プロバイダーから突然以下のようなメールが来ました。

プロバイダーから突然以下のようなメールが来ました。

＞「サイバークリーンセンター」からの連絡をもとに弊社で調査した結果、お客様のID×××××で接続され、「ボットウイルス」の感染拡大による通信が行われている可能性があると確認されました。

プロバイダーに確認したところ、確かにこのメールを出したとのことなので（このメール自体がウイルス感染を起こすページへの誘導を目的としたものでないことを確認）、トレンドマイクロ（ウィルスバスター2010使用中）に連絡し、パターンファイルも常に自動で最新のものに更新しているし、頻繁に検索をかけているにもかかわらず感染するのかと問い合わせたところ、再度「総合検索」を行うようにすすめられ、その結果ウイルスは発見できませんでした。

しかし、プロバイダーから来たメールの指示に従い、サイバークリーンセンターの「対策サイト」にパスワードを入力したところ、ボットウイルスID、感染日時、攻撃先ID、攻撃元IDなどの情報が書かれた表が出てきました（感染は１つ）。トレンドマイクロにこの件を伝えたところ、トレンドマイクロでは「サーバークリーンセンターの情報を持ち合わせていないので、まったくわからない」とのことでした。教えてgooでサイバークリーンセンターのcccクリーナーがトレンドマイクロのもとだという情報があったので、その件も問い合わせたところ、「確かにcccクリーナーはウィルスバスターの総合検索と同じ機能なので、ウィルスバスターを使っているならcccクリーナーを使う必要ない」ということでした。ということは、現段階では駆除できないウイルスなのでしょうか。

トレンドマイクロに「このようなボットウイルスIDが表示されたが」と聞いたのですが、サイバークリーンセンターに関してはまったく情報を持ち合わせていないので何もわからないとのことでした。さらに、
「本当にウイルス感染しているかどうかわからない」とのことでしたが、総務省、経済産業省の信頼度はどの程度なのでしょうか。

また蛇足ですが、自社の駆除ツールを提供しているのに、サイバークリーンセンターで出している情報に関し、何もわからないということもあるのでしょうか。

No.13 ベストアンサー 回答者： John_Papa 回答日時： 2010/05/21 00:26

一方的に攻撃するだけならhostIPの詐称は容易いので、あなたのＰＣでないかもしれません。

接続していない時間にあなたの自宅のhostIPで攻撃があれば、当然詐称ＩＰからのものです。

攻撃が繰り返されているのなら、この方法でも確認ができますので、やってみては如何でしょう。
hostIPを教えてくれるサイト、例えば
http://www.matukin.com/hostname/index.cgi
で、あなたのhostIPを確認し、ルーターの電源を一旦切り、１０分後くらい後に電源を入れて
再度上記サイトでhostIPが変わっているのを確認してください。
サイバークリーンセンターのリストに、新しいhostIPで攻撃が記録されていたら、あなたのＰＣに間違いないでしょう。
以前のままのhostIPで攻撃されていたら、その攻撃は詐称ＩＰからのものです。

プロバイダのhostIPが変わらない仕様の場合には、しばらく自宅のＰＣを接続しないで、持ち歩きのＰＣのみを使用してみて、
サイバークリーンセンターのリストにどう出るか調べてみましょう。
外で使うWLANの場合はhostIPが異なりますので、そちらで攻撃が無いのですから持ち歩きのＰＣは感染していないとみなせます。
変わりなく自宅のhostIPで攻撃されていたら、その攻撃は詐称ＩＰからのものです。

この回答へのお礼

何度もご回答いただき感謝します。

なるほど、専門的知識がないと、なかなか詳細は確認できないのですね。
この週末に教えていただいた方法を試してみます。

持ち歩きのPCも外部のWLANのほかに自宅でもウイルス検索などの目的でときどき接続しています。
この問題が起きてから、トレンドマイクロの指示で、自宅で何回かウイルス検索にかけました（感染は確認できませんでした）。それ以降使っていませんが、外部でWLANに接続して、サイバークリーンセンターのリストを再確認するというのもひとつの方法なのですね。これも試してみます。

お礼日時：2010/05/21 22:15

No.12 回答者： John_Papa 回答日時： 2010/05/20 08:18

検出できませんでしたか。

相談文のＩＤを全てＩＰと読み替えてみると、(そのほうがすっきりするのですが)
次の可能性があります。
一般に、サーバー公開の為に固定ＩＰを契約している場合を除き、接続する度にＩＰを新しく取得します。
同じＩＰが割り当てられる場合もありますが、ルーターの電源を入れ直すだけでＩＰが変わる可能性が大きいのです。
ＣＣＣにリストされた期日後に、あなたのルーターが電源の入れ直しなどで、該当ＩＰを割り当てられたのではないか。
プロバイダーのログ管理の期間が短く、該当期日の接続記録を持っておらず、現在割り当てられているあなたのところにメールが来たのではないか。
ＩＤではなくＩＰなら、プロバイダに今一度確認してみる必要があります。

