Undefined Ruleについて

いつもお世話になっています。

先日、ヤフーメッセンジャーで友達登録している方とPM（プライベートメッセージ）をしている最中に、突然ファイアーウォールの警こくのダイヤログが表示されました。
いつもはないことなのでとっさに遮断を選び、あとでログを確認した所、

理由→Undefined Rule（翻訳した所“不確定支配
”という意味でした）
アプリケーション→YPAGERJ.EXE
リモートホスト→△△△△（ここは相手の方の情報なので伏せさせて頂きます）
リモートポート→5101
方向→送信
プロトコル→TCP

となっていました。
それに、なぜか遮断したはずなのに“許可”の方にログが残っていました。

あとでわかったことなのですが、その時PMをしていた方ではなく、まったく別の方が何かのファイルを私に送信したのだそうです。
上のログは５個ほど同じログが残っていたので（ダイヤログも５度表示されましたし）５度送信を試みたのだと思うのですが・・・。
その何かは聞いても答えがないのでいまだにわからないのですが、パソコンに何かをされたのかと思うととても怖いです。

そこで
１．このログから、パソコンに私のパソコンにアクセスされて、何かをされたという可能性はありますか？

２．なぜ遮断（５度とも全て）したのに、“許可”の方にログが残っていたのか？

OSはXPで、ファイアーウォールはOutpostのフリー版です。

いちおうUndefined Rule、Outpostで調べてみたのですけど、どうしてもはっきりとした事はわかりませんでした。

もし何かご存知の方がいらしたら、宜しくお願い致します・・・！

No.3 ベストアンサー 回答者： WindowsUpUp 回答日時： 2004/02/22 15:30

こんにちは。

私も Outpost を使っています。しかし、ヤフーメッセンジャーのことは何も分かりません。回答にも自信はありませんが・・・。

（１．への答え）
その可能性はないでしょう。仮にファイアウォール（ＦＷ）で通信を許可しても、メッセンジャーで許可を与えない限り相手との交信は成立しないのではないでしょうか。
また、「パソコンにアクセスされて、何かをされた」こともないでしょう。相手との交信が成立していたとしても、相手はあくまでもメッセンジャーの持つ機能の範囲内のことしかできないはずです。
仮に「メッセンジャーには相手のＰＣを自由に操る機能がある」としたら、確かに何をされてもおかしくありません。しかし、実際はせいぜい「相手のＰＣ内の特定フォルダにファイルを送る」くらいしかできないのではないでしょうか（それも、koneko6 さんがメッセンジャー上から許可を与えた場合に限っての話です）。

（２．への答え）
Outpost フリー版には、ログ表示機能のバグがあるようです。ＦＷではきちんと遮断された通信でも、ログには Undefined Rule で許可されているように表示される場合もあるようです。
実際、ユーザーフォーラム（ＵＲＬは下記）内を検索すると、「Undefined Rule = ログ表示機能のバグだ」という説明が多数ヒットします。全部の Undefined Rule がバグに由来するものかどうかは（専門知識のない）私には分かりませんが、少なくとも遮断したはずの通信が実際に許可されてしまうような致命的なバグは、いくらフリー版とは言え放置されているはずがないと思います。

＜その他１＞
△△△△は、誰を指しているのでしょうか？　ＰＭの相手だったら、この通信は（特に許可する必要もないかもしれないが）危険なものではないもかもしれません。この点は、「ヤフーメッセンジャーは、ポート5101を使って何をする仕様になっているのか」を確認なさってみてください。

＜その他２＞
> まったく別の方が何かのファイルを私に送信
> その何かは聞いても答えがない
どうも信用できる人ではなさそうです。しかし、特別な「クラッキング」技術などを持っているわけでもないでしょう。

＜その他３＞
Undefined Rule は、「定義されていない通信理由」と考えるべきでしょう。ルールを作成していない種類の通信について Outpost はダイアログを表示、ユーザーによる意思決定を求めます。その間の通信はルール未定義状態、つまり Undefined Rule としてログ表示されるのではないかと思います。
ダイアログに「遮断」で答えても、ログ表示機能のバグによって Undefined Rule が許可のログとして表示されてしまった、というのが今回の現象だと思います（自信のある説明ではありませんが・・・）。

