ウイルスバスターについて

はじめまして。
ログ（履歴）でのパーソナルファイアーウォールログを見てみると常時接続していると何か知らないものを受信しています。ひどい時は秒単位で、同じIPアドレスから・・・
「セキュリティレベルでブロック」と出ていますがこれはどういう事なんですか？
教えてください。

No.4 ベストアンサー 回答者： info22 回答日時： 2005/06/10 09:19

#2です。

補充質問がありましたので追加します。

インターネット人口が増加していますのでセキュリティ対策をしていないPC環境でインターネットを利用している方も多いです。ウイルスやスパイウェアやトロイの木馬を沢山飼っている（PCの持ち主はその認識がすくない。親が家族用としてPCを購入、主に使用しているのは子供といったケースなどもセキュリティ管理ができないPCの増加の原因。）外国からの攻撃もありますが、国内の大きなプロバイダーや自分の契約しているプロバイダー内のPCからのアタックが多いですね。特に感染力の大きなウイルスが感染し始めると同じプロバイダー内の何台かのPCが感染し、そのPCからのアタックのログが急激に増加します。
こんな時は#3さんの補充にあるようにウイルスバスターの攻撃日のログをその日（できるだけ早めに）に提出して調べて対策してもらうことも対策の１つです。この対策は、IPアドレスがダイナミックグローバルアドレス（DHCPサーバで取得）で、攻撃元のIPアドレスが変わってしまう可能性があり、加害PCがネットに接続中に調査を依頼すれば、プロバイダーサイドでの攻撃の実態の確認がしやすいので効果があるかと思います。
以上は他人任せの対策ですが、外国のプロバイダーのPCの場合、抗議や調査依頼してもどれだけ効果があるかは疑問です。
ルータを入れ、そこにファイアウオールを導入すればPC自体へのアタックは減りますが、ルーターがアタックを代りに受けますのでルーターのセキュリティ管理が必要になること、PCでの攻撃のログのかなりの部分が見えなくなることで、現在のアタック状況が把握しにくくなることがあります。

PCでの自己防衛策は、ウイルスバスターのファイアウオールの設定、またはWindowsPCのファイアウオールの設定で行います。
（時々、ウイルス検索とスパイウェア検索を忘れないことは当然です。）
攻撃の多いポート攻撃や特定のIPアドレスやネットワークのIPアドレス範囲に対して接続を阻止する場合の設定の方法はつぎの通りです。
ウイルスバスターのメイン画面を起動→パーソナルファイアウオール→パーソナルファイアウオール設定→「パーソナルファイアーウオールを有効にする」マーク、現在のプロファイル「家庭内ネットワーク1」、「ネットワーク接続環境の変更を自動的に検出する」マーク、「設定済みのプロファイル...」マーク→プロファイルの編集のところでプロファイル名「家庭内ネットワーク1」の行をクリックして色反転→鉛筆マークの「編集」クリック→プロファイルの設定ダイアログで「除外リスト」タブ開く→青＋の「追加」→除外リストの追加/編集ダイアログが開く。
ここで「説明」に特定の攻撃IPアドレスまたは攻撃ネットワークまたは特定攻撃ポートのルールを簡単に書きます。それ以下はアタックの種類に応じて、阻止したい受信ポートやIPアドレスと接続の「受信」およびアクセス処理の「拒否」をマークして[OK]（必要に応じて繰り返す）→[OK]→[適用]→メイン画面を×ボタンで閉じる。

以上で積極的に攻撃サイトまたは攻撃を受けるポートを閉じる（阻止または遮断する）ことができます。
（Windowの設定でもできますが、2重に設定すると複雑になりますのでウイルスバスターだけとしておきましょう。ウイルスバスターがバージョンアップ中は、一時的に無防備になることが発生します。心配ならWindowsファイアウオールも有効にしておきます。）

No.5 回答者： hoihence 回答日時： 2005/06/10 13:51

今のインターネットの状況に於いては、ルーター+PFW(パーソナルファイアーウォール)は必須になってます。

セキュリティーの基本は多層防御だからです。
ルーターで外を起点とするアクセスを遮断し、PFWは内から外へのユーザーの意図しないアクセスを遮断します。このことは負荷分散にもつながります。

No.3 回答者： ftomo100 回答日時： 2005/06/10 01:01

＃２さんがログの見方を書いてますので参考に。

防御できているという事ですから、ほっとけばいいです。
もし、目に余るぐらい(こちらのPCが不安定になるぐらい)アタックがきたら、IPアドレスからプロバイダを調べて
http://nayuki.homeunix.com/~stakasa/cgi-bin/prox …

プロバイダ宛にログを送付して抗議すればいいです。対象者のアカウント取り消しか、ウィルスなら除去を勧めてくれるはずです。ただし、相手が日本国内とは限りませんが。

どうしても心配なら、インターネット接続とPCの間にルータを挟んで適切な設定をすればアタックはほとんどルータが防いでくれます。

No.2 回答者： info22 回答日時： 2005/06/09 20:02

意図的またはPCの設定が正しくされていない、あるいはウイルスやトロイの木馬等に感染したネット上のパソコンが攻撃してきているわけです。

質問者さんのパソコンのセキュリティ設定でその攻撃をブロックできているということです。
あまり頻度が多いとDoS攻撃（質問者さんがネットに接続しようとしても、頻繁にアクセスしてくる通信の相手をするために、本来のインターネットへのアクセスを極端に遅くしたり、アクセスできないようにするタイプの攻撃。サービス拒否攻撃。）となります。
ウイルスバスターのパーソナルファイアウォールのログの見方ですが、ログが1日ずつ分けて保存されますが、それぞれの年月日のログで、▲時刻（アタック時刻）、★プロトコル（アタックに使ったTCP/IPパケットの種類）、◆送信元IPアドレス（アタックしてくるPCのIPアドレス）、送信先ポート（これはあまり重要ではない）、送信先IPアドレス（あなたの攻撃されているPCのIPアドレス）、送信先ポート（まさに攻撃されている、攻撃されたポート番号=攻撃の内容で、上の◆の攻撃者のIPアドレス、★のパケットの種類と▲の攻撃時刻と攻撃頻度の情報が、あわせて重要な証拠になります。）、
後、アプリケーションパスがアタックに対応しているソフトの在る所とアプリケーションソフト名、攻撃の説明が続きますね。
質問の「セキュリティレベル設定によるブロック」のアタックだと、私のPCの場合、UDP1027ポートへの攻撃、TCP1433ポートの攻撃、WebサーバのTCP80ポートへの攻撃、TCP3306ポートへの攻撃などがあります。（IPアドレスは伏せてあります。）

参考URLにトロイの木馬が使用するポート一覧が乗っています。
また、ポート番号について役立つ情報を豊富に載せているURLを下に書いておきますので、ウイルスバスターのファイアウオールログに現れるアタックポートについて参考にしてください。
http://www.c-r.com/m_pno.htm

参考URL：http://www.redout.net/data/trojan.html

この回答への補足

ありがとうございます。
今の状態では攻撃されても防御しているわけなんですね。
この状態が続く場合はどう対処すればいいんでしょうか？

補足日時：2005/06/09 22:41

No.1 回答者： ftomo100 回答日時： 2005/06/09 17:59

攻撃されているという事です。

悪意を持って攻撃している事もありますし、ウィルスに感染しているなどで悪意の無いまま攻撃している場合もあります。
いずれにせよ、ほとんどの場合はランダムなIP相手に攻撃しているだけですので、ファイアウォールさえ適切にしておけば大丈夫かと思います。

※ルータからの通信も誤作動する事があるようです