パーソナルファイアウォール

Question

ウイルスバスター2006を使っていますが、初めてログ(履歴)を見てビックリしました。
パーソナルファイアウォールログを見ると毎日数十～百のファイアウォールがブロックされています。今日だけでも、パソコンを起動した
8:20から現在の8:40までの20分の間に23件ログが表示されています。
これは異常なのでしょうか？設定がおかしいのでしょうか？これだけ多くの攻撃を受けているといくつかはファイアウォールに引っかからずにパソコンに進入しているものも、あるのではないかと不安です。
また、もしもファイアウォールソフトを入れていなかったら大変なことになっているのでしょうか？(常に不特定多数の人にパソコンが除かれている状態とか。)

ryu-fiz · Accepted Answer

"C\WINDOWS\SYSTEM32\SVCHOST.EXE"（"SVCHOSY"はおそらく誤記ですね）は通常でも複数個起動するシステムプロセスですから、それが複数あってもそれだけで怪しいとは言えません。

少々調べてみたのですが…
http://kintama.client.jp/
辺りに書かれていることを参考に考えると、タスクマネージャーを起動してみた場合、各svchostの右側の『ユーザー名』に表示されているのが『SYSTEM』『NETWORK SERVIVE』『LOCAL SERVICE』のような名称なら正常なプロセスである可能性が高い反面、特定のユーザー名が表示されている場合には怪しいプロセスである可能性が濃厚、なようです。

私自身もその辺をきちんと見極めるだけの知識は完全にはありませんが…単に複数起動しているから危険、というものでないことは確かです。

定義更新中にウィルスバスターのファイアウォールが無効になる、という話については…当方が利用した経験がないので何とも言えません。
ただ、ウィルス対策機能はともかく、ファイアウォールを敢えてネットから切断することなく一旦停止してからファイルの書き換えを…というのはにわかには信じがたいな、というのが正直な印象です。

例えタスクトレイ上からアイコンが消える場合でも、保護に直接関与するプロセスは停止せずにそのまま、という場合もあり得ます。それに一旦ファイアウォールを終了しなければ更新が完了できない場合にはシステム自体の再起動が要請されるのが普通ではないかと考えられます。

いくらなんでもトレンドマイクロのような世界でも有数なベンダーが、例え数秒間と言えどクライアントのPCを丸裸にしたまま、ネットの只中に放り出すような真似をするとは考えられません。そんな仕様である事が世間一般に明らかであるなら、とっくにいろんな方面から叩かれていてもおかしくはない感じもします。

ですから、その辺は現状心配することはないと思います。ウィルスバスターのファイアウォールを無効にしてまでWindowsファイアウォールを有効に…というのは考えなくて良いと思います。

ryu-fiz · Answer

>ryu-fizさんはどこのウイルス対策ソフトを使っているのですか？そのソフトはどうでしょうか(定義更新中に無効になりませんか)？

これについてはお答えいたしましょう。
現在私が利用しているウィルス対策ソフトは無償のavast!4.7 Home Editionです。これにはパーソナルファイアウォールが付属していませんので、これも無償のZoneAlarmを使っています。

ZoneAlarmをはじめ、多くの無償版のパーソナルファイアウォールは有償のもののようにルールの定義を随時最新のものに更新する機能はありません。ですから、それをネットに繋いだままの状態で終了させるような機会はまずありません。

また、ウィルス対策ソフトと全く別なプロセスになってますので、例えばAvira AntiVirの無償版のように最新定義をダウンロード後適用する間に一旦プロセスを停止するものと組み合わせた場合にもファイアウォールは有効ですから、ウィルス対策のプロセスが再起動するまでの間にブラウザなどから新しいサイトにアクセスしたり、ファイルを開いたりしなければ、危険はまずありません。

有償の単体のパーソナルファイアウォールソフトの多くは、悪質なプロセスをブロックするための細かな定義をオンラインアップデートで自動、または手動で随時更新するような仕様になってるものが殆どだと思いますが…それらが最新の定義を適用するたびに一旦終了して再起動しなおすのかどうかは、私自身が利用した経験がないのではっきりとは申し上げられません。
（初めてパソコンを購入してから１年間はNortonInternetSecurity2002を使いましたが…これは定義やプログラム更新を行なうたびにネットに接続したまま全ての関連プロセスを終了したりはしなかったと記憶しています。プロセスの終了が必要な場合にはシステム全体の再起動を要求された筈です）

疑問が残るようならやはりトレンドマイクロのサポートに直接お尋ねになるのが良いでしょう。私自身の意見は今のところ従来と変わっていませんが。

odasaka · Answer

No.3です。

> 本当ですか？毎日1～2回はアップデートがあるのでそのたびに不正アクセス
等がパソコンの中まで入ってしまっているのですか？

ウイルスバスター更新中に右下にある青と白のカプセルが、丸い緑色？になる
のはご存じと思いますが、その間ウイルスバスターは無効になっています。

ウイルスバスター2006が出た当初は、Windowsセキュリティセンターが「ウイルス
対策ソフトが無効になっています」というメッセージを出していましたが、今は出
ないように修正？したようです。
（別のウイルス対策ソフトですが、V3 ウイルスブロックなどは、更新中に
プロセスが停止し、更新が終了すると「停止していたプロセスと開始します」という
メッセージを表示します。世の中の多くのソフトはそうなっています。）

いずれにしろ、パソコン起動時ということですが、ウイルスバスターもパソコン
起動時にUpdateのチェックを行いますので、更新があり、それと重なれば不正
アクセスがパソコンの中まで入っている可能性はあります。


