Microsoftからトロイの木馬の攻撃？

こんばんは。 すこし、大げさに構えすぎです。 もちろん、絶対攻撃ではないと言い切るわけではありませんが、その前にさまざまな可能性があります。 検出された通信の内容（プロトコル・接続要求ポート・攻撃内容など）がはっきりしませんので、なんともいえませんが、一般的な考え方をお話します。 まず、NISが「攻撃を検出しました。」と言ってきたからといって、即攻撃であると決め付けるべきではありません。 もちろん、外から内へのパケットが検出されたのは事実ですが、ネットワーク上には悪意のある・なし、人為的なもの、自動化されたものにかかわらず、さまざまなパケットが飛んでいます。 典型的なものは「ポートスキャン」と言って、無差別的に開いているポートを調べて回る、イタズラの事前調査的なものです。（「ポートスキャン」自体は違法ではなく、検査目的などにも利用されており、ポートスキャンで発見した意図せずに空いているポート（ネットワーク上の仮想的な接続口）に接続することが問題です。） 検知される可能性のあるその他の通信内容については、参考URLにある私の過去の書き込みを読んでみてください。（ルーターを導入していれば、典型的なポートスキャンなどは弾いてくれます。） もちろんNISは実際の攻撃も検出してくれますが、上記のような通信や自己繁殖中のワームなど、監視ルールに引っかかるものはすべて「不正侵入」として報告します。 ルーターのところまでは一日数10回の接続要求がやってくるのは珍しいことではありません。（ルーターなしの場合ワームの繁殖期などにNISが反応しっぱなしになることが多くあります。） また、NISの検出する攻撃者の情報は、あくまでパケットのヘッダが持っている送信元情報（IPアドレス）などです。 本気で侵入する（できる）ような攻撃者なら、自分の生IPを相手に悟られるようなドジは踏みません。（最低限IPを偽装していますし、気づかれるような乱暴な侵入はしないはずです。） 今回はマイクロソフトのIPだったとの事ですが、IPがマイクロソフトのものに偽装されているだけだっのか、パケット自体は本当にマイクロソフトのサーバーから送られてきたものなのかは、通信内容を詳しく見てみないと解りません。 良くあるパターンは、自動アップデート機能などの”正規の”通信を侵入と勘違いする「フォールス・ポジティブ」（誤検知）というケースです。 ルーターを設置されていると言うことなので、めったにNISが反応するような通信は入ってきませんが、このような可能性は十分にあります。 NISのアラートで本当に気をつけるべきは、「内から外への不審な通信が起きていないか」と言うことです。 このような通信が検出された場合は、トロイなどに感染し、実際にバックドア利用などの悪用が行われている可能性を示唆しているからです。 さて、これまでの説明で1・3・4のご質問には回答していることになると思います。 最後に質問2の件ですが、絶対に必要かと聞かれると、なんともいえないというのが正直なところです。（利用頻度や立ち上がっている時間など、条件によってリスクは変動します。） もちろん、他のノードもインターネット接続が可能であるかぎり、パーソナル・ファイアーウォール（NISではなく、フリーのものでもかまいません。）を導入した方が安全性（不具合の早期発見の可能性）が高まります。 しかし、仕組みどうこうと言う問題よりも、具体的な攻撃の可能性（どこから・どこへ・どんな通信内容の）を知ったり、ネットワーク通信の仕組みについての基礎知識をもって有効活用するということのほうが大切だと思います。（もちろん、有効な仕組みはリスクを減らしてくれます。） 下記参考URLの書き込みの私の記述部分にあるリンクから、こうした基礎知識にアクセスできますので、一度目を通されてみることをおすすめします。