- ベストアンサー
msblastについて
今回出回っているmsblastに関し、MSサイトの修正パッチはすでに摘要していますが、シマンテックサイトで指摘されているTCPポート135に外部から送られてくるトラフィックをネットワーク境界でフィルタするよう推奨されています。 しかし、今まで「~ポートをブロックして下さい」という表示とともに詳しい方法が分かりません。どなたかお分かりの方がいらっしゃったら教えて下さい。 なお、当方はファイヤーウォール機能付きルーターで、家庭LANを組んでいます。 *詳細 WAN、LANともにDHCPを摘要。随時ルーターやPCを再起動して、IPアドレスを変更。 またルーターのファイヤーウォール機能を有効に設定そしています。
- MCP
- お礼率70% (133/190)
- ウィルス・マルウェア
- 回答数7
- ありがとう数9
- みんなの回答 (7)
- 専門家の回答
質問者が選んだベストアンサー
ファイヤーウォールのソフトによってまちまちだと思います。 OSに絡み尽き、一身胴体になるタイプ、 仮想的デバイスを作りブロックする方法。 どっちも、結果的には通信ポートを制御するものです。 なので、いつでも設定によりポートの開閉はできます。 今回のバグで影響が及ぶのは RPCに関連するモジュール全てだと思います、よって影響は幅広いと思います。 (リモートアクセスのサービスが影響するかは 自身では確認してませんです、すみません ただ、その機能を使う場合、分岐しているサービスが RPCを使ってますので、多少は影響するかもしれません、パッチをあてれば問題ないですよ) ------------------------------------------------- ウイルス自体は、ファイルのダウンロードだけでは 感染しません。 ダウンロードし、実行しない限り無力です。 ですので、ブラウザーなどからウイルスをダウンロードし保存しても実行しない限り問題ないです。 (ダウンロード中にアンチウイルスが動くとは思います) ただし、最近では、メールクライアントのOutLookや、ブラウザーのプラグインアプリ(ActiveX、Java、ショックウエーブ、アクロバット等)を経由する事で、勝手に実行されたり、ファイルの偽りをし巧みに ファイルの実行をユーザーに誘導する事で 感染したりまします。 メモリー上にウイルスがいる場合は、 ほとんどがすでにその端末がウイルスに感染した事によるものが多いです。ですのでファイルのダウンロードなどで感染しないように注意しないといけません。 今回は、MSのバグをついてますので、攻撃者が攻撃対象となったパソコン内にあるバグ持ちのモジュールを経由してウイルスを作られてしまった最悪のパターンです。 >アンチウイルスはそこまでワームらしい動きを >仕出かさないと感知できないのでしょうか アンチウイルスは、ウイルスパターンと言う定義ファイル(今までに登録されているウイルスのリスト)を見て ウイルスかどうかを判断してます。 よってアンチウイルス・メーカー側で該当するウイルス のパターンファイルがないと 発見できません。 (違う仕組みのアンチウイルスソフトはありますが 正常なファイルをウイルスとして検知する場合が ありますので、なんとも言えません) 古いアンチウイルスソフトがだめと言われるのは パターンファイルが古すぎて、ウイルスが 発見できないからです。 アンチウイルスは万能ではありませんので注意してください、周知のウイルスには効果的ですが、未知のウイルスには無力です。 -------------------------------------------- ちなみに、私の経験上、今まで強烈なウイルスは 1996年下半期(Windows95の全盛期)、 今回のようにバグ持ちプログラム経由で直接侵入しコンピュータBIOSを飛ばす攻撃でした(笑)
その他の回答 (6)
- Aruku-20030515
- ベストアンサー率23% (362/1544)
どうもです。 うちも、このカキコを最後にします。 取りあえず、IPアドレスがログに残っていれば ドメイン管理団体のデータベースで IPから名前を引けば良いかもしれません。 (NT系のOS、PC-UNIXなら Nslookupのコマンドで調べるのも手です) 逆に、度々アタックに来ますので、どっから(国などふくめて)くるかぐらいで、半分ほっておいてよいと思います。 ルータ自身には 135-139、445のポートなどを 封じればよいと思います。 サービスを公開していないなら 1-1023まで 封じればそれはそれで大丈夫かと思います。 Ps、先ほど、今回のMSのバグをついたウイルスの 亜種がでました、お気をくけくださいね
補足
どうも有難う御座いました。
- Aruku-20030515
- ベストアンサー率23% (362/1544)
度々であれですが。 アンチウイルスは、絶対入れておくべきですよ~ 周知のウイルスについては、防いでくれますので。 ちなみに外部から135や137、445をしきりにアクセスするのは、間違いなく不正です。 私は常時回線でサーバーのサービス運用を行ってますが 135へのアクセスは6月上旬から急激に増えました (実は、兆候が3月ごろからあり変でした ほとんどが、韓国、中国、台湾、、、、アメリカは ほとんど無かった、、、ふーアジアパワーですなぁ)
お礼
もう十分に情報を頂きましたので、閉じようかと思いましたが、ただ少し気になったのですが、どうすれば発信元が分かるのでしょうか? 私の使っているルーターではただUNKNOWNとしか記載されませんので分からないようです。
補足
なるほど、やっぱりそうですか。イタチごっこで、次から次へとウイルスを作るヤカラが出るとは知っていながらなんですが、何時まで続くんでしょうかねえ。全く困ったものえす。 発展途上国で先進諸国の仲間入りをしようとIT部門を強化し始めたとたんに、ウイルス犯罪者の激増ですか、全く迷惑な話しですね。
- Aruku-20030515
- ベストアンサー率23% (362/1544)
度々ですみません。 (あぁー 最近誤字脱字が多い、、気をつけよ<うち) ちなみに、アンチウイルス系のソフトでは 今回のような、直接端末に対して不正な操作をする物には 無力です。 (アンチウイルスは、性質上、ウイルスに感染してから 駆除する物です。<変な言い方ですが、、、 要するに、何らかの形(ファイル、メモリ上に記録)で コンピューターに取り込まれてから初めて アンチウイルスのソフトが、 ウイルスの有無を発見できるという事です。 ですので、その前段階でガードすると言う意味では ファイヤーウォール的な事をしてくれるソフトを 導入されるのが良いと思われます。 ------------------------------------------------- 逆に、ウイルスがファイル、メモリー上に記録されて(されつつある)、メーカーにウイルスのパターンがあれば。 ワームでも駆除されます。 今回の問題は、コードレッド、二ムダ同様 MSのバグをついた、積極的攻撃型ウイルスです。 攻撃最中では、まったくアンチウイルスは、発見できず 感染後に発覚すると言うパターンです。 っと言うのも、攻撃は、MSのバグが存在している モジュール経由で行われるため、アンチウイルス側では 何をしているのか判断できないからです。 (極端な話、別のある端末のマイドキュメントを共有して 別の端末上でその共有したマイドキュメントの中の ファイルを削除するような物です、ファイルを消された 端末側では、何が起こったのかも分からない状態に陥る 今回は、再起動程度ですんだけど) 今回 たまたまウイルスが他の端末に二次感染させようと、ウイルス自身をコピーしたからです。<ここで初めてアンチウイルス側で発見できる。 (逆に端末上にファイルもしくは、メモリ上に残らない ウイルスだとアンチウイルスでも発見すらできません) ですので、不正に進入され操作されないように 入り口を監視しないといけないわけです、 監視していれば、何時、どこから、どこに、何をしようと してるか分かり、個別に対応できるからです。
お礼
何度もすみません。今回はRPC関連のバグをついているようですが、それはリモートアクセスの設定とは無関係なのでしょうか? 実はHPを閲覧しようとしていて(この場合ダウンロード・表示の最中にメモリ上にウイルス感染ファイルが動作することは、アンチウイルスも感知すると思うのですが)、アンチウイルスはダウンロード最中に「修復しようとして失敗し拒否された」とか、「ダウンロードで跳ね返した」などと表示されています。 しかし、その後スキャンしても感知しませんので、安心して使い続けようと思って放置したことがありましたが、動作が不安定になったので、二次感染をする前にと思い、すぐOSのクリーンインストールをしました。 今回も似たような事がありましたので、ダウンロード途中で中断し、Temporaryフォルダ内のファイル全て消去した上で、HDDのシステム領域と同じHDD内のデータ領域の両方をフォーマットして(2パーティションに分割していましたので)、OSの再インストールをした次第です。 それにしても、OSの通常動作と同じ動きをするというのは、ワームの場合普通なんでしょうか?確かワームは自分の複製をメールに添付させて、イントラネット内やメールソフトのアドレス帳内のデータに従って、送付しようとするんですよねえ。 ということは、アンチウイルスはそこまでワームらしい動きを仕出かさないと感知できないのでしょうか?(要するに、感知した時はすでにレジストリを書き換えられているしまっているとか?) 沢山で申し訳有りませんが、もしそうだとしたらアンチウイルスなどをセットしたソフトに頼るのではなく、アンチウイルス機能も備えたファイヤーウォールソフトを購入する方が安心ということですね。(ただ何もなくても、やかましく通知するとも聞いたことがありますが。) ということは何だかセットもののノートンというのは、ワームのみが突出して流行しているようですので、~バスターと同様あまり役には立たないようですね。
補足
追加の質問なんですけど、ファイヤーウォールソフトはOSのポート設定もできるのでしょうか? もしできるのなら、作業するときだけポートを開放して(もちろんネットとは切り離して)からネットワークプリンタなどを使用し、使い終わったら再びソフトでポートをフサぐといった事もできるような気がしますが?
