セキュリティをよりマニアックなレベルであげたい

ドラクエの防御力を少しでもあげて楽しんでいるかのような自己満足のレベルなのですが、今パソコンの防御力を上げてみて楽しんでいます。昔ウイルスに感染したのが引き金になりました。とりあえず、今してることは、

ウイルスソフト（NortonInternetSecurity2002）の導入
2,3日に一回ライブアップデートを実行
ファイアーウォールのレベルは「最高」に
おまけでBlackiceDefender（IDS）も追加。
これもファイアーウォールのレベルは「最高」に

OSはWindowsXP HomeEdition
2週間くらいに一回はWindowsUpdateのサイトを覗いて必要なパッチがあれば当てる
IE、OEともにバージョンはともに6
IEのインターネットオプションでCooｋieは基本的に「すべてのCookieをブロック」に
スクリプトやActiveXもダイアログを表示させて、知らないサイトに行く時は基本的に「いいえ」に

最近、メルコ（BLR3-TX4）のルータの導入
インターネットの（ルータの）接続は必要ない時は切断

パソコンにお詳しいかたからしたら、笑われるような防御策かもしれませんが、私が雑誌やネットで調べて、素人知識の中で出来る限り、予算の許す限りやってるウイルス（セキュリティ）対策です^_^;

他にもっと防御力をあげる方法、ご存知のかた、ご教授お願いします。
設定などによっては快適にパソコンやネットライフが出来ない事もあるかもしれませんが、この際それらは無視してくださいm(__)m
よろしくお願いします

No.7 ベストアンサー 回答者： goobad 回答日時： 2003/07/13 08:22

ルータの設定情報が盗まれる件については、私が確認した機種は国産品ではありませんでしたので、とりあえず安心して頂いて構わないと思います。

Bフレッツの場合、ルータに接続情報を登録しておく必要があるのか知りませんが、ファームウェアが最新なら安心していいと思います。

ルータによっては、WAN側からもルータの設定が可能な機種もありますが、これは危険です。設定はLAN側からのみ可能な設定にすべきです。もちろん、ルータにログインする為のパスワードはルータに設定しておいてください。
機種によっては、特定のMACアドレス以外からのアクセスを禁止する設定が可能ですので、ご自分のものを登録しておくと安心です。
ほとんどのルータにはステルスモード（外部からのpingに応答しない機能）がついていますので、ステルスモードにしておくべきでしょう。
ただし、サーバを公開する等の目的の為にルータのDMZ機能を使う場合や、特定のポートを開けておく使い方をする場合は、ステルスにはなりませんので注意が必要です。
ユニバーサルプラグアンドプレイ機能なんかは、必要無いのであれば、OFFにしておくといいと思います。
ルータ一つとってみても、書ききれる情報量ではないので、ご自分で情報をGETしてください。

＞任意のアドレスと任意のポートを許可にしてしまった事があるのですが
具体的にどのような内容なのかわかりませんのでアドバイスできませんが、基本的には開いているポートは全て潜在的なセキュリティリスクになります。
開いているポートがあるのかないのか、ポートスキャンをしてくれるサービスがありますので、一度調べられたらいいと思います。
シマンテックのセキュリティチェックや、シールドアップが有名ですが、どうも代表的なポートのスキャンしかしていないような感じですし、ルータ越しではチェックしきれないようなので、心配ならLAN内の自分の別のPCから自分宛に、ツールを使って全てのポートをスキャンするといいと思います。
この手のツールは危険性が高く、使い方を間違えるとISPからアカウントを抹消されたりするので、自分で探してください。
単純に開いているポートを見たいだけであれば、コマンドプロンプトから「netstat -an」と入力すると確認できます。

同様に、「net start」と入力すると、動作しているサービスを確認できます。

「net share」と入力すると、共有情報を確認できます。
管理共有がONになっている状態だと、わらわらと表示されると思います。管理共有がOFFになっている場合はIPC$だけが表示されます。（制限ユーザで、セキュリティレベルをあげている場合は、システムエラー５の表示が出てきます。）