なお、同じような相談が他にもあります。

http://okwave.jp/kotaeru.php3?q=2118131

http://okwave.jp/kotaeru.php3?q=2175953

念のため、スパイウエア対策ソフトがインストールされているなら、それで
検索してみてください。

インストールされていないなら、ウイルスバスターにもスパイウエア検索が
ありますので、それを実行してみてくだい。


蛇足ながら、一昔前まではウイルス対策ソフトだけで十分でしたが、現代では
不十分です。
今回の現象とは関係なしに、最低限のセキュリティ対策として、私はウイルス対策
ソフト、スパイウエア対策ソフト、ルータの３つは必須だと思っています。

ryu-fiz · Answer

http://www10.plala.or.jp/palm84/antivirus.html#buster_6
このページにも解説がありますが…ウィルスバスターの標準設定ではポート137番と138番のUDP、139番と445番のTCPの受信がブロックされず許可される設定になってます。

この設定は『ファイアウォールが低機能』と批判された2004年度版までの反省を受けて機能強化された2005年度版からそうなっている模様です。通信の受信側だけでなく送信側も厳しくチェックするように強化された一方で、複数のパソコンとの共有も含めた設定を分かりやすくするための措置だとは思いますが、結果として2004年度版までは十分に働いていた外部のクライアントから自機を見えなくする『クローキング』という機能が損なわれてしまっている可能性があります。

つまり開いているポートが存在するために、第三者からお使いのパソコンの存在が確認され易い状態になっており、結果としてアタックが増えているという可能性が高いと思います。

この件に関するトレンドマイクロ社の文書がありますのでリンクします。
http://esupport.trendmicro.co.jp/supportjp/viewxml.do?ContentID=jp-212126

もし複数のパソコンをLAN接続してファイルの共有などを行なっていない場合には、このページに書かれている通りに設定を変更してNetBIOSの通信をブロックするように設定を変更すれば、アタックされる回数がかなり減るのではないかと思われます。

取り敢えずNetBIOSをブロックする設定を行って、しばらく様子を見てください。アタックがゼロになることはまずありませんが…かなり減って安心できるレベルに落ち着くのでは？と思われます。
それでもアタックが気になるようなら、ルーターを併用されるしかありませんが…ウィルスバスターのファイアウォールと２重に設定するためにはそれなりにネットワーク関連の知識が要求されると思いますので、今回のようなケースだと必ずしもルーターの導入をお勧めするものではありません。

パソコンのご利用状況にもよりますが…ウィルスバスターの設定を変更されるだけでも十分安全性は増すのではないかと思われます。

（Palm84さんでも述解されてますが…これは利用者側の設定不備とかではなく、トレンドマイクロの初期設定の考え方や仕様に若干の問題があるのだろうと思います。ともあれ、設定でかなりカバー出来る問題ではあります）

inota · Answer

Winny2などのP2Pソフトを導入してればかなりの頻度でアタックされます。当然の事ですけれども。


.

odasaka · Answer

異常でも、設定がおかしいのでもない思います。

毎日数十～百回の不正アクセスを受けている人は大勢います。
私も以前は毎日数千回の不正アクセスを受けていました。
（毎日数千件のパーソナルファイアウォールログあり）

今はルータを使用しているので、パソコンまで届く不正アクセスはありません。
（パーソナルファイアウォールにログなし）

アクセスが、3qcojxx5さんのパソコンからの要求に対する応答でなければ、
ルータを使用することにより、パソコンまで届くアクセスはなくなると思います。
つまり、パーソナルファイアウォールにログは取られなくなると思います。

Windows updateで常に最新の状態にしていれば問題ないとは思いますが、ウイルス
バスターのウイルス定義ファイル更新中はファイアウォールが無効になるわけです
から、その間、不正アクセスがパソコンまで届かなくするために、ルータを使用することを
お勧めします。
（５千円程度のルータでかまいません）

yoshi-thk · Answer

ファイアウォールのログですが、それぐらいは普通にあるでしょう。
侵入されているのが心配であれば、ファイアウォールの設定を「高」にしてみてください。

使っているソフトがアップデート等で外部アクセスしようとしている場面に遭遇します。
その時にウイルスバスターが一旦遮断して、アクセスを許可するか聴いてきます。
その時に個別に許可してあげるとアクセスできるようになります。
それは、設定を変えてからの最初１回だけで、許可したものは聴いてくることはないです。

ファイアウォールが入ってないと、他のパソコンから入り込まれている可能性はあります。
ルータを使うことでも、リスクは下がります。

出来る限りであれば、ルータとファイアウォールの併用をした方が、
外部からの不正アクセスを防ぐ確率が非常に高くなります。

Kindon98 · Answer

通信するソフトを使って、設定が不適切ならそんなものです。
Adobe Photoshopでも起動するときにメーカーにログを送りますし、ネットワークプリンターはLAN内のプリンターに接続許可を求めるし・・・。
ログをみて、思い当たるものかどうか確認してみてください。

パーソナルファイアウォール

>ryu-fizさんはどこのウイルス対策ソフトを使っているのですか？そのソフトはどうでしょうか(定義更新中に無効になりませんか)？

No.3です。

この回答への補足

"C\WINDOWS\SYSTEM32\SVCHOST.EXE"（"SVCHOSY"はおそらく誤記ですね）は通常でも複数個起動するシステムプロセスですから、それが複数あってもそれだけで怪しいとは言えません。

この回答への補足

この回答への補足

Winny2などのP2Pソフトを導入してればかなりの頻度でアタックされます。

異常でも、設定がおかしいのでもない思います。

この回答への補足

ファイアウォールのログですが、それぐらいは普通にあるでしょう。

この回答への補足

通信するソフトを使って、設定が不適切ならそんなものです。

この回答への補足

似たような質問が見つかりました

関連するカテゴリからQ&Aを探す

デイリーランキングこのカテゴリの人気デイリーQ&Aランキング

マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング