未使用ポート遮断機能が通信を遮断しました。インバウンドtcp接続とは？

教えてください。

ノートンインターネットセキュリティにて、
「未使用ポート遮断機能が通信を遮断しました。インバウンドtcp接続。リモートアドレス、サービスはxxx.xxx.xxx.xxx port(xxxx)」
といった内容の履歴が頻繁に（およそ30分～1時間の間隔で）表示されます。
"x"には異なるIPアドレス及びポート番号が記されてあります。

また、上記ログが出始めた頃はport4899のみが狙われておりましたが、
今では異なるポート番号を指定するなど、変化が見られます。
曖昧な知識ですが、ポートスキャンを受けていると判断して良いのでしょうか？

おそらく、何らかの攻撃対象にされてしまっているようなのですが、
システムの完全スキャンをかけても特に異常は報告されず、
また、私自身はリモート・デスクトップ接続は使用しておりません。

しかし、事象は継続して発生しています。
どのように対処すればよいのか分からず、困っています。

過去の質問にも同類の質問がありましたが、理解に至らず、
質問させていただきました。

よろしくお願い致します。

No.5 回答者： noname#93147 回答日時： 2009/08/02 23:35

こんにちは。

お薦めはKaspersky Internet Securityです。非常に優れたマルチレイヤディフェンスになってます。PC JAPAN 12月号における多角的検証記事においても推奨されるソフトの一つとされています。

[Kasperskyの主な特徴]

1　更新頻度が高く、対応早い
2　パターンファイル対応以外にもHeuristic AnalyzerやProactive Defenceを備える
3　対策ソフト自体に対する攻撃にも強い
4　第三者機関でのテストや内外のセキュリティー関連サイトでの評価 非常に高い
5　F-Secure、G-DATA、Zone Labs等数社に対してスキャンエンジンをOEMとして提供してる

No.4 回答者： noname#93148 回答日時： 2009/08/02 23:31

こんにちは。

今のMalware作者やクラッカーは対策ソフトの導入を織り込み済みです。対策ソフトの防御をかいくぐる技術がものすごく進化してきてます。難読化によるスキャン回避やFWB(Firewall Bypass)、Rootkit、脆弱性を利用したドライブ・バイ・ダウンロードなど非常に厄介な時代になっています。

このような現状を踏まえるなら、NISではなくKaspersky Internet Secirity 2009をお薦めします。

NISの初期設定だとすり抜けがやや効き易い傾向があります。

No.3 回答者： redirect 回答日時： 2009/08/02 23:05

マルウェアを集めてテストなどをしている者です。

はっきり申しまして特に問題になる状況ではありません。もう今のインターネットは年中Exploitなどがばんばん飛び交ってる状況です。

で、既出の回答者が言うようにルータを設置することですね。

なお、最近では対策ソフトの回避技術などもかなり使われるようになっていますが、ノートンはわりと回避が効きやすいので注意が必要。個人的にはKaspersky Internet Securityのほうがおすすめです。

No.2 回答者： John_Papa 回答日時： 2009/08/01 19:44

やはりCATVでしたか、速度はちょい落ちますけどケーブルでもルーターを使ったほうが良いです。

IPも一つで済むので1台分の料金で済みますし。

CATVの側でTCP4899などのインバウンドはフィルターすべきだと思うのですが、現実に来ている訳ですから自分で対処したほうがいいですね。パーソナルファイアウォールに頼っていると、ソフトの事ですから何時起動しないって事態が起こるかもしれません。アップデートの際にファイアウォールを一時的に停止するとかもあります。やはりルーターがあると安心ですね。CATVには事態を伝えた方が良いでしょう。

＞何がきっかけで狙われたのか、どうすればこの試みはとまるのか、
＞ぜひ知りたいところです。
見える訳じゃないのでほんとのところはわかりませんが、犯人の操れるＰＣが増えて、あなたのIPもスキャンのリストに加えられたってとこじゃないでしょうか。向こうのＰＣが止まらない限りポートスキャンも止まる事はないでしょう。

この回答へのお礼

再度ご回答頂きましてありがとうございます。

この数日の間にポートスキャンを受ける頻度が急速に増していることを踏まえ、
ルーターによる対策を採ることにしました。

CATV側にも相談がてら、ポートスキャンについて連絡してみようと思います。

それにしても、第3者宛てのポートスキャンが容認されているのも変な話ですね。

お礼日時：2009/08/02 21:43

No.1 回答者： John_Papa 回答日時： 2009/08/01 07:47

まあインバウンドですから外部からポートスキャンを受けていると判断して良いでしょう。

これは、ＰＣソフトのパーソナルファイアウォールより、ルーターで遮断すべきものです。
通常ブロードバンドルーター（フレッツ光ではＣＴＵ）を標準設定で使うだけでインバウンドアクセスはブロックされます。

ブロードバンドルーター使用にも係わらずポート4899などのインバウンドが到達する場合、ルーターの設定を見直す必要があります。

ポート4899は、ルーター無しでインターネット接続したまま初期のXP(SP1以前)にリカバリーした場合にはセキュリティホールを突かれバックドアを仕込まれてしまう可能性が高確率であります。
http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/2003 …

この回答へのお礼

ご回答ありがとうございます。

やはり、ポートスキャンを受けている状態だったのですね。
セキュリティ対策としてルーターを設置した方が良いと言う事でしょうか。

何がきっかけで狙われたのか、どうすればこの試みはとまるのか、
ぜひ知りたいところです。

私の接続環境はCATVでネットに接続しており、
ケーブルモデム＋スイッチングハブを通してPCに繋がっております。
また、OSはXP(sp3)を使用しております。

ほんの数週間前までは、このような事象はまったく起きていなかったのですが、
今では複数のIPアドレスがポート番号を片っ端からアクセスしようと試みている状態です。
原因が分からない以上、こちらのIPアドレスを変更しても再び狙われ続けるような気がしてなりません。

効果的な対処法などご存知でしたらご教授いただけないでしょうか。

お礼日時：2009/08/01 17:55