プロが教える店舗&オフィスのセキュリティ対策術

最近ウイルスバスターのパーソナルファイアーログを見て気付いたのですが毎日かなり多い不正アクセスを受けているようです。ただほぼ正確に30分おきくらいで説明の欄には<セキュリティ設定によるブロック>となっているのですがこれは本当にだれからかアタックを受けているのでしょうか?
さらにこちらは時間は不正確で少ししかありませんが<Overlapping fragment attack>というのもあります。

また今までWinXPのファイヤーウォールも使っていたのですが、ふとウイルスバスターの使用方法でWinXPのファイヤーウォール設定は無し(バスターの方のみ)にするというのを思い出しXPの方を解除したところログの説明欄に<ICMP Echo Request>というのとネットワークウイルス<MS-03-026_RPC_DCOM_EXPLOIT>というのがありました。今まであまり怪しいサイトは見たりしていないのですが仕事で使っているパソコンなのでかなり心配です。本当に自分のパソコンが誰かからアタックを受けているのでしょうか?

A 回答 (13件中1~10件)

#7です。



30分おきのやつは、UPnPみたいですね。ルータがマルチキャストで飛ばすやつをバスターが除外設定にしてないと検出してしまうようです。知らないIPって、239.255.255.255なんじゃないの。

で、Overlapping fragment attackは、明らかにおかしいです。通常、IPヘッダのオフセットフィールドをダブらせたりしませんから。常識的にはパケフィル迂回と考えます。

ICMPの方もグレーゾーンです。

う~ん、もしかして、山田ウイルスの可能性があるかも。でも、とっくに対応済んでるはずだしなァ。シマンテックとかのオンラインスキャンとかやっておいた方がいいんじゃない。申し訳ない、バシッと判断できなくて。
    • good
    • 0
この回答へのお礼

ありがとうございます。それです!IPは239.255.255.250となっていますがこれはルーターからということで除外設定してもいいのでしょうか?

またオンライン検索では特に問題なかったのですが(1個ウイルスを検知したのですが...)、Overlapping fragment attackは明らかにおかしいということでかなり怖いです。自分で使用するポートかIP(よく分からないのですが)に限定して通常のインターネットをできる方法はありますでしょうか?またはド素人でも分かるようなこのような設定が可能なソフトなどはありますでしょうか...?

お礼日時:2005/10/25 00:50

#7です。



えーとですね、OSが最新の状態になってれば、UPnPのやつは除外設定にして下さい。

それと、Overlapping fragment attackに関しては、それを発生させてるプログラムを突き止めないとダメです。ログから分かりませんか。

http://www.forest.impress.co.jp/article/2004/04/ …

こういうのも役に立つと思うよ。

もし、自力で難しそうなら、サポセンに聞いてみて。
    • good
    • 0

No.9です。

びくっりさせてしまって申し訳なかったですが、ウチはシマンテックのノートンインターネットセキュリティを入れていて普通に使えてますのでウィルスではないです。悪用できかねないソフトであるのでセキュリティリスクとして検出されます。
    • good
    • 0
この回答へのお礼

いえ、ご教授いただきありがとうございました。自分もウイルスではないかもれしれないと思ったのですが使いこなせそうになかったので...

ただログにアクセスが入る時間帯にモニターを見ていましたらやはり大量にアクセスされるのが見て分かりました。また不安なのはアクセスしていない状態(ちなみにPPPoEで常時ネットには接続状態です)でもモニターではたまにアクセスがあるようなのでかなり心配です(青、赤、緑などのカラーで示されますがこれがどのような意味かは分からなかったのですが...)。ログには出ていなかったのでまさかファイヤーウォールを越えてアクセスしているのではないかと...なんとか自分のアクセスのみで他かからや意図しない自分のパソコンからのアクセスを遮断できる方法はないものでしょうか...

お礼日時:2005/10/25 01:51

自分のパソコンがどんな通信をしているか、以下のもので盗聴しています。


http://www.space-peace.com/ethereal/ethereal.htm
参考までに。
またIPアドレスの検索は、↓
http://www.apnic.net/apnic-bin/whois.pl
またここに地図があります。↓
http://www.apnic.net/info/faq/abuse/index.html

怪しいサイトだけでなく、セキュリティに脆弱なサイトも気おつけなければならないですが、windowsにセキュリティホールがあるとバスター君があっても知らぬうちに侵入されていることがあっても不思議ありません。
    • good
    • 0

こんにちは。



>自分のパソコンに何か通信しているという可能性はあるのでしょうか

貴方のPC"に"ではなくて貴方のPC"から"だと思いますが。
例えばこんなフリーソフトで調べてみてください。
http://www.altech-ads.com/product/10000314.htm
    • good
    • 0
この回答へのお礼

ありがとうございました。早速このソフトをダウンロードしてみたのですが英語なのでちょっと使い方が分かりませんでした。また後のご回答していただいた方の言うとおりシマンテックのオンラインスキャンをしたところなんとこのソフトからウイルスが発見されたのでアンインストールしてしまいました...(もしかすると検出されただけでウイルスではないのかもしれませんが)

