外部へ通信しようとしたがブロック

ウイルスセキュリティ2005で時々表示される警告の中に「ブロックしました。このパソコンから外部へ通信しようとしましたがブロックしました。ルール：ICMPプロトコル（pingコマンドで使うプロトコル）Remote　Computer：202.248.141.198（35243）Local　Computer：58.1.51.251（2048）プロトコル：ICMP」というのがあります。これは頻繁に出ます。正当な通信なのか、スパイウェアなどの通信なのかの判断はできないのでしょうか。後者なら駆除する必要がありますし、前者なら通信できるようにする必要がありますから、ぜひ知りたいと思っています。ただ、ウイルスセキュリティ、ノートン、ウイルスバスターなどを使って、ウイルス検査をしても感染無しと出るのですが、やはり、心配です。どなたか、教えてください。

No.2 ベストアンサー 回答者： oyaoya65 回答日時： 2005/10/13 21:48

＞ニフティへが求めた応答をブロックさせてもいいのでしょうか

ニフティという会社がやっているのではなくニフティの管理するドメイン内の誰が使っているか分からないPCが普段使わないサービスを求めてきているわけです。
これによって質問者さんに何の不都合がなければブロックした方が良いですね。
たとえば「あなたの家は月曜日～金曜日の午後１時から3時まで誰か在宅ですか？」と普段見たことの自称裁判所の調査官という方が見えて尋ねられたら、あなたは信用して「はい、誰もいません？」と返事しますか？
あるいは、女の子または身体不自由な年寄り一人しかいないとういう返事をしますか。こんな質問に返事してはいけませんね。
何か悪さ（空き巣や強盗など）をする予備調査かもしてません。
あなたが税金を滞納していて、裁判所から何月何日に差し押さえ令状をもって伺いますといった手紙をうけっとっていて、その件で裁判所から問い合わせがあった場合は問い合わせに返事をすべきでしょう。
通常起こりえないような所からの問い合わせには応じない方が言いということです。

pingコマンドは予備調査のコマンドですね。心当たりのない来客には応答しないというのがインターネットのセキュリティ対策の鉄則です。

＞「ポート2048は、………ファイアーウォール（Windowsファイアウオールまたはウイルスセキュリティ2005）で閉じておいてください」とありますが、現在の設定で良いということですか。

お使いのウイルスセキュリティ2005の設定を確認できませんので「現在の設定で良い」とはいえません。いえるのはポート2048のサービス要求に対してあなたのPCが応答しようとしたので「ウイルスセキュリティ2005」がそれをブロックしたということですね。つまりPCの2048のポートは開いていて、「ウイルスセキュリティ2005」の設定で応答を阻止しているということですね。
（見知らぬ訪問者が家に侵入して退散するところを差し押さえたといった感じですね。はじめから見知らぬ訪問者が家に侵入しないように戸締りしておいた方が良いですね。）
それには開けっ放しになっている沢山のポートが訪問者受けいれないように戸締りしておいた方か言いということです。「ウイルスセキュリティ2005」はやすいですので大まかなセキュリティ対策しかできませんね。
「ノートンインターネットセキュリティ2005/2006」や「ウイルスバスター2005/2006インターネットセキュリティ」は高いだけあってきめ細かなセキュリティ対策ができます。

お使いのPCのポートの開き具合は以下のサイトのセキュリティサイトで調べられます。「ステルス」が最もよく（ポートの存在が見えない状態）、「閉じている」（ポートの存在とそこに鍵が掛かっていることが外部から分かる状態）が次によく、「開いている」は全く無防備ということです。サーバーの運用をしていない限りすべてステルスにしておくべきですね。
チェックサイトのURLは参考URLをご覧ください。インターネット上から「セキュリティリスクのスキャン」をしてくれポートの開閉状況を調べてくれ危険を指摘してくれます。
一度、チェックしてみて、開いているポートはあったら「ウイルスセキュリティ2005」のファイアウオール機能またはWindowsファイアウオール機能（WinXP SP2の機能）を使って、入り口で遮断する設定をしてください。

参考URL：http://security.symantec.com/ssc/home.asp?j=0&la …

この回答への補足

お勧めに従って、ポート2048をステルスにしようとしましたが、方法がわかりません。ソースネクストの方はアンインストールし、ノートンをインストールしました。ファイアウォールのレベルを高レベルにしたところ、「全ての未使用ポートをリモートコンピュータに対して不可視にします」となりましたので、この設定でいいのでしょうか。これ以外に、ポート2048を選択してこれのみを不可視にするという設定は可能なのでしょうか。

補足日時：2005/10/14 23:43

この回答へのお礼

お礼が遅くなり済みませんでした。ありがとうございました。おかげさまで、少しずつメッセージの意味がわかってきた感じがします。

更に、補足で質問させてください。

よろしくお願いします。

お礼日時：2005/10/14 23:38

No.3 回答者： oyaoya65 回答日時： 2005/10/15 02:42

#2です。

＞ファイアウォールのレベルを高レベルにしたところ、「全ての未使用ポートをリモートコンピュータに対して不可視にします」となりましたので、この設定でいいのでしょうか。

勿論、いいですが、
カスタムレベルでファイアウォールを高レベル、Javaアプレットセキュリティを中以上、ActiveXコントロールセキュリティ：中レベル以上
アクセス制御警告有効：チェック
未使用ポートアクセス時に警告：チェック
OK
と設定してもいいですね。