この回答へのお礼

再度ご回答いただきありがとうございました。

もう一度サイバークリーンセンターのHPに、指定されたパスワードを入れて確認しました。
John papaさんのご指摘どおり、IDとIPを書き間違えた部分がありました。以下、内容。

感染状況
お客様のご利用の回線に接続するコンピュータから発せられた、ボットウイルスによる感染攻撃ログ（最新100件）を表示いたします。
攻撃感染ログ
　ボットウイルスID　+++++
　感染日時 +++++
　攻撃元IP (お客様が利用していたIP） +++++
　攻撃元ポート　　記載なし
攻撃先IP +++++
　攻撃先ポート　記載なし
　攻撃手段　記載なし

以上です。情報は１件だけ。攻撃元IPと攻撃先IPに関しては、最初の6桁？が伏せてありました。

cccクリーナーをかけて何も検出されませんでしたが、今日再度サイバークリーンセンターの
駆除・対策ページにパスワードを入力したところ、まったく同じ記載が残っているので、
本当にどうなっているのかわかりません。アドバイスいただいたように、土曜日にプロバイダに
連絡してみます（平日は帰宅が遅くてなかなか対処できず、問題を抱えたまま日にちが過ぎていきます）。

お礼日時：2010/05/20 22:57

No.11 回答者： John_Papa 回答日時： 2010/05/19 00:19

なんだか相談内容でＩＤにＩＰが混ざっている感じがします。

ＰＣ以外にネットに接続されている物はありませんか？たとえばHDD内蔵DVDレコーダーとかテレビなどの家電製品。
これら、LinuxにOperaの組み合わせで脆弱性が有っても更新されることはありません。また、セキュリティソフトもなければ感染チェックの方法もありません。
http://gameinfo.yahoo.co.jp/news/yjnews/20091222 …
http://www.itmedia.co.jp/enterprise/articles/040 …
ソニーもPS3に「他OSインストール機能排除」を付けました。
ＮＡＳ（ネットワークストレージ）もディスプレイやキーボードの無いパソコンです。

以下は、ＰＣに限定した場合です。今できる事、やらなければならない事は、
サイバークリーンセンターがボットウイルスだと言ってるんですから、CCC.EXEをダウンロードしてセーフモードで実行してみてもいいんじゃないですか。同じ機能のスキャンエンジンでもウイルスパターンデータが違えば結果も違います。
著名なウイルスバスターが無効化されていてもマイナーなCCC.EXEなら有効という場合もあるでしょう。
それでも検出できなければ、７番さん紹介のhttp://www.higaitaisaku.com/という方法もあるし、多少スキルがあるなら自力でプロセス管理ソフトを使って起動中のプロセスをチェックしてみる方法もあります。
http://www.forest.impress.co.jp/article/2008/04/ …
http://systemexplorer.mistergroup.org/
このソフトは初級者でも扱えるでしょう。リストウインドから右クリックでvirusscan.jotti.orgまたはVirusTotal.comにてチェックできる優れものですが、systemexplorerサイトのレビューコメントは誰でも書けるのであまり当てにしないこと。
CCC.EXEやsystemexplorerで不審なプロセスが見つかったら、一旦ハードディスクをクリーンにしてリカバリーをお勧めします。
不審なプロセスが見つからなければＰＣが感染したのでは無いのでしょう。

この回答へのお礼

ご回答ありがとうございました。

PC以外にネットに接続しているものはありません。PCは2台使っていて、1台は自宅で固定、もう1台は持ち歩いています。これは外でWLANに接続することもありますが、サイバークリーンセンターの「対策サイト」で確認した感染日には使用していませんでした。

昨日、cccを実行したのですが、ウイルスは検出されませんでした。もともと感染していなかったのか、検出できないのかわかりません。ウイルスがいることを知らせてきたサーバークリーンセンターが、cccで駆除するように指示しているので、感染していなかった可能性もありますね。パソコンのスキルがあまりないので、自力で起動中のプロセルをチェックするのは難しそうですが、感染の有無がはっきりしないのも気持ちが悪いので、教えていただいたhttp://www.higaitaisaku.com/で調べてみようかと思っています。

