勝手にWebアクセスしてしまいます。

Question

社内でサーバーを管理しているのですが、
困っていることがあります。

最近Firewallのログを見ると、httpに不正アクセスしているクライアントが目立ちます。
毎日アクセスログがありますが、決まった時間では
ないため、パケットのモニタリングが困難です。

どのプログラムがhttpへアクセスしているのでしょうか？
どのような方法で調査したら良いでしょうか？
(特定のPC、アドレスではありません)

クライアントは、httpの設定は行っておらず
インターネット接続不可の環境です。

以下、クライアント詳細情報です。

OS：WindowsXP_SP1 and SP2 (複数台)
ドメイン：参加PC　and workgroup　(どちらも)

他に何か必要な情報がありましたら、ご連絡下さい。
よろしくお願いいたします。

Toshi0230 · Accepted Answer

Windowsの自動更新プログラムなどもHTTPを使っていたと記憶してますので、社内ルール的にはともかく、技術的にはHTTPのアクセスが即問題であるとは言えないですね。

まずはFirewallのログから、どのPCからどのサーバに対してHTTPアクセスがあるか、整理してみたらいかがでしょう？
その情報を元に、どのPCにどのようなプログラムが動作しているかを推測して、それぞれ各PCを調査することになると思います。

あと、インターネット(WEB)接続が禁止であるなら、Firewallでアクセス禁止の設定をするのが徹底するための一番の早道だと思いますが。

Toshi0230 · Answer

> 「QND」を使用しています。QND Plusですが。

あらま。なんたる偶然。サンプルとして例示しただけだったんですけどね（＾＾；

> 何のインベントリを見れば良いのでしょうか？

実はQND自体は使ったことがありません（＾＾；；。
類似のソフトの利用経験はあるんですけどね。

QNDのサイトを見ると、QND Plusのインベントリ機能として、以下の情報の取得が可能とあります。

    * ハードウェア情報の収集
    * ソフトウェア情報の収集(アプリケーションの追加と削除情報の収集)
    * 任意設定情報の収集
    * プラグイン(外部プログラム)による特定情報の収集
    * OS・IE・IIS情報の収集
    * レジストリ/INIファイル情報の収集
    * SNMPによる情報の収集
    * Linux/UNIX/Macintosh情報の収集

このうち、「ソフトウェア情報の収集(アプリケーションの追加と削除情報の収集)」を見ることで、全てではないにしろ、情報を集めることが出来ると思います。
あとは「レジストリ/INIファイル情報の収集」かな？

具体的な方法は私も知りませんので、QND Plusのマニュアルを参照してください。ｍ（＿＿）ｍ

> Windows Updateのページだけ直接アクセスという設定はあるのでしょうか？

通常はないと思います。
IEのプロキシ設定内で、Proxyを使用せずに直接アクセスするサイトとして"windowsupdate.microsoft.com" "*.windowsupdate.com" などと設定されていればあり得ますが、まず一般的ではないでしょう。
QNDで、「OS・IE・IIS情報の収集」が出来ますので、Proxy設定情報も見られると思います。そちらでProxy設定を確認してください。

参考URL：http://www.quality.co.jp/products/QND/QND_kinou.html

Toshi0230 · Answer

補足頂いたIPアドレスを、別の方法 (*) で調べてみたところ、どうもマイクロソフトの持っているIPアドレスのようですね。
(*) nslookupによるPTRレコードの検索と、whoisデータベースの検索。今日は説明し切れませんので、詳しい使い方はネットで検索してくださいm(__)m

サーバ名までは検索できなかったのですが、自動更新などのツールか、さもなくばhotmailなどへのアクセスである可能性が考えられます。
……試しにアクセスしてみたら、Windows Updateのサーバでした。

> ユーザーのPC内部を調査というのは、どのような方法で調査したら良いのでしょうか？

これは力仕事になります。
PCの内部に存在する各種実行ファイルや、登録されているサービスを調べて、怪しいものを見つけ出す形になります。
やり方としては、自分の目で見る方法、インベントリ検索ツール（QNDなど、商用ですが多数販売されてます）を使う方法が考えられます。


> 勝手にアクセスしたWebのログ&その際のプロセスを追跡することは可能でしょうか？

クライアント・プログラムがログを残している可能性は低いですし、プロセスを追いかけるのも実際にリアルタイムで見てないと厳しい（たぶん、リアルタイムで見ていても難しい）と思います。

Firewallのログなどを見ながら、怪しいプログラムを実行したり止めたりしながらどのプログラムがどこにアクセスしているかを突き止めていきます。

最初に「アクセス先のアドレスを整理しろ」と書いたのは、最後の作業が大変だからなんです。最初にある程度アタリをつけておかないと、ただでさえ大変な作業がよけいに大変になりますので。

がんばってください。

Toshi0230 · Answer

アクセスしている先のIPアドレスが判っているわけですから、まずはそのIPアドレスのDNS名を検索してみましょう。

Windows 2000/XP の「コマンドプロンプト」で、
　> nslookup <IP Address>
と打ってみてください。
以下のような応答が返ってくる場合があります。
-----------------------------------
C:\> nslookup XX.XXX.XXX.X
Server:  mydns.server.example.ne.jp
Address:  192.168.0.1

Name:    server.at.somewhere.example.com
Address:  XX.XXX.XXX.X
-----------------------------------

この時表示される"Name"に表示される名前が、IPアドレスに対応するホスト名になります。これを元に１つ１つ調べていくことになるでしょう。
（実際にIPアドレス先にアクセスすることは、PCセキュリティ的に危険を伴う（ウィルスや自分のPCへの攻撃など）場合がありますので十分に御注意下さい）

後は、定期的にFirewallのログをとり、アクセスの傾向を掴むのも良いでしょう。（決まったアドレスを巡回しているのか、全くランダムにあちらこちらにアクセスしているのか）

ただ、最終的にはユーザのPC内部を調査しないと、ハッキリしたことは言えないと思います。

勝手にWebアクセスしてしまいます。

Windowsの自動更新プログラムなどもHTTPを使っていたと記憶してますので、社内ルール的にはともかく、技術的にはHTTPのアクセスが即問題であるとは言えないですね。

> 「QND」を使用しています。

補足頂いたIPアドレスを、別の方法 (*) で調べてみたところ、どうもマイクロソフトの持っているIPアドレスのようですね。

この回答への補足

アクセスしている先のIPアドレスが判っているわけですから、まずはそのIPアドレスのDNS名を検索してみましょう。

この回答への補足

似たような質問が見つかりました

関連するカテゴリからQ&Aを探す

デイリーランキングこのカテゴリの人気デイリーQ&Aランキング

マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング