID / 受信量 / 送信量 / 転送速度 （Down / UP ） を確認できる。
   任意のプロセス上で右クリックすることにより、プロセスを終了 （Kill ） させたり、該当プロセスの
   ルールを表示 （Go to ports ） させたりすることもできる。
   ※16 通信先のサーバーが存在している国を確認することもできる。
   こちらでもやはり、プロセスを終了させたり、通信を切断したり （Close Connection ）、ルールを
   表示させたりすることができる。
   アイテムを右クリック → 「Copy Remote Address」 を選択すると、通信先のアドレス:ポート を
   コピーすることができる。
   プロセスが多く表示されている時は、任意のプロセス上で右クリック → 「Filter by process」 を
   選択することで、プロセスを絞り込み表示することもできたりします。
   （絞込みを解除する時は、右クリック → 「Clear Filter」 を選択）
3. おまけに、右下の 「Resolve addresses」 にチェックを入れることで、通信先のアドレスをホスト名に
   変換することもできたりします。

そのほか、設定画面の左メニュー内にある 「Autoruns」 からスタートアップアイテムを管理できるように
なっています^※17。
※17 “ 信頼できるアプリケーション ” は、非表示になっている。
これらを表示するには、左下にある 「Hide Trusted」 のチェックを外す必要がある。