詳しい情報をありがとうございました。

お礼日時：2010/05/19 22:56

No.10 回答者： aero1 回答日時： 2010/05/18 22:26

他の方の回答にもある「Gumblar」の感染だとすると・・

OS（Windows）自体のアップデートと、ブラウザにアドオンされた「Flash Player」や「Adobe Acrobat」等のソフトも、最新版であるか確認して古ければ最新版を利用して下さい。

「Gumblar対策を再チェック」
http://www.itmedia.co.jp/news/articles/1001/08/n …

「感染防止のための知識」
https://www.ccc.go.jp/knowledge/index.html



もし、オンラインスキャン等で何らかの感染が発見され、情報を漏洩する様な類のマルウェアの感染でしたら、プロバイダのPASSだけではなくメールや会員サイト等も含めて変更をした方がいいかもしれません。

参考URL：https://www.microsoft.com/japan/protect/yourself …

この回答へのお礼

たびたびのご回答ありがとうございます。

昨夜、ウイルススキャンとサイバークリーンセンターが勧めるcccクリーナーを実行したのですが、なぜかウイルスは検索されませんでした。

プロバイダ（ニフティ）からの通知に書かれていたパスワードを、サイバークリーンセンターの「対策サイト」の指定欄に入力したところ、ウイルスのID、感染日時など詳しい情報まで出てきて、そのサイトの指示でcccクリーナーを実行したので、何だかキツネにつままれたような感じです。もともと感染していなかったのか、感染しているのに検索できないのか、事情がよくわかりません。

でも、万が一のことを考えて、アドバイスいただいた通りパスワードの変更をしておこうと思います。

ご親切にありがとうございました。

お礼日時：2010/05/19 16:02

No.9 回答者： aero1 回答日時： 2010/05/18 14:53

>ウイルスバスターを入れている場合でも、他のセキュリティソフトの検索かけて大丈夫なのですか？

全てのオンラインスキャンが同様ではないと思いますが、普通は体験版をインストールする訳ではないので常駐しませんし、競合する事もないです。
私自身も、何度も実行した事がありますが問題はなかったです。
ただ、ActiveXの機能を利用してプログラムのデータが「C:\WINDOWS\Downloaded Program Files」内に残るので、気になるなら削除してはどうでしょうか。




＞うちでは有線LANを使用しています。

こちらは有線LANルータですか？　もし、無線LAN機能もあるルータでしたら無線LANの機能をOFFにしてあるでしょうか？


どちらにしても、一度プロバイダの接続パスワードをセキュリティ上の観点から変更してみてはどうでしょうか。　（変更後はルータに設定してあるPASSの変更を忘れずに・・）

この回答へのお礼

ご回答ありがとうございました。

他社の検索を使用しても問題なかったとのこと。経験された方の話を聞けて安心しました。これからさっそくやってみようと思います。

＞ただ、ActiveXの機能を利用してプログラムのデータが「C:\WINDOWS\Downloaded Program Files」内に残るので、気になるなら削除してはどうでしょうか。

方法がよくわからないので、もしデータが残っても問題ないようでしたらそのままにしておきます。

有線LANルータには無線の機能はないと思います。プロバイダの接続パスワードの変更ということは思いつきませんでした。いろいろアドバイスをありがとうございました。

お礼日時：2010/05/18 21:59

No.8 回答者： e0_0e_OK 回答日時： 2010/05/18 14:39

No.2 e0_0e_OK です。

》もう何年も前から見ているサイトです。

・ガンブラーは善意のサイトに勝手に埋め込まれた地雷のようなものです。地雷は踏んで初めて爆発しますがガンブラーは善意のサイトを訪問しただけで感染するものがあるからやっかいです。
・それに前にも書きましたがセキュリティソフトを無効にしてしまうものも多いようです。
・プロバイダーからの通知が偽物でなかったら感染は疑りようがありません。
・ボットウィルスは大量のデータを発信しますから(モデムのアクセスランプである程度は確認できるのでは)放置しておくとプロバイダーから接続を拒否されますよ。

この回答へのお礼

再度のご回答ありがとうございました。

セキュリティソフトを無効にされている可能性があるというのが恐ろしいですね。
プロバイダーからの通知なので、早く対策を取らないと本当に接続できなくなるかもしれません（サイバークリーンセンターのページは駆除が完了したら通知するようにと書かれています）。
とりあえず、回答者の方々が教えてくださった他社の検索をかけてみることにします。

お礼日時：2010/05/18 21:51

No.7 回答者： noname#147176 回答日時： 2010/05/18 13:59

その話しの流れからして、

感染していることは、間違いないと思います。
既出の回答にもでてますが、やはり、ガンブラー系だと思います。
〉〉感染したとされる日も、新聞のネット版（日本と海外の大手新聞社）
〉〉くらいしか閲覧していません。もう何年も前から見ているサイトです。
いえ、昨日まで正常な、大手の有名サイトが、
ある日、急にガンブラーに侵されてますよ。