＜スパイウェアについて＞
スパイウェアとは、基本的に企業がマーケティング目的で作成するものです。悪質な「キャッチセールス」のようなものと言っても良いでしょう。
しかし、一般のネット利用者にとっては、ウィルスや不正侵入よりもスパイウェアによって被害を被る可能性のほうがはるかに高いと思われます。そうした観点からも、これを機会にスパイウェア対策の見直しもされることをお勧めします。morinokoneko さんお勧めのサイトが大変参考になります。ぜひ全体を通読してみてください。
私も、SpywareBlaster と Ad-aware を使っています（Spybot-S&D については、最初見たとき「何だか難しそうだから後回しだ」と思ったきり、今でも導入していませんが・・・）。

【最後に】
通信のことは素人には難しいので、悩みだすとキリがありません。とりあえず Shields UP! 、Sygate Online Services 、PC Flank 、シマンテックなどの定番「セキュリティチェックサイト」でＦＷ設定の正しさを確認、あとは「いざとなったらＯＳクリーンインストールで全部解決だ。たかが個人用ＰＣのことでそうビクビクする必要はない」と腹を括るしかないのではないでしょうか（私もそうするよう努力しています^^;)。

参考URL：http://www.outpostfirewall.com/forum/

この回答への補足

すみません！
書き忘れてしまったので、ここに追加させて下さい。

>△△△△は、誰を指しているのでしょうか？
PMの相手ではありませんでした（その相手の方に聞いたプロバイダとは異なるプロバイダ名が表示されていました）。
多分、まったく別の方で、何かのファイルを私に送信した方だと思います。

>この点は、「ヤフーメッセンジャーは、ポート5101を使って何をする仕様になっているのか」を確認なさってみてください。
ヤフーメッセンジャー、5101で調べてみたのですがわかりませんでした・・・。

以上です。
申し訳ありませんでした・・・！

補足日時：2004/02/22 20:52

この回答へのお礼

ご回答ありがとうございます・・・！

バグについてですが、そういえば、Outpostで、意思決定の間、少し迷ったりしていると“許可”の方にログが出てしまい“ログが出てしまう前に、それこそ超スピードで意思決定しなくてはならないもの”なのかと思いこんでいました・・・。
この現象はバグだったのですね・・・！
以前NIS（お試し版）にした時はこの様な事はなかったので、ずっと疑問に思ってました。
でも、こうしてログの上では許可した様に表示されていても、実際にちゃんと遮断されているのでしたら、気にしない様にしたいと思います。

書き忘れてしまったのですが、今度の場合は1度目のダイヤログが出た時は、焦ってしまったのもあってアプリケーション自体（ヤフーメッセンジャー）を全て遮断するにチェックを入れてしまったのです。
しかしそれではヤフーメッセンジャー自体の通信もできなくなってしまいますので、その後ヤフーメッセンジャーのルールを削除、作り直しました。
問題の相手に対しては、その後は“今回は遮断”を選んで遮断していたのですが、ログの表示自体はどちらの遮断を選んだ時も同じでした。

教えて頂いた、Shields UP! SygateOnlineServices 、PC Flank 、シマンテックでスキャンしてみました所、開いているポートはありませんでした。
ただ、PC Flankだけは、Quick Test→Start Testとクリックしてみたのですが、良く操作方法がわかりませんでした。
とり急ぎお礼の方だけでもさせて頂き、今後じっくり勉強して見たいと思います。

>いざとなったらＯＳクリーンインストールで全部解決だ。たかが個人用ＰＣのことでそうビクビクする必要はない。
私もそう思います。
でも、今までちょっと何かあるとクリーンインストールの繰り返しで、今はホトホト疲れてしまった・・・というの正直な所です・・・・。
（それこそ1カ月に15回以上もしてしまっていたので
・・・）
それに、“どういう通信なのかを納得できない限り、また同じ事があった場合等、クリーンインストールの繰り返しからは抜け出せない”と思い、質問させて頂きました。
根性のない事で申し訳ないのですが、ご回答頂いてとてもためになりました。