お礼日時:2005/10/25 00:40

>●たまに


の方は、不正アクセス(貴方のPCに対して外部から接続)があり、それを阻止したというものです。
貴方が予期しないアクセスではありますが、必ずしも悪意のあるアクセスとは言い切れません。

>●30分に1回おきに大量アクセスがある方
これは外部からのアクセスではなく、貴方のPCから外部に何か情報を発信しようとしているものを阻止しているというログです。何かスパイウェア、もしくはワームか、情報を送信するプログラムが起動しているのではないでしょうか?
    • good
    • 0
この回答へのお礼

こんにちは!ありがとうございます。30分おきの方ですがやはり自分のパソコンから発信しているのですね...発送元がルーターのIPアドレスですがルーターから自分のパソコンに何か通信しているという可能性はあるのでしょうか(送信先IPがipconfigでみる自分のパソコンのIPではないので違うと思うのですがいつも同じIPです)?ただ送信元ポートが少しづつ変化するところなんかやはり怪しいですよね...

またspybotなどで調べても特に何もでてこないのですがこの情報発信しているプログラムを調べる方法などはありますでしょうか?
ちなみに今日初めてログに<Overlapping fragment attack>の大量アクセスがありました。

お礼日時:2005/10/23 14:25

こんにちは。



今のインターネットというのは、悪意を持つパケットが日常的に飛び交ってます。
で、Overlapping fragment attackはパケットフィルタリングを迂回させる既知の攻撃ですが、インバウンドですよね?これまでのあなたの返答を読むとアウトバウンドのような気がしてしまうのですが。もし、アウトバウンドだとしたら、DoS攻撃の踏み台にされてる可能性があります。

RPC DCOM EXPLOITやICMP REQUESTはありがちですね。いずれにしてもこれらはプログラムによって自動化されてます。
    • good
    • 0
この回答へのお礼

返答遅くなり申し訳ありません。アウトバウンドとインバウンドのことがよく分からないのですが、バスターのログには

●30分に1回おきに大量アクセスがある方
プロトコル UDP
送信元IPアドレス 自分(ルーター)
送信元ポート だいたい10000~アクセス毎に1づつ徐々に大きい方に変化してます。
送信先IPアドレス 知らないIPです。
送信先ポート 1900
説明 <セキュリティ設定によるブロック>


●以下たまに
プロトコル TCP
送信元IPアドレス 知らないIPです。
送信元ポート 80
送信先IPアドレス 自分(ルーター)
送信先ポート 1131
説明 <Overlapping fragment attack>

プロトコル ICMP
送信元IPアドレス 知らないIPです。
送信元ポート N/A
送信先IPアドレス 自分(ルーター)
送信先ポート N/A
説明 <ICMP Echo Request>

となっています。その他ウイルスのは明らかに不正なので載せませんでした。情報が不十分かもしれませんが何か分かることがありましたら宜しくお願い致します。

お礼日時:2005/10/23 02:04

no.3です。



pingについては、
特定の人...というよりは、特定のコンピュータが
狙い撃ちをしているように思います。
たぶんそのコンピュータもゾンビです。
つまり、更にその手前に悪意のある人間が居て、
セキュリティの甘い機械を探しています。

他人のコンピュータを外部からいじれるようになると
いろいろなことが可能になります。
(これをゾンビと呼んでいます)
詳しくは参考URLを御覧ください。

もうひとつのワームも、最終的には
ゾンビを作り出す働きを持っていますが
その前に大量の通信を発生させて
ネットワークを麻痺させてしまうのが普通のようです。

参考URL:http://e-words.jp/w/E382BEE383B3E38393E38391E382 …
    • good
    • 0

>これは報告機関?のようなところに報告~アクセス者発見のようなことは可能なのでしょうか?



実際に犯罪を犯しているという証拠があるなら警察へ届ければいいと思いますが、どうやってそれを証明できますか?
    • good
    • 0
この回答へのお礼

こんばんは!ありがとうございます。よく分かりませんがおそらく不正のアクセスの場合は不正アクセス防止法?のようなものでアクセスしただけで罰則があるのではないでしょうか(こちら一般人のパソコンなので通常アクセスすることはありえ無いと思うのですが...)?

お礼日時:2005/10/21 19:31

送信元が自分のパソコンで外部へアクセスしている場合は、そのアプリケーション名に注意する必要が有ると思います。


また、IPアドレスはドメインサーチで、身元を確認できます。
http://www.mse.co.jp/ip_domain/
    • good
    • 0
この回答へのお礼

ありがとうございます。早速調べてみたところ<セキュリティ設定によるブロック>の方は不明になっていたのですが、<Overlapping fragment attack>のIPの方がインフォシークのサーバーを使っているようで詳細がでてきました。また、その他にもまったく知らない企業(プロバイダやサーバー業者ではありませんでした)がでてきましたが、これは報告機関?のようなところに報告~アクセス者発見のようなことは可能なのでしょうか?

お礼日時:2005/10/21 16:57

お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!