- Aruku-20030515
- ベストアンサー率23% (362/1544)
空耳程度で読んでください。 今回の問題はすでに周知のマイクロソフトRPCの 不具合をついた、久々の重大欠陥です。 一般的な予防策は ルータなどで135、137,138、139、445 をふさげば良いと書いてあり対外的はよいのですが 内部組織に今回のウイルスに感染した端末がたいおうさく あった場合は無力です。 ちゃんと、マイクロソフトから提供される修正モジュールを組み込みましょう。 今後の予防で、 各クライアントにセキュリティーツールを入れるか 組織的なネットワーク構成を検討しないといけません。
お礼
早速有難う御座います。 なるほど、今回のワームはやっかいなものですね。今まででもネットワーク内のパソコンに感染を試みるというものも有りましたが、今回のは別格の感染力で、このような悪さをしでかすもののようで、本当に誰が作ったんでしょうかねえ。 さて各クライアントにはシマンテックのアンチウイルスを入れてあり(ライセンス取得済み)、定期的にウイルス定義をダウンロードしています。インターネットセキュリティーは入れていませんし、サーバーもインストールしてはあるものの、ウイルスソフトが極端に高価なので、今はプライマリ・スレーブのHDDに眠っています。 しかし、トロイの木馬タイプのワームには無力なのでしょうか?どうもここのところが不安なので、ウイルスソフトがHPで感知するたびに、OSのクリーンインストールをするか、ノートンのGhostでWindowsファイルを上書きしています。
- MovingWalk
- ベストアンサー率43% (2233/5098)
ポート135-139、445のTCP/UDPを全て閉じるとファイルの共有などにも 影響が出ますので、ルータを利用している場合はあえてPCのポートを閉じる 必要はありません。 修正パッチとウィルス対策ソフトは常に最新にするようにしてください。 http://www.murashima.matsudo.chiba.jp/mura/tcpip-port.htm
お礼
有難う御座いました。 何だか、英語ばかりで難しいサイトですね。マイクロソフトサイトでプリンター共有、ファイル共有に障害が出ると書かれていましたので、見送ろうと思っています。 ただ、手順などが分かりませんので、感染したときのことを考えてお聞きしたいと思っています。 よろしくお願いします。
- pierre2
- ベストアンサー率24% (259/1070)
>ファイヤーウォール機能付きルーターで 意図的にポートを開けていなければ、通常はルータ でポートがしまっていると思いますが、、、 ルータの機種と型番を書き込まれれば同じ機種 を使っている方からもう少し詳しい書き込みがあると 思いますが。 基本的にはWAN側からのポート135-139、445のTCP/UDP のアクセスを遮断するようにすればいいのだと思います。
お礼
早速のご返事有難う御座います。 まさかワームを流した犯人が、このサイトを見ていることは無いでしょうが、何だか気持ち悪いような気がしましたので、必要かな?とは思いつつ控えていました。 とりあえず、当方はCorega社のルーターを使っています(スループット86Mbpsの汎用ルーターです)。
お礼
いろいろと有難う御座いました。 Windowsは有名なので、バグを利用した攻撃が多いですね。アンチウイルスで感知したときは、既に遅かったとは知りませんでした。(メーカーを信用し過ぎ?) 隔離とか検疫とかいろいろな機能があるようですが、どうも無駄なようですね。要するに二次感染を防ぐだけの意味しかないのでは、本質的に不十分ということが良く分かりました。 インターネットセキュリティーの購入を検討しようと思います。(どこが良いのか、他のメーカーの実情を知りませんので。) BIOS攻撃の話しは、販売店でよく聞かされていました。そうなるとRAMごと取り替えなければいけないそうですね(結局、修理ですけど)。 それにしても、これから同じような別のバグを利用したもの(セキュリティーホールの模擬攻撃で公開されたソフトを元にしたもの)が出回る危険性が高いとのことですので、本当の意味で有効な防御法を知りたいと思っています。(もちろん、MSのパッチは定期的に当てていこうと思ってもいますが。)
補足
先ほど(10時15分)にCATVモデムを起動させましたが、30分ほどで30回、要するに1分に1回程度ポートナンバー135もしくは137で、アクセス制限をした(そのように設定していますので)というログが記録されました。 記録にはWAN側からのアクセスということですので、全てBlasterからの攻撃とみなすべきなんでしょうか?