NATの外から内側へアクセスされた場合のポート番号

家のネットワーク環境は、NATを経由してインターネットに
繋がっています。そこへ、外部へ持ち出す関係上ファイアウォールを
インストールしたノートPCを接続したところ、外部からのアクセスが
ありましたとのメッセージが記録されました。
NATがあると、内から外へのアクセスはそのままで、外から内への
アクセスは難しくなると認識していたのですが、その点について
教えてください。

1. 外部からNATルーターを超えてアクセスできるのでしょうか？
ポート開放は行っていません。
2. また、できないとすると、この状態はNATがクラックされていると
考えるべきでしょうか？
3. アクセスされたPC上で感知できているポート番号は、外部から
アクセスしているポート番号とは異なっているのでしょうか？
つまり、攻撃の手口の解明には使えないのでしょうか？

No.3 回答者： Yemu 回答日時： 2004/10/06 11:18

単純にLAN内部のPCがだすブロードキャストの

パケットを拾っただけじゃないですか？
アスセスされたポート番号とかを書いて
いただければわかりますが、
おそらくWindowsNetworkで使用する
ポートにアクセスがあっただけじゃないかと
思います。
Virusbasterなどのfirewall機能の
ログを見ても普通に拾ってますので

あと揚げ足取りなりますが、
NATがクラックって変な言葉に思えます・・・
Source、Destination、protocol（ポート）で許可して
いなければ進入はできないはずですよ。
ましてやプライベートIPであるLAN内に
進入するには本当にRouterをハッキングしないと
できませんね。

No.2 回答者： noname#14035 回答日時： 2004/10/05 19:02

こんばんは。

ファイアーウォール等のアラートを見てしまうと、どうしても不安を覚えてしまうお気持ちはお察ししますが、少し結論を急ぎすぎているカンジがします。（現状では、判断材料となる情報が少なすぎます。）

他の分野でもそうだと思いますが、質問時には出来る限り具体的な情報を添えていただくようにすると、識者からのより正確な回答が得やすいと思いますヨ。

PFW等のアラート内容に関しては、アラートダイアログそのものやログなどの情報から、該当すると思われる通信の「プロトコル種別（わかる場合）」「送信元IPアドレスとポート番号」「あて先IPアドレスとポート番号」などの情報を書き添えていただけると、状況判断がしやすくなると思います。

とはいうものの、今回は一般論をベースに、考えられる状況等を添えながら、各質問内容に私なりの回答をさせてくださいネ。

>>1. 外部からNATルーターを超えてアクセスできるのでしょうか？
ポート開放は行っていません。
↓
基本的にはNAT（NAPT）環境のLAN等にインターネット側からアクセスする事は出来ません。（ポート開放やDMZ機能などで、明示的な許可を与えない限り。）

純粋にインターネット側から侵入しようとするパケットは全てWAN側のインターフェース上にて破棄されますので、パケットを到達させる事はもちろん、内部の様子をうかがい知る事もできません。

ところで、問題の（攻撃を検出した）PCから見れば、たとえそれがLAN上のコンピュータからの通信だったとしても、「外部からの通信」ということになります。（そのPCから見れば、ルーターのNATはより先の通信経路上にて行われるものですから、ルータのNAT設定とLAN内のPCのアラートを同次元で語れるわけではありませんね。）

まずは、当該アラートにおける「発信元」がローカルIPアドレスからのもの(典型的にはNetBIOS関連）ではないかを確かめる必要があると思います。（必要な通信である事がはっきりし、今後アラートをあげたくない場合、通信を許可しアラート対象外として扱う設定作業が必要でしょう。）

一方、もしも当該アラートがグローバルIPアドレス、もしくは自組織（割り当て）以外のプライベートIPアドレス（偽装を含む）からの通信を検出したものであり、通常は受け取るはずの無いものであった場合は、まず、それが自ら始めた通信の返答などで無いか調査・確認し、何れのケースにも該当しない場合、初めて外敵脅威を疑う事になります。（それでもなお、不具合等を始めに疑うのが常道です。）