ありがとうございました・・・！

お礼日時：2004/02/22 20:51

No.6 回答者： WindowsUpUp 回答日時： 2004/02/22 23:28

> Shields UP! SygateOnlineServices 、PC Flank 、シマンテックでスキャンしてみました所、開いているポートはありませんでした

それなら安心です(^^)
> PC Flank
久しぶりに同サイトを見たのですが、結構説明がややこしかったんですね。
PC Flank のテストはやらなくても良いでしょう。Shields UP! と Sygate のスキャンでステルスなら大丈夫です（シマンテックは少しチェックが甘いような気がしないでもありません・・・）。

> 今までちょっと何かあるとクリーンインストールの繰り返しで（中略）それこそ1カ月に15回以上も
私もネットを始めたばかりの頃はかなり悩みました（今でも実はしょっちゅうビクビクしています）。koneko6 さんの気持ちも分かりますが、ちょっと心配し過ぎではないでしょうか。
精神衛生のためにも、複数のＰＣを使われた方が良いと思います。普段のネット接続は重要データを入れていないＰＣで行って、（ＰＣが起動しないなどの）深刻なダメージを受けた場合に限ってクリーンインストールを行うようにしても良いのではないでしょうか。
万が一ＰＣにトロイの木馬やスパイウェアを仕込まれたとしても、見られるのはＰＣの中だけです。koneko6 さんの部屋が盗撮・盗聴されたりするわけではありません。ＰＣの中に「これを知られたら私の人生はお終いだ！」というようなデータでも入っていない限り、大したことはありません(^^)

私も「パケットキャプチャ」なんて何が何やらサッパリ分かりません。専門の技術者ではないので、そこまで難しいことを理解するのは無理だと開き直っています。

悩んでもキリがないこともあります。
家の電話が盗聴されているかもしれないし、携帯の通話も盗聴されているかもしれない。買い物をした店の店員が、私のクレジットカード番号を知って悪用するかもしれません。また「もしもし、○丁目の koneko6 ですが、うな重の上10人前の出前よろしく」などというイタズラは、何をどうやっても防ぎようがありません。
一通りやることをやったら、後は腹を括りましょう^^;

この回答へのお礼

ご回答ありがとうございます・・・！
大変遅くなってしまって申し訳ありません！

教えて頂いたサイトでのセキュリティチェックで、ファイアーウォール設定は大丈夫だとの事で安心しました。

でも、そのさいシマンテックで、ルーターやファイアーウォールの向こうにパソコンがあるため、こちらからはIPアドレスがスキャンできません・・・。みたいな（すみません！良く覚えていないのですが、こんな様な）メッセージが表示されました。

これは、スキャンされたのはパソコンそのものではなく、ルーターだったという事なのでしょうか？
このメッセージはシマンテックだけで、他は出ませんでした。
という事は、他のサイトはパソコン自体をスキャンした・・・という事なのでしょうか・・・。

心強いお答えをありがとうございます・・・！
今後も、教えて頂いたサイトでのチェックを続けて生きたいと思います。

ありがとうございました・・・！

お礼日時：2004/04/01 15:50

No.5 回答者： morinokoneko 回答日時： 2004/02/22 21:43

良いお礼ありがとうございました

かなり勉強してきましたね
これで上達が早そうです
私を技術的に抜かしたら逆に今度は怒って教えてください
＾＾。抜かされているかもです＾＾
頼もしい。

貴殿のＰＣはまず問題がないと私は思っています。
PromScan ３月ぐらいとかいうのを読んだことがあります
楽しみですね

これより簡単なのがEthernetです
多分ＸＰ対応だとおもうんですが（未確認）
以下ＵＲＬを参考にしてください
http://www.space-peace.com/ethereal/ethereal.htm
上で日本語で解説してますので
これが理解できるようになれば　こっちのものだと
思っています

