質問

この前ZoneAlarmをダウンロードしました。それでインターネットなどをやってる時にZoneAlarmが不正アクセスをブロックしたというメッセージが何回かでます。それには相手のIPが出てました。このIPでどのへんまで相手のことを調べることができるのですか？

No.5 ベストアンサー 回答者： parts 回答日時： 2002/03/30 17:41

Ｑ／IPでどのへんまで相手のことを調べることができるのですか？

Ａ／まあ、既に回答がありますが最後に経由したＩＰやクシまでは分かるでしょう。その先は、プロバイダや専門業者に任せても・・・・難しい。

まあ、通常ファイアウォールで頻繁に遮断するのは、不特定多数に送られるパケットですね。意図的に誰かを特定して送られるものは希です。
もし、そういう意図で送られる場合は、アタック警告が何回かでるでは済まないでしょうね。何十回とか、場合によってはバックグラウンドで既に乗っ取られた後だったとか・・・
（ファイアウォールを使っていてもブラウザソフトやＯＳのセキュリティホール用のＦＩＸを導入していなければ、侵入の可能性があります）

この意図的ではない、パケットはいくつかのプロクシ、ISPを経由して不特定に送られます。しかも、別に誰かを狙うわけではなく、隙があれば入り込んでPCに不正なパケットを処理させ乗っ取るというのが仕事です。（多くの場合は、特定のトロイの木馬が侵入していないと乗っ取ることはできません。トロイを動かすためのパケットを有する物が多い）
そして、乗っ取った情報を親に送り操作する。

基本的に、定期的なアタック警告はこれです。
これに対して、誰が原因か探したところで、見つけるのは難しいです。海外から来る物が多いですから、国内だけ調べても相手の足下にも及ばない場合が多いと言うことです。

もし、不正侵入で深刻な情報漏洩や操作があった場合は、回線を切断（電話線やＬＡＮ回線を抜くのが手っ取り早い）し、ＩＰＡやプロバイダに報告が必要です。また、どう考えても意図的に狙われていると感じる場合も回線を切断して悪質ならＩＰＡやプロバイダなどに報告を（その際にアタックログを提出しましょう）
http://www.ipa.go.jp/security/
（ＩＰＡセキュリティセンター）

No.4 回答者： zzzzzz 回答日時： 2002/03/30 16:53

#3さんのご回答についてですが、IP偽装ができていない低レベルな攻撃者の場合にしか通用しません。

偽装されている場合にはトロイの被害者等のプロバイダが表示されます。

No.3 回答者： coo39 回答日時： 2002/03/30 16:39

相手が利用しているプロバイダーまでは、わかるとおもいます。

参考URL：http://www.mse.co.jp/ip_domain/

No.2 回答者： zzzzzz 回答日時： 2002/03/30 16:28

> PortProbe程度の不正アクセスは日常的にあることなので、気にしないのが一番です。

もちろん「きちんと対策をしていれば」という意味ですよ。

No.1 回答者： zzzzzz 回答日時： 2002/03/30 16:20

場合によります。

が、攻撃者のスキルが余程低い場合を除き、素人が違法行為なしに調べられる情報は皆無と思ってください。
PortProbe程度の不正アクセスは日常的にあることなので、気にしないのが一番です。
繰り返しアタックされている場合にはnslookupで調べてプロバイダ等に相談しましょう。

なお、攻撃者がIPを偽装することもよくありますので、そのIPは単なる犠牲者の可能性もあります。