セキュリティ警告

Norton Internet Security なんですが、
1日に何度もセキュリティ警告が出ます。
侵入の試みを検出して遮断しました、と出て、
攻撃の起点が世界のいたるところから来ていることが
わかりました。
これは、ウィルスが侵入していると考えていいの
でしょうか。
ライブアップデートで常に最新にしているつもりなの
ですが・・・
お聞きしたいのは、
これはこのままでも問題はないのでしょうか。
警告をなくすことはできるのでしょうか。
いったいどうやって、輩はこのコンピュータに侵入
できそうだ、という情報を得ているのでしょうか。

No.5 ベストアンサー 回答者： noname#14035 回答日時： 2004/04/10 03:17

こんばんは。

横レス気味で恐縮ですが、最近よく起きている（私も過去に多く回答している）問題のようですので、私なりに再度お話をさせてください。

論旨としては、「ネットワーク（通信）に関する詳しい知識がある方以外は、常時接続環境ではブロードバンド・ルーターの導入を強くおすすめする。（たとえ利用するPCが1台であっても。）」と言うものです。

さて、特に「モデム直結の常時接続」＋「セキュリティーソフトの利用」という環境の方にご質問のような問題が増えている背景には、下記のようなポイントが含まれていると思います。

●「セキュリティーソフトの導入によって、今まで気がつかなかったパケット（接続要求など）を”アラート”として認識「してしまう」方が増えた事。」（もちろんセキュリティーソフトの導入自体は大変有効なものです。）
↓
セキュリティーソフト導入によって起こりがちな「弊害」については、＃4のBusidohさんが非常にわかりやすい例え話で説明していらっしゃり、「ソフトウェアによる防御は実害の心配をほとんど無くすが、上がってくる情報量は逆に増え、今まで「知らぬが仏」で済んでいた部分が精神的な負担に転じてしまいがちである。」というポイントが良くお解りいただけると思います。（それでもなお、セキュリティーソフトの利用は”正解かつ必要”だと思います。）

●「ハッキング」という言葉（イメージ）が一人歩きしてしまっていて、ある程度のセキュリティー意識を持つ方、つまり「Windows Updateなどによるパッチ適用（致命的な脆弱性の修正）」「ウィルス対策ソフト＋パーソナルファイアーウォール（セキュリティーソフト）の導入と正しい運用」が出来ている方でも（むしろそういった方ほど）、検出情報に対して過剰反応しやすくなってしまう事。（もちろん、慎重に行動する事は大変良いことだと思います。）
↓
上記のポイントと似たような話ですが、「ウィルス」「ハッキング」といった脅威と被害にあう確率を一くくりに考えてしまいがちだと思います。

特にクラッカーなどによる直接の不正侵入に関しては、「非常に可能性の低い問題であり、あらゆる可能性を排除してから初めて疑うべきものである。」という点を飛び越えてしまいやすいと言うことです。（もちろん、詳しい知識が無ければ「そうなって当然」だと思いますが。）

「サメに食われた！」とか「飛行機が落ちた！」などのニュースは非常にショッキングですが、旅行に出た家族の帰りが遅いからといって、真っ先にこれを心配する人は少ないですよね。（もちろん、全てを同列に語る事は出来ないでしょうが、いわゆる「個人のPCへのハッキング」に関しても、被害の確率は小さいと思います。）

「だから個人のPCは無対策でも平気！」「やられた人はメチャクチャ運が悪いだけ。」となるかと言うと、そういうことではないと思います。

特にここ最近はウィルス（ワーム）拡散の原因が「愉快犯」から「金目的」に変わってきていて、常時接続の場合「自分のPCを不正利用される。」「知らないうちに悪事の片棒を担がされる。」といった確率は高まってきています。

具体的には、組織化されたスパム業者がウィルス作者を金で雇い、個人のPCにウィルス（トロイ）を仕込んでスパムメール発射用の隠れ蓑(プロキシ）として利用するケースです。（もちろん、基本的な対策を行っていればほぼ安全なので、そこのところを誤解しないでくださいね！）

ここのところ異常な量のウィルス（特にNetsky系の亜種）が発生していますが、これは敵対するスパム業者（組織）同士が互いに相手のワームの動きを邪魔する機能を持つ亜種を次々に繰り出している事に大きな要因があると言われています。

いつの時代も「金」は主要な犯罪の動機で、「ハッカーによる技術力の誇示」などのように”一種の義”などは期待できず、このままでは今後益々「弱い者（無対策の個人PC）」ほど狙われやすい方に向かってしまうと懸念しています。

もちろん、世の中他にも危険はたくさんありますが、上記の点について警告を発するのは、もはや決して「オオカミ少年」的な行為では無いと考えています。（「必要以上に不安を覚える必要は無いが、ネットの環境が悪化を続けている認識と基本的対策は必須である。」と言う事が言いたいわけです。）