前述したように、通常NAT環境ではWAN側から任意（タイミングで）のインバウンドパケットを受け取ることはありませんので、この場合はウィルス対策ソフトなどで、何らかの悪意あるプログラムが仕掛けられていないか確認するとともに、PCやルーターの設定を変更されていないかどうかチェックする必要があるかもしれません。

>>2. また、できないとすると、この状態はNATがクラックされていると
考えるべきでしょうか？
↓
「NATがクラックされる」という表現がいまいちピンとこないのですが、あえて危険性を挙げるとすれば、ルーターのファームウェアなどに設定変更が施されてしまう可能性という事になると思います。（ポートフォワーディングやDMZ設定など。）

しかしながら、通常WAN側からの設定変更は出来ないはずですから、可能性としては非常に低いでしょう。

何れにせよ、基本的には現在のファームウェア設定を再確認すれば良いという事になります。

加えて、下記のサイトなどを利用して、偶発的・悪意を問わず無意識に外部に対して開いてしまっているポートが無いか確認しておくことも有用でしょう。（しつこいようですが、あくまでルータ上の通信制御に関する話ですから、問題を切り分けて考えてくださいね。）

■パーソナルセキュリティー研究所■　Copyright(c) 2000 P-Sec.NET All rights reserved
↓
http://www.p-sec.net/

ちなみに上記のサイトでは外部からのポートスキャンを含めたセキュリティー状態の診断が出来ます。（ウィルスやトロイの感染が無く、上記のテストでも問題が無ければ、直接の侵入リスクに対してはほぼ安心してよいと思いますよ。）

>>3. アクセスされたPC上で感知できているポート番号は、外部から
アクセスしているポート番号とは異なっているのでしょうか？
つまり、攻撃の手口の解明には使えないのでしょうか？
↓
大切なのは、「自分のPCのどのポート番号に対するアクセスなのか？」と言うことです。（この情報から、相手が利用しようとしたプロトコル（サービス）が判断できる可能性があると言うことです。（例えば、あるトロイの木馬が利用するポートや脆弱性が報告されたサービス関連のポートなど宛てでないか確認するわけです。）

繰り返しになりますが、「どのノード（IPアドレス）のどのポート」から「自分のPCのどのポート」に対して
の通信であるかと言う情報などから、総合的な判断を行うという事になります。（ネットワークに関する話ですから、単一のポイントではなく、全体的な流れを考える必要があります。

と言うわけで、他の回答者からの情報も含め、再度確認されてみる事をオススメします。

あくまで、一般論ですが、直感的には「問題なし」というカンジがします。

以上、参考まで。

それでは。

No.1 回答者： anmochi 回答日時： 2004/10/05 18:38

> 外部からのアクセスがありましたとのメッセージが記録されました。

　多分これはNATの外じゃなくって、そのノートパソコンの外なんだと思うよ。パーソナルファイアウォール(PC上でソフトウェアで実現するタイプのファイアウォール)の場合、中から外の通信はパソコンからネット上へ、外から中の通信はネットからパソコン内へのアクセスになる。なので、NATの外からの通信ではなくって、ADSLルータやLAN内のほかのパソコンからのアクセスだと考えられる。

　もしNAT経由できたのだと確信できるのであればその根拠をまず示すべきだ。例えば、その「外部からのアクセス」がLAN内で使われていないIPアドレスから来ているとか。むしろこのような質問をしているのになぜ外部からのアクセスが具体的にどこ(送信元IPアドレス)から来ているのかを書いていないのだろうか。本当にNATの外からきたのかどうかが推測すらできない状況なのでどんなに詳しい人でも回答できないよ。これじゃ。
　何を書けばより良い答えが期待できるかを示しておくので参考にして欲しい。

・送信元IPアドレス、ポート(どこから来てる(と認識されている)のか)
・送信先ポート(何番にアクセスがあったかで、何を目的としたアクセスかが類推しやすい場合も多い)
・ノートパソコンで使っているOS
・ノートパソコンで使っているファイアウォールソフト