プログラム制御タブのところ
プログラムの自動制御オンにする：チェック
手動プログラム制御の下のプログラム：
安全またはインターネットに接続があるソフト：すべてを許可または自動に修正
あなたがインストールしたインターネットにアクセスのあるソフトは追加で加える

ネットワークタブのところ
安全だと分かっているサイトを「信頼」の方に「追加」で列挙しておく

拡張タブのところ
以下のルールはノートンのセキュリティサイトから自動で書き込まれますが、画面にこの接続を許可しますか、遮断（拒否）しますか、と表示されたとき、以下のルールの中に書き込まれます。しかし間違えて応答するとそれ以降接続できなくなります。そのときかここに書き込まれたルールを修正してやれば正常に接続されます。
一般ルール
こちらは一般のポートを遮断するか、通過させるかを受信（入力）方向、送信（出力）方向を指定して、追加で付け加え、修正で設定を変更します。
ポート2048のTCP/UDPを送受信方向とも遮断しておきます。

トロイの木馬ルール
こちらは多くのところから、あるいは特定のサイト（IPアドレス）から特定のポートに攻撃が仕掛けられることに対して遮断をします。ノートンのサイトからLiveUpdateで書き込まれますし、追加で自分でも書き込めます。

ポート2048の攻撃が上記のどちらと見なすかにより、一般ルールか、トロイの木馬ルールで遮断するかを決めます。
上記のルールの一覧は上の方に書いたルールの方が優先です。たとえば、たとえば、ファイル共有のためのポートに対して、許可するIPアドレスを設定するルールを書いて、その後、すべてのファイル共有のためのポートへの接続をすべてのIPアドレスに対して遮断するルールを書けば、上のルールで許可したIPアドレスのサイトだけがファイル共有ができることになります。

＞これ以外に、ポート2048を選択してこれのみを不可視にするという設定は可能なのでしょうか。

上記に設定をどこで設定するかすでに書いたとおり、受信（入力）方向の接続を遮断する設定をしておけば不可視に設定できるわけですね。入力方向を遮断していますので勿論、応答出力も出ません。ただし出力（送信）方向は遮断していませんのでパソコンからそのポートを使っての外部へのアクセスはできます。絶対に使わないポートであれば、出力方向も遮断しておけばいいかと思います。
遮断した接続はログに残す設定（追跡タブで「イベントエントリを作成する」をチェック）をしておきます。
ログを残すことで後から攻撃サイトや攻撃されたポート、攻撃の頻度などを調べるのに役立ちます。（一般ルールで遮断設定したり、ネットワークの制限サイトに追加したりするのに使います。）
特に危険な攻撃に対してはその都度パソコンの画面に警告メッセージウインドウを表示する設定（追跡タブで「セキュリティ警告で通知する」をチェック）をしておきます。

この回答への補足

ウイルス対策初めての私にとっては、まだまだわからないところが多いです。が、これまでいただいた回答を保存しておいて、徐々に理解する努力をしていくつもりです。パソコンの使いはじめと同様に一気に理解することはできないでしょうから。お世話になりました。

補足日時：2005/10/15 10:47

この回答へのお礼

だいぶ時間を割いていただいたと思います。丁寧で詳しい回答本当にありがとうございました。また、そのうち質問させていただくこともあろうかと思いますが、そのときもよろしくお願いいたします。

お礼日時：2005/10/15 10:55

No.1 回答者： oyaoya65 回答日時： 2005/10/13 12:21

ニフティサイトからあなたのPCのポート2048にpingが掛けられ応答を求めるアクセスで、セキュリティソフトが応答をブロックしたということですね。

ポート2048は、DLS-MONITORというサービスポートで、不正アクセスのターゲットとして狙われ易いポートの一つです。このポートは通常使わないポートでサービスを停止推奨されているポートです（危険度は低い）。
2048(TCP/UDP)ポートはファイアーウォール（Windowsファイアウオールまたはウイルスセキュリティ2005）で閉じておいてください。

＞駆除する必要がありますし、前者なら通信できるようにする必要がありますから、ぜひ知りたいと思っています。ただ、ウイルスセキュリティ、ノートン、ウイルスバスターなどを使って、ウイルス検査をしても感染無しと出るのですが、

この警告メッセージが出たことと、ウイルス感染していることは無関係です。ウイルス感染検査して感染なしなら、ほっておいてなんら問題はないですね。

この回答への補足

「ニフティサイトからあなたのPCのポート2048にpingが掛けられ応答を求めるアクセスで、セキュリティソフトが応答をブロックしたということ」とありますが、ニフティへが求めた応答をブロックさせてもいいのでしょうか（この点はニフティに聞いた方がいいヵとも思われますが、どうでしょうか）。

次に、「ポート2048は、………ファイアーウォール（Windowsファイアウオールまたはウイルスセキュリティ2005）で閉じておいてください」とありますが、現在の設定で良いということですか。それとも、何か特別の設定をする必要があるということですか。

補足日時：2005/10/13 20:10

この回答へのお礼

ありがとうございました。放っておいても安心ということがわかりました。

ただ、回答の中でインターネット初心者の私には更に疑問がわきましたので、補足でもう少し質問させてください。

お礼日時：2005/10/13 20:09