Nortonのログ

■　Nortonのログ　■

前回は「ステルススキャン」について説明しました。
「ステルススキャン」とは、サーバーにログを残さずにポート
スキャンを行う方法でした。

しかしステルススキャンは「普通ではありえない事」を行うの
で、他人のネットワークに対して行ってはいけないという事も
説明しました。

ここまでお分かり頂けたところで、この講座の１番最初にご紹
介した質問メールを見てみましょう。

─↓ここから──────────────────────

私のパソコンには、NortonPersonalFirewall2001をインストー
ルしているのですが、頻繁に下記の様なログが残っています。
「これがポートスキャンというやつなのかな？」と思っている
のですが、何か対処が必要なのかどうか良くわかりません。

＜Nortonのログ（IPの一部をxxxで伏せさせて頂きました）＞
日付: 2001/11/20 時刻: 16:22:45
未使用ポートブロック機能が通信をブロックしました。
詳細:
インバウンド TCP 接続
リモートアドレス、ローカルサービスは 210.3.xxx.xxx,http

─↑ここまで──────────────────────

あなたは、このメールに何と答えるでしょうか？

まず、NortonPersonalFirewall2001のログですが、以下の部分
に注目してみましょう。

インバウンド TCP 接続

「インバウンド」とあります。
これはどういう事かと言うと、外部からご質問者のパソコンに
対して何らかのアクセスがあった事を示しています。

これとは逆に「アウトバウンド」という表示が行われる事もあ
りますが、この場合はご質問者のパソコン内にあるアプリケー
ションソフトウェアが外部のコンピュータに対してアクセスを
試みようとした時に表示されます。

次に「TCP接続」と書かれてあります。

インバウンド TCP 接続
　　　　　　￣￣￣￣￣

これは通常のTCP接続、つまり普通にスリーウェイ・ハンドシ
ェイクが行われた事を示しています。

どのサービスに要求があったのかは、以下の部分を見ると分か
ります。

ローカルサービスは 210.3.xxx.xxx,http

「210.3.xxx.xxx」というのはご質問者のパソコンのIPアドレ
スです。

「http」というのが、どのサービスに要求があったのかを示し
ています。

HTTPとはHyper Text Transfer Protocolの略で、インターネッ
トエクスプローラ等でWEBページを見る時に使用されるプロト
コルの事です。

通常、悪意を持ったクラッカーがポートスキャンを行う時には、
サーバーに気付かれないように「ステルススキャン」を試みま
すが、この例の場合、PersonalFirewallソフトにより検出され
ていますので、ステルススキャンが行われたとは考えにくいで
す。

つまり悪意を持ったクラッカーが攻撃を行おうとして、ポート
スキャンを試みた、とは考えにくいという事になります。
（あくまでも推測です。）

これらの事から、ご質問者のパソコンに対してクラッカーが攻
撃を試みているのではなく、HTTPのポートであるポートNo.80
に対して、普通に「WEBページ見せて。」と外部のコンピュー
タから要求があった事が推測できます。

「なんだ、大丈夫なのか。」と思いそうになりますが、もう少
し考えてみましょう。

それでは誰がご質問者のパソコンにアクセスしてきたのでしょ
うか？

実は日付を見るとある程度推測する事が出来ます。

日付: 2001/11/20

この時期、「Nimda」や「CodeRed」というコンピュータウィル
スが大流行した時期です。

このウィルスの特徴としては、ランダムなIPアドレスのポート
No.80に対して接続を試み、うまく接続できた場合はコンピュ
ータウィルスを感染させてしまうという特徴があります。

つまりご質問者のコンピュータにアクセスしてきたのは、これ
らのコンピュータウィルスが感染を広げようとしてアクセスし
てきた可能性が高いということになります。

今回取り上げた例は大分日付の古いものですが、現在でもコン
ピュータウィルスが大流行すると、そのウィルスが感染を広げ
ようとして使用するポートに対して頻繁にアクセスが発生する
事があります。

それでは、対策として何をすれば良いのか、という事になりま
すが、１番有効な対策としては、「不要なサービスを動作させ
ない」という事が上げられると思います。

ご質問者のメールを見てみると、

未使用ポートブロック機能が通信をブロックしました。
￣￣￣￣￣￣
というログが残っていると書かれてあります。

「未使用ポート」というのは、何もサービスが行われていない
ポートという事になります。

つまりこの場合、ご質問者はコンピュータウィルスが利用する
ポートに対してはサービスを動作させていないので、このポー
トに関しては対策が完了している事になります。

次に有効な対策としては、「ファイアウォールを動作させる」
という事が上げられます。

ファイアウォールを利用すると、外部からのアクセスに対し、
そのアクセスを許可するか、拒否するかをそれぞれのIPアドレ
スやポート毎に指定する事が出来ます。

これにより怪しいアクセスに対しては、アクセスを拒否する設
定を行ったり、限られたIPアドレスからのアクセスだけ許可し
たり、限られたポートNoへのアクセスだけ許可したりする設定
が行えるようになります。

ご質問者の場合、NortonPersonalFirewallソフトが既にインス
トールされているようですので、これについても対策済みとい
う事になります。

その他にもアンチウィルスソフトをインストールしたり、怪し
いメールを開封しない、怪しげなソフトを使用しない等の注意
を払っておけば、個人の方が行う対策としては充分だと思いま
す。

また、「不要なサービスを動作させない」と書きましたが、必
要なサービスまで停止するという事では無く、有用なサービス
は動作させておき、その代わりに、そのサービスに対する脆弱
性情報が公開されていないか、最新のパッチが公開されていな
いかを常に意識し、最新の状態に保てるようにしておけば良い
と思います。

さて、今回まででこの講座を終了しても良いのですが、まだ、
ポートスキャンの危険性について説明していませんでした。

ポートスキャンとは、複数のポートに対して接続を試み、どの
サービスが稼動しているのかを判定する行為の事でした。

それでは、どのサービスが稼動しているのか判定されてしまう
と何が危険なのでしょうか？

次回はポートスキャンの危険性について説明する予定です。