No.6の方の言うとおり、スパイウェア・アドウェアの駆除も必要です。他に、spybotという無料で使えるソフトもあります。
（アンチウイルスソフトがスパイウェア・アドウェアを積極的に駆除しようとしないのは、営業妨害で訴えられる可能性を排除できないからだとする説を読んだ事があるのですが・・・、本当にport80経由である事が理由なのでしょうか？）

ついでですが、cleanerというトロイの木馬駆除ツールもあります。
ベクターには、フリーウェアで、キーロガーの検出をしてくれるソフトが登録されています。
基本的に、この手のソフトは、100%検出する事はありえないので、気休めにしかなりませんが、「マニアックなレベルで」という質問でしたので、あえて記しました。
アングラサイトには、他にも各種検出ツールがあるのですが、そういったツール自信がトロイの木馬であったりしますので、導入には注意してください。

他に、ファイルやフォルダを暗号化する事も重要かと思います。多重書庫にするとか、拡張子を偽装するとか、画像ファイルなどに埋め込んで置くとか、圧縮時にパスワードをかけるとか、PGP等で暗号化しておくとか、OSの暗号フォルダ機能を使うとか、そういった過程を複数経て保管しておけば、他人に持っていかれてもまず解読されません。


他に注意すべきなのは、メールです。
メールは暗号化されていませんので、重要な内容のものは暗号化すべきでしょうね。
郵便局の人が葉書の内容をいつでも読めるように、メールの内容は途中過程のサーバ管理者なら、全て見る事ができます。

それと、メール受信の際、最も一般的なのはメールサーバにログインするのにPOPだということです。
アカウント、パスワードとも平文のまま流れていきます。
APOP対応のメールアカウントを用意すべきだと思います。これはサービス提供側（ISP）の問題なので、APOP対応のメールサーバを使用しているISPを選択する以外に方法はありません。
以外と、少なくないISPが、メールサーバでAPOP非対応です。対応している大手ISPが、メールアカウントだけ２００円～３００円程度で提供してくれるので、そういったメールアドレスを使うべきでしょう。

HTMLメールを受信しないメーラがあるので、
そういったメーラを使うのもいいと思います。
中には、HTMLメールに埋め込まれた危険なスクリプトを排除してくれるツールもありますので、どうしても内容を確認したいHTMLメールの受信が予想される場合は、使うと効果があります。

キリが無いのでこのへんで

この回答への補足

内容が充実しすぎて補足だけでは全て返答ができませんが、まず、ルータの事、「net start」「net share」という知らなかったコマンド、キーロガー検出ソフトの存在、フォルダやファイルの暗号化の重要性、メールにおいてのセキュリティなど、は知りませんでしたしきっと私では思いつかないであろう内容も沢山ありましたm(__)m大変感謝致します

補足日時：2003/07/13 09:30

No.6 回答者： inoue 回答日時： 2003/07/13 03:15

あと付け加えるならスパイウエアの削除ですかね？

スパイウエアはPort80つまりHTTPで紛れ込んできますからウイルスソフトではブロック、削除が出来ません。

大乗的なものでは、
Ad=aware6
http://www.lavasoft.de/support/download/

spyblocker
http://www.spyblocker-software.com/spyblocker/

もし試していないならぜひお使い下さい。
結構いろいろ埋め込まれていてびっくりしますよ。

この回答へのお礼

「スパイウエアはPort80つまりHTTPで紛れ込んでくる」というのは初耳でした。spyblockerも初めて聞きました。ありがとうございましたm(__)m

お礼日時：2003/07/13 09:41

No.5 回答者： goobad 回答日時： 2003/07/12 18:37

よく読み返したら、既にルータは導入済みとのこと失礼致しました。

ルータがあるのであれば、尚更ファイアーウォールソフトは１つで十分だと思います。

WindowsXPには、OSにもファイアーウォール機能がありますが、この機能はOFFにしてください。複数のファイアーウォールソフトを同時に動作させると不具合が発生するのはよく知られた事です。