やたらめったら妄想のびびりがなくなります＾＾
これをやるとネットワークが大体私のような愚か者でも少しわかるので　一度試してみる価値はあります。


＞ヤフーメッセンジャー、5101で調べてみたのですがわかりませんでした・・・。

これ　お時間あるとき　ヤフ-に直接問い合わせた方が
良いようです。
私も調べたけれどひっかかりませんでしたから。

＞
ヤフーメッセンジャーには自動起動するプログラムがあり、それが関係しているという事なのでしょうか？

今回のことと自動起動が関連するはないと思います。
おっしゃるようにヤフ-メッセンジャ-はなんかいらない
プログラムがあるように思います。

なんとなく心配になりスパイウェアを調べていただきました。お手数をおかけしたことをお詫びします。多分他の回答者さんがおっしゃる説
許可になったのはバクであるといってよいとおもいます
メッセンジャーをつかったことが昔ありましたが
メッセンジャ-で遮断したら相手との通信は
出来ませんでしたから。（今は知りません＾＾；）

なんかを送ろうとしたけど　貴殿がメッセンジャ-で遮断して相手が送信できなかったログがＦＷの恐ろしいバクで許可として残ったといったところだと思います。

しかし私個人的に思いますに　ログがＦＷで残らないように
ルータ側でパケットフィルタリングしたほうがいいのでは
ありませんか。
私は今ＶＢ2004を利用してますが　パケットフィルタリングでＦＷのログなどとれないです。
パケットフィルタリング機能がなければあきらめましょう。

この回答へのお礼

ご回答ありがとうございます・・・！
大変遅くなって申し訳ありません・・・！

こちらこそいつも気を使って頂いてありがとうございます・・・！
まだまだ未熟者・・・（私の場合、それ以前の気もしますが^^;）の私に、いつも親身になって頂いて本当に感謝です・・・！

パソコンには問題なさそうで安心しました。

>なんとなく心配になりスパイウェアを調べていただきました。お手数をおかけしたことをお詫びします。
とんでもないです・・・！
教えて頂いた2つのソフトによって、より安全なセキュリティの状態に近づく事ができたと思います。

参考URLありがとうございます・・・！
何度か読ませて頂いたのですが、やはりPromiScanも、Ethernetも私の理解力では難しいみたいです・・・。
やはり、もっとネットワークのスキルが必要だなと
痛感しました。
せっかく良いソフトを教えて頂いたのにすみません・・・！
でも、おっしゃる通り、XPにも対応しているとのことですし(F&Qに記載されていました)、もっとスキルをつけたらEthernetに挑戦したいと思います・・・！

ルーターですが、そのあと問い合わせてみたら、デフォルトのままでパケットフィルタリングされて入りとの事・・・。
ルーターのログを見てもフィルタリングされている様でした。
ルーターでフィルタリングされていれば、そもそもファイアーウォールのログには何もでないのでしょうか・・・。

ヤフーにも問い合わせしたいと思います。

そして、教えて頂いたAd-aware、Spybotをはじめ、ウイルス定義の更新、Windows Updateを今度も続けていきたいと思います。

ありがとうございました・・・！

お礼日時：2004/04/01 15:23

No.4 回答者： morinokoneko 回答日時： 2004/02/22 18:18

#3さんの回答がとても参考になると思います

Outpostを知らない私自身がかなり参考になりました
ありがとうございました

ふと過去記事でのお礼を見ていたのですが
Ｓ社のセキュリテイのところを参考にしてもOutpostでの設定が自信がないとなれば
ＶＢ2004はどうでしょうか？
これはシマンテックほど難しいものではありません
（以前シマンテック社のＮＩＳでＨＰがみれないなどの
不具合があっても
操作がわからなかったとおっしゃっていたので）
初心者にぴったりといって良いと思います

http://www.trendmicro.co.jp/trial/vbagreement.asp

ウイルス対策を今何をされているのかわかりませんが
もしこれをみて気にいられたのであれば
ウイルス対策ソフトとＦＷを一旦アンインストールして
ＶＢ2004体験版をインストールしてみてください
30日は無料です
ＶＢ2004だと設定も簡単でアイコン一つで
操作は誰でも出来ます
ただし一回しかアップデ－トができませんので
動作を確認したらすぐさま製品版に変更をしてください
昨今はパターンファイルが一日何度もつくられるほど
ウイルスがたくさん出まわっているのはご承知だと
思います。

