Norton Internet Security 2002 が、ある IP アドレスからトロイの木馬による攻撃を検出しました。これまで3週間の間に、3回の攻撃を検出しました。幸い、Norton によってその攻撃は遮断されました。
攻撃元 IP アドレスを調査した結果、アメリカの Microsoft のサーバーからであることが判明致しました。
質問なのですが、
1.このような攻撃はこれほど頻繁に発生するのでしょうか。
2.私はこれ以外に4台のパソコンを持っております。そちらは NIS がインストールされておらず、AntiVirus のみです。やはりすべてのパソコンに NIS を導入すべきなのでしょうか。
3.Microsoft サーバーは踏み台にされていると考えるべきなのでしょうか。
当方の環境は、ADSL にルーターを接続し、家庭内 LAN を構築しております。ファイアーウォールはルーターでも設定しており、未使用のポートは常に「閉じる」あるいは「ステルス」に設定してあります。Windows 2000,98,XP が2台、そして MacOS 8.6 を使用しております。すべて正規ライセンスを取得しており、ユーザー登録も行っております。
4.攻撃者の目的は一体何なのでしょうか。
No.2ベストアンサー
- 回答日時:
こんばんは。
すこし、大げさに構えすぎです。
もちろん、絶対攻撃ではないと言い切るわけではありませんが、その前にさまざまな可能性があります。
検出された通信の内容(プロトコル・接続要求ポート・攻撃内容など)がはっきりしませんので、なんともいえませんが、一般的な考え方をお話します。
まず、NISが「攻撃を検出しました。」と言ってきたからといって、即攻撃であると決め付けるべきではありません。
もちろん、外から内へのパケットが検出されたのは事実ですが、ネットワーク上には悪意のある・なし、人為的なもの、自動化されたものにかかわらず、さまざまなパケットが飛んでいます。
典型的なものは「ポートスキャン」と言って、無差別的に開いているポートを調べて回る、イタズラの事前調査的なものです。(「ポートスキャン」自体は違法ではなく、検査目的などにも利用されており、ポートスキャンで発見した意図せずに空いているポート(ネットワーク上の仮想的な接続口)に接続することが問題です。)
検知される可能性のあるその他の通信内容については、参考URLにある私の過去の書き込みを読んでみてください。(ルーターを導入していれば、典型的なポートスキャンなどは弾いてくれます。)
もちろんNISは実際の攻撃も検出してくれますが、上記のような通信や自己繁殖中のワームなど、監視ルールに引っかかるものはすべて「不正侵入」として報告します。
ルーターのところまでは一日数10回の接続要求がやってくるのは珍しいことではありません。(ルーターなしの場合ワームの繁殖期などにNISが反応しっぱなしになることが多くあります。)
また、NISの検出する攻撃者の情報は、あくまでパケットのヘッダが持っている送信元情報(IPアドレス)などです。
本気で侵入する(できる)ような攻撃者なら、自分の生IPを相手に悟られるようなドジは踏みません。(最低限IPを偽装していますし、気づかれるような乱暴な侵入はしないはずです。)
今回はマイクロソフトのIPだったとの事ですが、IPがマイクロソフトのものに偽装されているだけだっのか、パケット自体は本当にマイクロソフトのサーバーから送られてきたものなのかは、通信内容を詳しく見てみないと解りません。
良くあるパターンは、自動アップデート機能などの”正規の”通信を侵入と勘違いする「フォールス・ポジティブ」(誤検知)というケースです。
ルーターを設置されていると言うことなので、めったにNISが反応するような通信は入ってきませんが、このような可能性は十分にあります。
NISのアラートで本当に気をつけるべきは、「内から外への不審な通信が起きていないか」と言うことです。
このような通信が検出された場合は、トロイなどに感染し、実際にバックドア利用などの悪用が行われている可能性を示唆しているからです。
さて、これまでの説明で1・3・4のご質問には回答していることになると思います。
最後に質問2の件ですが、絶対に必要かと聞かれると、なんともいえないというのが正直なところです。(利用頻度や立ち上がっている時間など、条件によってリスクは変動します。)
もちろん、他のノードもインターネット接続が可能であるかぎり、パーソナル・ファイアーウォール(NISではなく、フリーのものでもかまいません。)を導入した方が安全性(不具合の早期発見の可能性)が高まります。
しかし、仕組みどうこうと言う問題よりも、具体的な攻撃の可能性(どこから・どこへ・どんな通信内容の)を知ったり、ネットワーク通信の仕組みについての基礎知識をもって有効活用するということのほうが大切だと思います。(もちろん、有効な仕組みはリスクを減らしてくれます。)
下記参考URLの書き込みの私の記述部分にあるリンクから、こうした基礎知識にアクセスできますので、一度目を通されてみることをおすすめします。
参考URL:http://biglobe.okweb.ne.jp/kotaeru.php3?q=626096
しばらく様子を見ていましたが、その後不審な攻撃は検出されませんでした。どうやら何らかのネットワークイベントの誤検知だったようですね。
仮にポートスキャンされただけで直ちに危険と判断しては過剰反応ですし、おっしゃるとおり、インバウンドよりも不正なアウトバウンドに注目すべきだと思います。
なかなかためになりました。ありがとうございます。(^^)/
No.1
- 回答日時:
そのIPアドレスが正しければ、マイクロソフトが業務として送信したデータだと思われます。
「マイクロソフトは、Windosアップデートのためのデータだと言っているが、ノートンはトロイとして拒絶をする」
という話を聞いた事があります。
その後しばらく様子を見ていましたら、最近は不信なアタック検出はなくなりました。何かの調査か、業務上必要な通信だったのでしょうね。きっと。
私の場合、 WindowsUpdate に Norton は反応せず、通常の通信として問題なく動作しています。
情報ありがとうございました。(^^)/
お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!