本題に戻ります。

皆さんがおっしゃているように、NISによって「遮断」出来ているわけですから、私も「実害の心配はまず必要ない。」と感じます。

ただし、事の本質は「NISの警告によって不安を感じた。」（少なくともご本人は）と言う点にあると思います。

保護を有効にしながら警告自体をなくすためには、NISのコントロールパネルから＜ファイアーウォール＞→＜設定＞と進み、＜カスタムレベル＞を選択して、「アクセス制御警告を有効にする」のチェックを外せばOKのハズです。

しかしながら、下記の理由により、個人的にはこの方法をおすすめしません。

●本当に危険な攻撃やその前兆を見逃す事になるかもしれない。
↓
特にルーターが無い場合、NISにより攻撃自体は防げてもパケット自体はPCのNICまで到達しています。

多くのものは「黙って遮断」しているわけですから、報告しなくても問題は無いのでしょうが、日々発見されているNISの脆弱性（バグ）を突く攻撃など「本当に危険なもの」を見逃す可能性もあります。

●不具合の原因特定の手がかりが減る。
↓
仮に通信速度の低下などの現象が起きた場合でも、NISから情報が入り「ツールやワームによる自動攻撃」「イタズラ目的のDoS（DDoS/mDDos）攻撃」「どこかの誰かのミスや不具合による通信」など、大きな問題（実害）は無いが同じ送信元から大量のパケットを浴びている事が原因とわかれば、「接続の切断→再接続」（xDSLの場合これでIPアドレスが変わる事が多い。）などの対応がとれる可能性があります。（「もしアラートが上がってきても、ほとんどの場合過剰な心配をしなくても良い事。」がわかっていれば、情報を有効利用できる可能性も高まると思います。（他の原因による不具合と切り分けられる場合があるということです。）

また、もし今後あらたな疑問や危険性を感じた場合、なるべく具体的な情報（アラートの頻度や内容）を提供した上で質問をした方が識者から正確な回答を得やすいともいえるでしょう。

ただし、アラートを有効にした場合、ほとんどの方にとっては「それが本当に危険なものか否かを判断」するのは難しい事であると思います。（今回のご質問の原因もここにありますよね。）

ですから、「安全性を保った上で、アラート自体が上がってこないのが一番良い。」という事になると思います。

仮にアラートを出さないようにしても、ログには「不審な通信を遮断した記録」が残りますし、人から「心配ないよ！」と言われても、パケット到達の事実を知ってしまった以上、何となく不安が消えないものだと思います。（「確信」するためには、ネットワーク通信（プロトコル）について猛勉強するしかありません。）

そこで「ブロードバンド・ルーター」の登場となります。

すでに長文になってきた上、その理由については下記（URL)の過去ログ#5あたりに書きましたので、できればそこをお読みになってから本回答の続きへ進んでください。（モデレータの方、これは”誘導”ではなく、”補足”ですから、その点をご理解ください。）
↓
http://www.okweb.ne.jp/kotaeru.php3?q=807351

確かに「ルーター」はその名の通り「ルーティング」（異なるネットワーク（アドレス）間でパケットを中継する。）を行うためのもので、セキュリティー的な効果が第一義にあるわけではありません。（ですから、xDSL等でPC一台をインターネットに接続する目的では「不要」なものです。）

しかし、xDSLの技術はもともと構内LAN（部外者から隔離（保護）されたネットワーク）で利用（比較的簡単に通信や情報を共有）するために設計された規格ですので、インターネットに接続する限り、たとえ個人利用でもセグメントを分ける（結果的にルーターを利用する）のが常道だと思います。（私の尊敬する古参の技術者の方もこの点を力説されています。）

もちろん深い知識がある方であれば、ルーターなしの接続形態でもPFWなどを利用して安全性と快適性を両立できると思います。

しかし、多くの方にとってこれは「現実的には難しい」ことであって、安全性と快適性の両立のためには「ルーターの導入」（不要なパケットを外堀で問答無用に弾きながら、PFWのアラートを減らすこと。）が最も効果的であると考えています。（実際に利用してみるまでその効用がわかりにくいので、説明がいつも長文になってしまうのですが…。）

「セキュリティー的な強度云々」や「ネットワーク接続の仕組み云々」ということではななく、「安全性と安心感を買う」というと言う点は十分に「ルーターの購入目的」となると思います。（個人の知識と習熟度によるので、「何が何でも全員がそうするべきだ！」という事ではありませんが。）

もちろん、可能性を言い出すと必要な対策と金にはキリが無くなりますから、私も安易に「～を買えばOK！」という話をしないよう、心がけています。

しかし、「ブロードバンド・ルーター」に関しては、最も投資効果の高いものだと考えています。（ルーターを導入することで、「届いてしまったパケットについてあれこれ思案したり不安を覚える。」「アラートで作業が止められたり中断させられる。」「PFWの設定を変更する。」といった作業や心理的負担（コスト）を劇的に減らす事が出来るからです。）

ただ一点、下記のURLにあるような問題（下手をするとルーター導入が逆効果になりかねないケース？）も出てきているので、もしルーターを導入されるなら、事前に販売店やこのサイトなどで候補についての情報を集めてから決めた方が良いと思います。
↓
http://www.okweb.ne.jp/kotaeru.php3?q=823504