通信回線は何を使用されているのでしょうか？
フレッツADSLのようなPPPOE接続の場合、接続情報がルータに記録される事になりますが、特定の機種の場合、外部からそのルータの設定情報が盗まれてしまう事が明らかになっています。
ルータのファームウェアがバージョンアップされるので、時々ルータの製造メーカのサイトを訪れてみてください。（不具合が修正されるだけでなく、新機能追加や、パフォーマンス向上のファームウェアが公開される事があります。）

お使いの機種の場合、４月２８日にアップされているようです。

参考URL：http://buffalo.melcoinc.co.jp/download/driver/la …

この回答への補足

お勧めのルータ様には大変お世話になってるのですが実はまだ勉強中で結構不安材料もあります^_^;1回大きな勘違い（？）で任意のアドレスと任意のポートを許可にしてしまった事があるのですが、これってひょっとして全部の通信を許可してしまう事に…汗？！
とまあ^_^;設定に自信がない間は火壁は多い方が安心できるのでなかなかはずせないでいました。あと一応XPのFWだけは停止させてました。回線はBフレッツですm(__)

補足日時：2003/07/13 01:49

この回答へのお礼

「ルータの設定情報が盗まれる」ってのは初耳でした。気をつけないといけませんね。凄く参考になりますm(__)m

お礼日時：2003/07/13 02:12

No.4 回答者： goobad 回答日時： 2003/07/12 18:23

Windows2000ベースの情報で恐縮ですが、XPでも十分役に立つ筈です。

不要なサービスをとめる
http://www.microsoft.com/windows2000/techinfo/ho …

レジストリ・フォルダ・ファイルに最低限必要なアクセス権のみつける。管理共有は外す。他
http://www.ipa.go.jp/security/fy10/contents/crac …


どうせ使わないWSHは停止しておく。
（このツールを使うと、WSHのON/OFFを自由に設定できます。）
http://www.symantec.com/region/jp/sarcj/win.scri …

日常的に管理者権限を使わない。
http://www.microsoft.com/windows2000/ja/professi …
http://www.microsoft.com/windows2000/ja/professi …

開いているポートを閉じる。その他
http://www3.ocn.ne.jp/~koshino/winport.html
http://www.port139.co.jp/w2kpoint/w2ksec_point.htm
http://allabout.co.jp/computer/netsecurity/
http://www.khibi.com/sekyu/sekwin.htm
http://homepage2.nifty.com/spw/secure/exec.html
http://ito19.dip.jp/homeserver/win.html
http://www.geocities.co.jp/SiliconValley-SanJose …
https://www.netsecurity.ne.jp/menu/personal_word …
http://www.geocities.co.jp/SiliconValley/6281/
http://www.nakayosi.jp/win2000.html
http://www.nmt.ne.jp/security/security/
http://www.db.is.kyushu-u.ac.jp/computer/windows …
http://www2s.biglobe.ne.jp/~memo/x24/wxptips.htm
http://pc.2ch.net/test/read.cgi/pcnews/104313457 …
http://www.cybersyndrome.net/


WinXP HomeEditionだと、管理者権限のユーザが隠されていて通常見えないのにもかかわらず外部からはアクセスされるという問題があった筈です。確か、セーフモードでたちあげると管理者権限が見えるようになり、変更が可能だったと思います。あちこちのセキュリティ対策ページで情報を見たので、まず、この管理者権限のセキュリティホールを埋めてください。