似たような質問が見つかりました
- VPN VPNは設定した方がいいですか? VPNには常時接続するべき? 1 2023/05/25 17:43
- ハッキング・フィッシング詐欺 webサイトでIPアドレスを抜く方法を聞きたいです。 1 2022/06/09 17:33
- その他(セキュリティ) 警視庁が家庭用ルータ不正利用 注意喚起 どこまで設定を変更すれば安全か? 2 2023/03/28 19:22
- 政治 ロシアは対空ミサイルを地上攻撃に流用しています。日本もそうするべきですよね? 2 2023/02/23 21:18
- 政治 中国が最初に侵略するのは台湾ではなく日本ですよね? 29 2023/01/15 12:29
- 軍事学 核攻撃された時の対応論。核の傘下の意味が無いと思いませんか? 4 2022/05/02 18:57
- その他(病気・怪我・症状) 人体への電磁波攻撃などあり得るのでしょうか? 3 2022/07/24 10:51
- 戦争・テロ・デモ ロシアによるウクライナ侵攻についてです。 この先、ウクライナがロシアに大規模な攻撃を仕掛ける気配が漂 7 2023/05/03 23:01
- 政治 北朝鮮の脅威 6 2023/02/25 21:11
- その他(悩み相談・人生相談) 頭脳と身体能力のどちらも劣るか両方駄目な人の、強みとは?やはり感性や人間性で勝負?また、楽しみとは? 2 2023/05/01 17:08
関連するカテゴリからQ&Aを探す
おすすめ情報
デイリーランキングこのカテゴリの人気デイリーQ&Aランキング
-
ウイルスバスターは必要か
-
Trojan:Script/Wacatac.H!ml っ...
-
Windows Defender 「許可された...
-
原神を起動したらmhyprot3とい...
-
windows defenderで質問です。 ...
-
至急お願いします。 僕はノート...
-
宛先が、recipients not specif...
-
同じiPadをかれこれ9年使ってま...
-
パソコンのマカフィーリブセー...
-
ウイルスバスターで、「Web...
-
マカフィーの更新
-
Twitchを見てたら何故か無期限B...
-
PCでのウイルスチェックについて
-
何故か本日からMcAfee の警告が...
-
ノートPCにネット上の画像を保...
-
MacAfee
-
audacityのダウンロード
-
パソコンにマカフィー有効期限...
-
biosにウイルスが感染していた...
-
Microsoftサポートをかたる詐欺...
マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング
-
通信数が異常なんですが…
-
ゾーンアラーム
-
ルーターを使えばコンピュータ...
-
ADSL回線のセキュリティ
-
ファイアウォール機能つきのブ...
-
リモートコントロールについて
-
ポート135の閉じ方
-
SQLServerの所為で狙われやすい?
-
ファいイヤーウォールって。
-
Win SP2 ファイヤーウォールと...
-
【困】ファイアウォールをOFFに...
-
ルーターを介すと安全とは?
-
ネットを通じてファイルが盗み...
-
IPドメインSEARCHの内容は?
-
不正進入について
-
Portscanを受けました。
-
シマンテック・セキュリティチ...
-
WinnyやShare等のP2Pソフトを使...
-
未使用ポート遮断機能が通信を...
-
誰かがP2Pを使っています
おすすめ情報