最後に、異常に長分なり、皆さんスクロール量が増えてこめんなさい。

少しでも参考になれば嬉しいのですが。

それでは。

この回答へのお礼

非常に丁寧かつ詳しい回答ありがとうございます。
予想外の回答をいただきまして頭が下がる思いです。
紹介していただいたURLも参考にさせていただきます。
ほんとに安心しました。

お礼日時：2004/04/10 13:42

No.4 回答者： noname#33225 回答日時： 2004/04/09 23:11

セキュリティ警告というのは、必ずしも危険な相手から通信があることを示しているわけではありません。

ドアのノックのようなもので、相手によります。

知人からドアをノックされた場合は安全ですよね。
でも泥棒が留守かどうかを見分けるために販売員の格好をしてノックしてきたら危険があります。

留守だと悟られたら侵入される可能性が高いからです。

侵入の試みとはそのようなものです。NIS はそのノックのような行為をすべて「（本当は）安全である/ないに関わらず」検出しています。

NIS ではその通信が本当に安全かどうかを判断することができないので、「ノック」されたら危険な試みがあったのでドア自体を隠して30分ノックされないようにします。

なので、必ずしも危険が迫っているわけではありません。実際には oidman さんが通信している他のコンピュータや、OS が勝手に通信をしているコンピュータなどとの通信であることも多く、問題ないものも多いです。

ウイルスが侵入しているかどうかと、侵入の試みがあることとはまったく別です。侵入の試みは外部から voidman さんのコンピュータに対する通信を検出しているだけです。

NIS で部からの攻撃（の可能性も含めて）を止めることはできません。

すべて止められるとしたら、OS が動作したり voidman さんがインターネットを使用するのに必要な通信まで止められてしまう可能性もあります。

攻撃を遮断していると表示されていること自体は、その攻撃は止めてくれていることになりますので安心してください。

長いので参考 URL に入れることができませんでしたが、詳細は下の文書をご覧下さい。

http://service1.symantec.com/SUPPORT/INTER/nisja …

少なくともウイルス定義ファイルを最新にしてウイルススキャンをして何も検知されなければその時点で分かっているウイルスには感染していません。

また、voidman さんが危惧されている 「コンピュータに侵入できそうだ」という情報はほとんどの場合相手は得ていません。

この回答へのお礼

とても詳しくありがとうございました。
もったいないくらいの回答です。とても参考にさせていただきました。感謝いたします。

お礼日時：2004/04/10 13:40

No.3 回答者： hana-hana3 回答日時： 2004/04/09 19:51

外部からのアタックをブロックして表示しているだけなので、ウィルスとは関係有りませんし、正常にソフトが機能していると言うことだと思いますので、心配いりません。

パソコンへのアタックは、専用ソフトを使って自動的に侵入しようとしているだけです。
ですから、短時間に何度も同じところからアタックされる常態になる場合が多いと思います。

ルーターを使うなどすれば、多くの攻撃からはブロックされるので、警告は殆ど出なくなると思います。

この回答へのお礼

ありがとうございました。
てっきりトロイの木馬とか言うのが侵入してるのかと
考えてました。みなさまのおかげで安心しました。

お礼日時：2004/04/10 13:39

No.2 回答者： rmz100 回答日時： 2004/04/09 19:50

> これはこのままでも問題はないのでしょうか。

「侵入の試みを検出して遮断しました」と出ているのであれば、実際に防いでくれているので問題ないと思ってください。

> 警告をなくすことはできるのでしょうか。
侵入を試みる人物、あるいはそーゆー機能を持ったウィルスがすべてなくならない限りはできないと思ってください。

> いったいどうやって、輩はこのコンピュータに侵入 できそうだ、という情報を得ているのでしょうか。
情報を得て侵入を試みているワケではありません、奴らは「手当たり次第に」侵入対象を選んでいます。

この回答へのお礼

ありがとうございました。
最近ヤケに多いので、てっきりトロイの木馬とか
言うのが侵入してるのかと思いました。
おかげさまでとても参考になりました。

お礼日時：2004/04/10 13:38

No.1 回答者： noname#13376 回答日時： 2004/04/09 19:45

遮断しました・・とでているのですから、ちゃんと仕事をしてくれているのです。

だから答えは「侵入はしていません」です。

警告を出さなくする方法は、Norton Internet Securityを現在使っていないので分かりませんが、表示を消すことはできるでしょう。

侵入を「試みる」という事実を防ぐには、ルーターをいれるなどをすればいいのですが、ルーターが必要ないのに、わざわざ「試みる」のをやめさせるためだけにルーターを設置するのは「無駄」に近い行為でしょう。
だって、現在既に「遮断」できていますから。

ということで、表示がうっとおしくないなら「問題なし」。
表示がうっとおしいなら、表示を消せばいいので、やはり「問題なし」です。

この回答へのお礼

ありがとうございました。
最近ヤケに多くなってきた気がしたので、トロイの
木馬とか言うのが侵入して、なにかを発信してるのかと思いました。安心しました。

お礼日時：2004/04/10 13:37