またお話が今回とは違うんですが
PromiScan （無料ソフト　英語ですが
ネットワ－クがある程度わかります）をＸＰですので
導入してみて勉強されても良いかなあと思っています
私自身現在キャプチャをしながら勉強してます
（私は違うソフトを利用しています）

参考URL：http://www.trendmicro.co.jp/trial/vbagreement.asp

この回答へのお礼

たくさんのご回答ありがとうございます・・・！
まとめてこちらにお礼をさせて頂きます。

ヤフーメッセンジャーには自動起動するプログラムがあり、それが関係しているという事なのでしょうか？（まちがえでしたらすみません）
けれど、ネットを続けていく上で、スパイウェア対策はとても大事だとわかりました。

ウイルス対策ソフトは、パソコンにプリインストールされていた、シマンテックのNorton AntiVirus2003です。

教えて頂いたHijackThisdesuですが、手動での動作には自信がないので、No2で教えて頂いたＳpybotとAd-awareをダウンロード＆インストールし、共にスキャンした所、スパイウェアらしきものは出ませんでした（共にレ点が表示されました）。

その後、パソコンにインストールされているシマンテックのNorton AntiVirus2003で、システムの完全スキャン、トレンドマイクロの無料オンラインスキャンをしてみましたが、何も出ませんでした。

いちおう・・・このパソコンは怪しいプログラム等はないと解釈していいのでしょうか・・・。

今まで、パソコンにプリインストールされていたものがシマンテックのNorton AntiVirus2003だった事も、同じシマンテックのインターネットセキュリティを選んだ理由のひとつだったのですが、更新の期限が切れたら、アドバイス頂いたトレンドマイクロ社のウイルスバスター2004の導入も検討してみたいと思います。

教えて頂いたPromiScanですが、こういうソフトがあったのは全然知りませんでした。
ご存知かもしれませんが、グーグルで検索してみましたら
http://itpro.nikkeibp.co.jp/free/NBY/NEWS/200312 …
日本語版も販売されるとの事。
でも、まだ価格は未定らしいですし、できれば無料の方がありがたいので英語版の導入を考えたのですが、私には難しく感じてしまったので、もう少し勉強してから導入の検討をしたいと思います。
ですが、今後ネットを続けていくためにもとても参考になりました・・・！

また新しい事たくさんを教えて頂き、とてもためになりました。
ありがとうございました・・・！

お礼日時：2004/02/22 19:54

No.2 回答者： morinokoneko 回答日時： 2004/02/22 00:50

＃1です

追加ですがYPAGERJ.EXE に関しては現在では問題がないとはされてはいるみたいですが
1のご質問に関しては　スパイウェア除去ソフトを
ご利用になるかそれとも　ウイルス対策ソフトで
スキャンしてみてはどうでしょうか？

ＳpybotとAd-aware(スパイウェア除去　無料です）SpywareBlaster(
無料でスパイウェアが予防されるソフトです）
以下をご覧になってＤＬをするかはご自身でご判断ください　
http://higaitaisaku.web.infoseek.co.jp/menu5.html

以下は
トレンドマイクロ社の無料オンラインスキャンです
http://www.trendmicro.co.jp/hcall/index.asp

これでスパイウェアが検出されるときもあるようです



2に関してはわかりません

識者におまかせします

No.1 回答者： morinokoneko 回答日時： 2004/02/22 00:33

ご無沙汰しております　

過去の厳しい回答に優しいお礼を添えて下さり
ありがとうございました（胸がいたくなってしまい
ました＾＾；）

さて本題に入ります
YPAGERJ.EXE でしらべました
これはどうやらヤフーメッセンジャ-にはスパイウェアが
ついているのではないかなあと思います
（間違っていたらごめんなさい）

http://216.239.53.104/search?q=cache:r6vceV0vPEw …

上のＵＲＬをみたあと
下のＵＲＬでスパイウェア除去ソフトをＤＬしてください

http://higaitaisaku.web.infoseek.co.jp/hijackthi …