私のマシンにも同様のログが記録されていました。 私もアタックだと推測します。 同じ3389ポートに間違えてリモート接続しに来るユーザーがいないとも限りませんが、 ・ログ間隔がとても人間が試行した都は思えないほど短いこと ・きっかり２０分試行したのが、複数の日に記録されていること ・クライアントが「a」なんて作らないでしょ、普通 ここで同様の書き込みを見つけ、確信した次第です。 こちら（http://questionbox.jp.msn.com/qa7829324.html）に 別観点からの質問を立てましたのでこちらも参照してください。 私のマシンでは、アプリケーションとサービス ログ/Microsoft/Windows/ TerminalServices-RemoteConnectionManager/Operationalに以下のログがありました。 ----------------------------------------------------------- ソース：TerminalServices-RemoteConnectionManage イベントID：1149 リモート デスクトップ サービス: ユーザー認証に成功しました: ユーザー: root ドメイン: ソース ネットワーク アドレス: 103.4.225.200 ----------------------------------------------------------- ユーザーはroot、user1、administratorなど様々で、 IPアドレスはいくつかありましたがすべて中国からの物でした。 sharo0331さんのマシンにはこのようなログが残っていませんか？ こちらの質問の回答としては、 ・リモートデスクトップを外部に解放するのをやめる →ルータでブロックする（ルータのIPマスカレード設定を止める） →リモートデスクトップの接続を中止する （システムのプロパティー→リモートの設定→このコンピュータへの接続を許可しない） ・リモートデスクトップの中止が出来ないなら、 →ポート番号を標準の3389から別の番号に変更する 　（方法はOSごとに違うのでググってください） →自分のユーザーID以外の不要なリモート接続を禁止する →オプションをネットワーク認証レベルに上げる まぁ、気休めですが、セキュリティーホールが無ければ 不正ログインは抑止できるでしょう。