WinXP HomeEditionは、XP Professionalの機能削減版なので、例えばWindowsのファイル共有機能もセキュリティが甘いです。（アクセス権を個々のファイルに設定できません。）
セキュリティを勉強される気があるのであれば、WindowsXP Professional(NT5.1)orWindows2000 Professional(NT5.0)に切り替えるといいと思います。
個人でも十分に手が届く値段です。
（ファイルのパーミッションを勉強したいなら、PC-UNIXを試すことをお勧めします。こちらは無料で手に入ります。）

１つ疑問があるのですが、ファイアーウォールソフトを２重に動作させた時、ソフトウェアは期待した動作をしているのでしょうか？なんだかあまり意味のない事をしているような気がするのですが・・・。
インターネットに接続するにあたり、２重に防衛したいのであれば、ルータをハードウェアファイアーウォールとしても動作させ、PC内部にソフトウェアファイアーウォールを導入するべきではないでしょうか。
ルータが、外部からの不正なアクセスのほとんどをカットしてくれる事は、ファイアーウォールソフトのログを比較して見る事で確認できます。（比較せずとも明らかな程、ルータがカットしてくれます。内部から外部に発信される意図していない通信をカットする必要さえ無ければ、ファイアーウォールソフトは不要であることがわかると思います。）

キリの無い話なので、参考URLを適当にCOPYしただけで終わりますが、一般的にはセキュリティを強固にする程、使いにくくなっていきます。PCの使用目的に合わせて対策するのがいいと思います。

参考URL：http://www.microsoft.com/windows2000/techinfo/ho …

この回答への補足

沢山のご意見感謝致します。FWを2つ入れたのは単純に1個より2個の方が…、といった単純な発想です^_^;ネットで調べて実際に2つ使ってる人もいるみたいでしたしBlackiceは他のFWと共存出来るとメーカーサイトにもあったので…。あと1個のFWがウイルスによって停止させられたり（噂）、私のFWの設定ミスや両親の勝手な操作で変な通信を許可されてしまった時にもう1つ保険があれば安心かなと…^_^;

補足日時：2003/07/13 01:29

この回答へのお礼

とりあえず、もうこれ以上防御力を上げるには少し突っ込んで勉強してかなきゃいけなさそうですね^_^;ツールにばかり頼るのもこれが限界なのかもしれません。とにかく沢山のアドバイス感謝でしたm(__)m

お礼日時：2003/07/13 01:48

No.3 回答者： takeshi1968 回答日時： 2003/07/12 17:35

更にということで…

IEとOEは使わない。メジャーなブラウザーとメーラーなので惰弱性を狙われやすい。
ブラウザーはMozillaやOperaなどを使う。(ただしIEのコンポーネントを使ったものは除くSleinirなど）

では

この回答へのお礼

ブラウザを変えてみるのも一つの手ですね。IEももうだいぶ長く使っているので、他のを使ってみるのも新鮮でいいのかもしれません。少しは狙われにくくなるのもそそります。検討していますm(__)m

お礼日時：2003/07/13 01:29

No.2 回答者： bobble 回答日時： 2003/07/12 16:51

こんにちわ。

下記のＵＲＬにアクセスしてみるのもいいかも・・・

参考URL：http://www.taruo.net/e/?

この回答へのお礼

ここは雑誌にも載っており、昔使ってみた事があります。ご親切なご意見感謝いたしますm(__)m

お礼日時：2003/07/13 01:25

No.1 回答者： ARC 回答日時： 2003/07/12 15:43

定番ですが、Microsoftのセキュリティページです。

Windows Updateよりも情報が早いかも。
出来ればUSの方のページがいいかも。
メーリングリストにも当然登録しときましょう。

あと、TrendMicro等のホームページも定期的にチェックしとくと、ウイルスの動向に詳しくなれるかもしれませんね。

参考URL：http://www.microsoft.com/japan/security/

この回答への補足

Microsoftのセキュリティページというホームページがあったのですね。さっそくお気に入りに入れときます。ありがとうございましたm(__)m

補足日時：2003/07/12 15:58