バックドア

PCとっても初心者です。

バックドアをされたとき（表現は合ってるのかな・・・）の処理方法ってどうするんですか？
そのやり方などを詳しく説明してくれると嬉しいです。

No.4 ベストアンサー 回答者： noname#72132 回答日時： 2003/04/28 16:01

「バックドアをされたとき」とは具体的にどういう状況を思い浮かべているんでしょうか？

良くある質問ではパーソナルファイアウォールのログを見ていたら、外部からの通信を遮断したものの中にバックドアと言う言葉があった。ハッカーに攻撃されてる？　どうすりゃ良いの？
ってものです。
これならほっときゃ良いんです。遮断したんでログに残っている訳ですから。
一般に一番多いケースは、
ウイルスに感染したときそのウイルスが持ち込んだトロイの木馬やバックドアがPCに裏口をあける。
例えば最近流行のLOVGATE.Cにはバックドア活動あり、ポート10168で待機します。
攻撃者はどのPCが感染しているか解らないので無差別にポート10168にアタックをかけます。
その通信が感染していないPCに届いても「何？これ？」でそのPCは何の反応も示しません。
たいていはこの無差別サーチの通信電文をファイアウォールが見つけて、これはトロイの木馬のXXのやつだよ。
と教えてくれているだけです。
サーチした中に感染PCがあり、ルータもファイアウォールも無ければそのままPCのポート10168の内通者（バックドアプログラム）に届き、それがが応答して、攻撃者はそこから新なたバックドアプログラム
や、その他のプログラムを送り込み、感染マシン上をリモートコントロールできます。
一番狙うのはIDやパスワード、あとあればクレジットカードのIDでしょう。

従って一番重要な防御はウイルスに感染しないことです。
その次にルータやパーソナルファイアウォールで外部からの通信を全て遮断しておくことです。
遮断が出来ていればあとは何も心配することはありません。

次に既にバックドアが設置されているのが見つかったときですが、これはもう、PCの初期化しかありません。
なぜかと言うとほんとにやられていれば上記のように攻撃者が何を持ち込んでいるか解らないからです。
最初にウイルスについてくるものはすぐに知られてウイルス対策ソフトでも解るようになりますが、2番目にマニュアルで入れられたものは何だか解りません。
どちらかと言うと全く検出できないものだからわざわざ入れなおす意味があります。

この回答へのお礼

みなさん、本当にありがとうございました。初心者の私にもとても理解しやすい説明でした。参考になります。

お礼日時：2003/04/29 00:19

No.3 回答者： noname#6461 回答日時： 2003/04/27 14:16

有名なものであればウイルス対策ソフトなどで

検知されますので、対応は比較的簡単です。
しかし、マイナーなもの、
特にクラッカーが自作したオリジナルのバックドアだと
ＰＣを熟知していないユーザーが駆除するのは非常に困難だと思います。
この場合、ＯＳを再インストールするまで
ずっと悪戯されるという事も、決してあり得ない話ではありません。
ファイアウォールソフトをインストールしておけば
バックドアへのアクセスを防げる場合も多いので
必ず導入しておきましょう。

一番大事なのは、
そういったものを仕掛けられる様な環境を作らない事です。
アングラやアダルトなどいかがわしいホームページは見ない、
出所不明なファイルは一切使わない、
ＯＳやブラウザのアップデートは必ずしておくなどです。
あと、なるべく他人に不用意に自分のＰＣを
触らせない様にした方が良いでしょうね。
世の中では何の罪の意識もなく、
恋人の携帯メールを盗み見たり、
部屋に盗聴器を仕掛けたりする輩がいますから、
どんなに親しくても、ある程度の警戒を怠らない事は
自衛する為には必要かもしれません。
あまりそれが厳しすぎても人間関係を壊してしまいますので、
線引きが難しいところだとは思いますが....。

参考URL：http://pcweb.mycom.co.jp/special/2002/lansec/10. …

No.2 回答者： ShaneOMac 回答日時： 2003/04/27 14:00

バックドアというのはトロイの木馬の一形式でRAT（Remote Admin Trojan;Remote Administration Tool）という通称で呼ばれるプログラムのことを指します。

RATはあくまでタイプ名称であり、一般のプログラムと同様にいくらでもオリジナルのコードを作成することができます。有名ツールというものはありますが、それが流用されるとは限りません。相手を限定して小規模なリモートアクセス環境を楽しむならその相手だけに使うオリジナルコードを用いるでしょう。

RATのようなものはAVソフトでも対応はしていますが、あり得るもの全てではキリがありませんので、流布された一部くらいしか検知できないでしょう。この種のものについてAVソフトの検知は気休め程度でしかありません。

対策としては、よそから気軽にプログラムを持ち込まないことや、他人にシステムを触らせないことなどが挙げられます。

もし既にインストールされているなら、それを早期に発見し削除することです。netstatで不要なリスニング・ポートがないか確認することあたりから始めると良いかと思います。

No.1 回答者： Hageoyadi 回答日時： 2003/04/27 00:08

ウィルスチェックソフトに引っかかりますから、ソフトの指示に従うか、ウィルス名から検索して参考URLのようなサイトをお手本に復旧を試みます。

ただ、今お使いのウィルスチェックソフトの定義よりも新しいバックドアを仕掛けられたのなら・・・
OSの再インストールやユーザアカウントの初期化、アプリケーションの再インストールなどが必要になってきます。

また、Administrator権限のユーザー名を「Administrator」のままにしておかず、変更してしまうことで防げるバックドアもあるそうです。

参考URL：http://www.trendmicro.co.jp/vinfo/virusencyclo/d …