Microsoftからトロイの木馬の攻撃？

Norton Internet Security 2002 が、ある IP アドレスからトロイの木馬による攻撃を検出しました。これまで3週間の間に、3回の攻撃を検出しました。幸い、Norton によってその攻撃は遮断されました。

攻撃元 IP アドレスを調査した結果、アメリカの Microsoft のサーバーからであることが判明致しました。

質問なのですが、
１．このような攻撃はこれほど頻繁に発生するのでしょうか。
２．私はこれ以外に4台のパソコンを持っております。そちらは NIS がインストールされておらず、AntiVirus のみです。やはりすべてのパソコンに NIS を導入すべきなのでしょうか。
３．Microsoft サーバーは踏み台にされていると考えるべきなのでしょうか。

当方の環境は、ADSL にルーターを接続し、家庭内 LAN を構築しております。ファイアーウォールはルーターでも設定しており、未使用のポートは常に「閉じる」あるいは「ステルス」に設定してあります。Windows 2000,98,XP が2台、そして MacOS 8.6 を使用しております。すべて正規ライセンスを取得しており、ユーザー登録も行っております。

４．攻撃者の目的は一体何なのでしょうか。

No.2 ベストアンサー 回答者： noname#14035 回答日時： 2003/09/08 00:33

こんばんは。

すこし、大げさに構えすぎです。

もちろん、絶対攻撃ではないと言い切るわけではありませんが、その前にさまざまな可能性があります。

検出された通信の内容（プロトコル・接続要求ポート・攻撃内容など）がはっきりしませんので、なんともいえませんが、一般的な考え方をお話します。

まず、NISが「攻撃を検出しました。」と言ってきたからといって、即攻撃であると決め付けるべきではありません。

もちろん、外から内へのパケットが検出されたのは事実ですが、ネットワーク上には悪意のある・なし、人為的なもの、自動化されたものにかかわらず、さまざまなパケットが飛んでいます。

典型的なものは「ポートスキャン」と言って、無差別的に開いているポートを調べて回る、イタズラの事前調査的なものです。（「ポートスキャン」自体は違法ではなく、検査目的などにも利用されており、ポートスキャンで発見した意図せずに空いているポート（ネットワーク上の仮想的な接続口）に接続することが問題です。）

検知される可能性のあるその他の通信内容については、参考URLにある私の過去の書き込みを読んでみてください。（ルーターを導入していれば、典型的なポートスキャンなどは弾いてくれます。）

もちろんNISは実際の攻撃も検出してくれますが、上記のような通信や自己繁殖中のワームなど、監視ルールに引っかかるものはすべて「不正侵入」として報告します。

ルーターのところまでは一日数10回の接続要求がやってくるのは珍しいことではありません。（ルーターなしの場合ワームの繁殖期などにNISが反応しっぱなしになることが多くあります。）

また、NISの検出する攻撃者の情報は、あくまでパケットのヘッダが持っている送信元情報（IPアドレス）などです。

本気で侵入する（できる）ような攻撃者なら、自分の生IPを相手に悟られるようなドジは踏みません。（最低限IPを偽装していますし、気づかれるような乱暴な侵入はしないはずです。）

今回はマイクロソフトのIPだったとの事ですが、IPがマイクロソフトのものに偽装されているだけだっのか、パケット自体は本当にマイクロソフトのサーバーから送られてきたものなのかは、通信内容を詳しく見てみないと解りません。

良くあるパターンは、自動アップデート機能などの”正規の”通信を侵入と勘違いする「フォールス・ポジティブ」（誤検知）というケースです。

ルーターを設置されていると言うことなので、めったにNISが反応するような通信は入ってきませんが、このような可能性は十分にあります。

NISのアラートで本当に気をつけるべきは、「内から外への不審な通信が起きていないか」と言うことです。

このような通信が検出された場合は、トロイなどに感染し、実際にバックドア利用などの悪用が行われている可能性を示唆しているからです。

さて、これまでの説明で1・3・4のご質問には回答していることになると思います。

最後に質問2の件ですが、絶対に必要かと聞かれると、なんともいえないというのが正直なところです。（利用頻度や立ち上がっている時間など、条件によってリスクは変動します。）

もちろん、他のノードもインターネット接続が可能であるかぎり、パーソナル・ファイアーウォール（NISではなく、フリーのものでもかまいません。）を導入した方が安全性（不具合の早期発見の可能性）が高まります。

しかし、仕組みどうこうと言う問題よりも、具体的な攻撃の可能性（どこから・どこへ・どんな通信内容の）を知ったり、ネットワーク通信の仕組みについての基礎知識をもって有効活用するということのほうが大切だと思います。（もちろん、有効な仕組みはリスクを減らしてくれます。）

下記参考URLの書き込みの私の記述部分にあるリンクから、こうした基礎知識にアクセスできますので、一度目を通されてみることをおすすめします。

参考URL：http://biglobe.okweb.ne.jp/kotaeru.php3?q=626096

この回答へのお礼

しばらく様子を見ていましたが、その後不審な攻撃は検出されませんでした。どうやら何らかのネットワークイベントの誤検知だったようですね。
仮にポートスキャンされただけで直ちに危険と判断しては過剰反応ですし、おっしゃるとおり、インバウンドよりも不正なアウトバウンドに注目すべきだと思います。
なかなかためになりました。ありがとうございます。(^^)/

お礼日時：2003/10/17 20:44

No.1 回答者： old98best 回答日時： 2003/09/08 00:06

そのＩＰアドレスが正しければ、マイクロソフトが業務として送信したデータだと思われます。

「マイクロソフトは、Ｗｉｎｄｏｓアップデートのためのデータだと言っているが、ノートンはトロイとして拒絶をする」
という話を聞いた事があります。

この回答へのお礼

その後しばらく様子を見ていましたら、最近は不信なアタック検出はなくなりました。何かの調査か、業務上必要な通信だったのでしょうね。きっと。
私の場合、 WindowsUpdate に Norton は反応せず、通常の通信として問題なく動作しています。
情報ありがとうございました。(^^)/

お礼日時：2003/10/17 20:36