取りあえず、大手のオンラインウイルススキャンサイトです。↓
〉〉http://lhsp.s206.xrea.com/misc/onlinescan.html

いま、カスペルスキーはサービス停止中だそうです。
niftyが同じ、カスペエンジンを使用していて、
しかも、駆除まで可能だそうです。

もし、発見できない場合は、最低でも原因を知りたいところです。
出来れば、こちら↓で相談してみることを、検討されてみては。
http://www.higaitaisaku.com/
今現在、結構、混雑しているようで、少し待たされるかも
知れませんが、必ずレスはつきます。
その場合はこちら(okwave)を締め切って下さい。

この回答へのお礼

ご回答いただきありがとうございました。

大手の有名なサイトでもあぶないのですね。「怪しい」ものを見なければ大丈夫なのかと思っていました。

オンラインウイルススキャンサイト、原因探査ができるサイトのご紹介ありがとうございました。さっそく試してみることにします。

お礼日時：2010/05/18 21:44

No.6 回答者： noname#154655 回答日時： 2010/05/18 13:23

まず言っておきますが、セキュリティソフトは検出できないものもあります。

なので、他のソフトでもスキャンしてみると良いと思います。
セキュリティソフトによって検出が得意な種類、不得意な種類とがあるので、
定期的にその種類の検出に得意なソフトで検査した方が良いです。

プロバイダからの連絡だとちゃんと確認できていれば、信用して良いと思います。
もし、本当はそういうことはなかったとなれば信頼が下がるので、
そういうことにならないように詳しく調べて連絡してきていると思います。
サイバークリーンセンターの情報に関して何も分からないということですが、
情報などを提供しているだけだと思うので、分からないというのはあると思います。

一番良いのはリカバリですが、負担になるのでまずは他のソフトなどでスキャンしてみてはどうでしょうか？
一応ソフトを紹介しておきます。
「Spybot」、「SUPERAntiSpyware」。
他は検索すれば出てくるので調べてみると良いと思います。

この回答へのお礼

ご回答ありがとうございました。

サイバークリーンセンターがボットウイルス対策に提供しているcccクリーナーというのが、トレンドマイクロのものだというので、ウイルスバスターが検出に最も適しているかと思ったのですが、会社によっていろいろ違いがあるのですね。とりあえず、リカバリの前に他のソフトを試してみることにします。他ソフトのご紹介ありがとうございました。

お礼日時：2010/05/18 21:32

No.5 回答者： nine999 回答日時： 2010/05/18 11:11

プロバイダとトレンドマイクロには問い合わせたようですが、CCCの方はどうですか？

そもそも、そこが警告を発信したのですよね。
HPには問い合わせのフォーマットがありますね。すごい面倒な感じですけど。

参考URL：https://www.ccc.go.jp/inquiry/index.html

この回答へのお礼

ご回答ありがとうございました。

サイバークリーンセンターにはまだ問い合わせていません。メールでの問い合わせだけなので、返答に時間がかかりそうですね。でも、一応、聞いてみようかと思っています。

お礼日時：2010/05/18 12:52

No.4 回答者： sngPoi2 回答日時： 2010/05/18 11:08

■導入されたAntiVirusで検査しても検出できない場合、他のAntiVirusで確認と言う手も...

[Symantec Secury Check]
インストールせずにInternet上で確認が出来ます。
http://security.symantec.com/sscv6/default.asp?p …

■そもそも
貴方のPC自体は感染していない可能性もあります。
貴方のPCのインターネット環境は、優先LANですか、無銭LANですか?
無銭LANの場合、セキュリティレベルが低く(若しくはオープン)で、乗り合いされている事はありませんか?
(第三者が貴方の無銭LANを利用してInternetに接続している事。この場合、IDは貴方の登録IDです。)

この回答へのお礼

ご回答ありがとうございました。

ウイルスバスターを入れていても、教えていただいたシマンテックの検索を使用しても大丈夫ですか？

うちでは有線LANを使用しています。プロバイダーからのメールには使用している接続IDが記載されていて、「お客様のID××××で接続され、「ボットウイルス」の感染拡大による通信が行われている可能性がある」（そのまま引用）と書いてあるのですが、日本語としてもちょっとおかしく、よく意味がわかりません。無線LANは4月10日以降一度も接続していません。感染日は5月7日になっています。

お礼日時：2010/05/18 12:50