不正アクセスについて

最近ウイルスバスター2001をインストールしたのですが、
パーソナルファイアウォールのログを見ると、
パソコンを立ち上げて、インターネットにアクセス
するたびに侵入検出されているようです。
ちなみに、ダイヤルアップ接続のため、IPアドレスは
接続の度に変わるようですが、これは、いわゆる、
不正アクセスなのでしょうか？

どなたか、同じソフトをインストールしている方で、
同じような疑問を持ち、解決された方はいらっしゃいませんか？

No.6 回答者： syuichi 回答日時： 2000/12/21 19:11

私もウイルスバスター2001のユーザーですが同じ現象で悩んでいました。

しかしどうもほとんどは心配ないらしいです。（それなら検出しないでくれと言いたいですが）
ログに侵入元のIPアドレスが出るのでそれをアドレス欄にそのまま打ち込むとそのHPが表示されます。
私の場合、YahooのフリーメールのHPでした。My Yahooに入ると cookie をバシバシぶち込まれるのでそれに反応しているようです。
トレンドマイクロのウイルスバスタークラブサイト ： http://vbc.trendmicro.co.jp/vbc/index.asp
に10月号の「パーソナルファイアウォール特集」がありますのでを参照下さい。

参考URL：http://vbc.trendmicro.co.jp/vbc/index.asp

この回答へのお礼

お礼をカキコするのが遅くなりましたが、
回答ありがとうございます。
実は、IPアドレスをサーチできるサイトを発見しました。
そこに検出されたIPを入力したところ、
あやしげな会社は見あたらなかったため、
多分大丈夫なようです。
ありがとうございました。

お礼日時：2000/12/28 15:55

No.5 回答者： hyde-la 回答日時： 2000/12/20 02:40

IPが似ているということは、多分重要です。

ネットワーク共有・・・という可能性もありますが
それだとポート番号で解るのではないでしょうか。
通常のFireWallだと、そんなポートは塞いであると
思うのですが・・・

あ、tomokyonさん、残念ですが私はウイルスバスターの
ユーザーではありません。
つまりそのファイアウォールも詳しく知りません。
一般的なFireWallについて書いております。

ICMPパケットについてはポートよりも種類のほうが重要かと
思うのですが、あまり話が厄介になりますので
その話は少し纏まってからにしましょう。

ポート番号も変わっているというのがちょっと嫌ですね。
一分置きというのも、不特定多数の相手を狙っているのなら
（こちらもIPが毎回変わってるのですから）相当ご熱心なことです。

そのポート番号も、ある程度固定であれば正常です。
ただしあまりにもあちこち探ってるようなら異常です。
telnetはご自宅の環境で利用されたことはありますか？
なかったら、ログにポート23にパケットへの要求があるかどうか
確認してみてください。

No.4 回答者： Tma 回答日時： 2000/12/19 23:08

利用されているプロバイダと似ているのであれば

Windows 固有の「ネットワークコンピュータ」が
原因ではないでしょうか？
Windows の「ネットワークコンピュータ」を同じネットワーク内の
誰かが起動するとブロードキャストパケットを送信します。
また、ネットワークコンピュータを起動していなくても
定期的にパケットを送信していることもあります。
あと、ルータが RIP パケットを送信していると
検出されるかもしれません。
ご利用されている環境はどのような環境なのでしょうか？
ISDN ルータを利用しての接続だと ISDN ルータが
動的にルーティングを検出するために RIP を行っている
可能性があります。

No.3 回答者： hyde-la 回答日時： 2000/12/19 14:10

変わるのは、ログに残っているIPなのでしょうか？

自分だということではないのでしょうか。
自分のIPかどうか調べるには、winipcfgコマンドが役に立ちます。
ファイル名を指定して実行、でwinipcfgを試してみてください。

また、それ以外の場合でも侵入とは限りませんが
例えpingであって注意するに超したことはないでしょう。
ファイアウォールの設定で、ICMPパケットも通過させなく
してしまえばいいでしょう。

あと、ログが残っているなら、セッションを確立したポート番号も
記録されているはずです。
そういった情報を総合して判断してみてください。

飽くまで参考までに書いておきますが、
私はそんなに毎日アタックを受けません。

この回答への補足

いろいろありがとうございます。
winipcfgコマンドは試してみましたが、ログに残っているIPは、自分のIPと似てはいましたが、異なっていました。
侵入ログに残っている送信元IP、送信先IP、ポート番号も一定時間(10分おきくらい)で、それぞれ変わっています。
侵入活動は１分おきくらいになってます。
ICMPパケットはポート０について通過させなくしてあるようです。(メーカー側ですでに設定済み。)
ちなみに、hyde-laさんは、インテリジェントアップデート機能を使っていらっしゃいますか？

補足日時：2000/12/19 18:55

No.2 回答者： Tma 回答日時： 2000/12/19 01:57

解決したわけではありませんが

一概に不正アクセスとは言えないと思います。

サーバアプリケーションによっては
アクセスしてきたクライアントを認証するために
接続元の IP アドレスに対して認証確認を行ったりします。
IP アドレスが接続の度に変わるようですが
ウィルスバスターで検出されたのは「出力」なのでしょうか？
それとも「入力」なのでしょうか？
「出力」であれば、自分のマシンがダイアルアップ接続の度に
IP アドレスが変わっているので、ログが異なっているのではないでしょうか？
「入力」でかつ同一ドメインに所属している場合は
メールサーバに POP でアクセスするときにチェックが
ある場合も考えられます。

この回答への補足

回答いただき、ありがとうございます。
検出されたのは、入力と出力両方です。
一回の接続中に侵入(?)されたログのIPを見てみると↑のように、つぎつぎと変わっています。
メーラーを立ち上げなくても、侵入(?)はおこっています。

補足日時：2000/12/19 19:06

No.1 回答者： noname#9414 回答日時： 2000/12/18 23:28

そうですね・・・

基本的にある程度のパケットの通過はあると思います。
しかし、毎回同じIPアドレスからのアクセスだという
のであれば、その部分をアクセス禁止にしてしまった
方がいいかと思います。

現在ルータを購入してしまったため、稼働していないので
何とも言えず、すいません。
ではでは☆