| [ 21353 ] 迷惑メール(spam)撲滅私的調査会 HTML化ログ |
|---|
ID-code:oxzg.H4qnsk
こんにちは、はじめまして。
今までスパムは受け取ったこともないくらい無縁だったのですが、
突然スパムに巻き込まれてしまいました。
プロバイダより、パソコンがスパムメールの送信元、もしくは不正中継に使用されているので、
対策をしてくださいという旨のメールが届き、大変驚きました。
プロバイダに電話で問い合わせたところ、私のIDからスパムメールが送信されているのを
プロバイダのコンピュータが検出したそうです。
このIDというのは、PPPoE 接続をするためのログイン ID です。
つまりメールアドレスが偽装されたのではなく、確実に私のコンピュータを経由しているようです。
スパムメールの事で詳しく聞いてみたのですが、
プロバイダも「スパムが送信(中継)された」「送信元のログインID」
この二つしか分からないそうです。
そもそもスパムメールの不正中継(踏み台)とは、どの様な手段で行われるものなのでしょうか?
ネットで検索してみるとサーバーを立てていたり、
コンピュータウイルスに感染していたりという理由が多いようですね。
ちなみにサーバーは立てていませんし、ウイルスも最新の定義ファイルで
検索してみましたが、見つかりませんでした。
(もちろん亜種などで発見できない可能性もありますが・・・)
念のためにファイアーウォールの設定を最高まであげて、
ネットワークに接続されるソフトを一つひとつ確認しています。
不正中継があったとされる時刻近辺の、ファイアーウォールのログを確認してみましたが、
不正中継されているということは、ブロックされていないわけですから、
ログには残りませんよね。。。何だかとても気味が悪いです。
セキュリティには気を配っていたつもりだったので、
今回のことはかなりショックでした。
ID-code:w6SZ3BprNCg
緊急を要していますので、早急に対処して下さい。
> そもそもスパムメールの不正中継(踏み台)とは、
> どの様な手段で行われるものなのでしょうか?
この手法については昔から変化しているので一概に言えません。
お読みになったのは古い情報の可能性があります。
とりあえず以下の2つを実行して下さい。
1.インターネット、もしくは
メールサーバへのアクセスパスワードを変更する
2.ウイルス対策ソフトを導入し、パソコンからの
ウイルスの駆除を試みる
2に関してですが、
現在最も多いspam発信の中継方法は、
ウイルスによって一般ユーザのパソコンをゾンビ化し、
ユーザの知らないうちに好き勝手なことをする方法です。
参考:ゾンビPC
http://www.google.co.jp/search?hl=ja&q=%E3%82%BE%E3%83%B3%E3%83%93+PC&btnG=Google+%E6%A4%9C%E7%B4%A2&lr=
> ネットで検索してみるとサーバーを立てていたり、
> コンピュータウイルスに感染していたりという理由が多いようですね。
> ちなみにサーバーは立てていませんし、ウイルスも最新の定義ファイルで
> 検索してみましたが、見つかりませんでした。
> (もちろん亜種などで発見できない可能性もありますが・・・)
これは本当ですか?
ウイルス対策ソフトをきちんと導入し、アップデートしているのですね?
ちなみにどのソフトでしょうか?更新データの最新バージョンの数は?
とりあえず、1のことを実行し、2のことを確認して下さい。
ID-code:w6SZ3BprNCg
ちなみに...
> プロバイダに電話で問い合わせたところ、
> 私のIDからスパムメールが送信されているのを
> プロバイダのコンピュータが検出したそうです。
まず確認ですが本当に「ID」(アイディー)ですか?
「IP」(アイピー)ではありませんか?
ID-code:oxzg.H4qnsk
お返事ありがとうございます。
早速ですが、パスワードの変更作業に入っています。
ちなみにウイルス対策ソフトのウイルスバスター2005ですが、3時間毎の自動更新を設定しており、
2、3日に1回は手動で最新版であるか確認しています。
現在のバージョンは、
プログラム : 12.2.1021
検索エンジン : 7.510.1002
パターンファイル : 2.759.00
となっています。
もちろん Windows も修正プログラムを逐次適用しています。
>まず確認ですが本当に「ID」(アイディー)ですか?
>「IP」(アイピー)ではありませんか?
IP アドレスではなく、ログイン ID でした。
接続環境は九電系の光ファイバ「BBIQ」なのですが、警告メールには、
「今回弊社が得た情報は,下記の時刻に利用されていたIPアドレスからスパムメールと
思われるメールが送信されている というものです。」
という文章が書かれていたため、プロバイダに問い合わせたところ、
「IPアドレスではなく、お客様のログインIDを使用してスパムメールが送信されています」
との事でした。
プロバイダの監視コンピュータでは、ログインIDごとに接続を監視しているようなのです。
同じBBIQ局内で私のログインIDとパスワードが使用されている可能性があるかどうか尋ねたところ、
「無いとはいえませんが、こちらで分かるのはお客様のログインIDで接続されたコンピュータから、
スパムメールが送信・不正中継されているのを弊社のコンピュータが警告している。という事だけです」
というお答えでした。
このプロバイダに家族分も含めて3つのメールアドレスを持っているのですが、
これのどれから発信されたのかについても情報が無く、
分かるのは私のログインIDでログインしたコンピュータから、
スパムが送信されている事のみのようです。
ただ、スパムが発信されたという同時刻に、コンピュータを起動しておりましたので、
他人が同じIDでログインするというのも、ちょっと考えにくいですよね。
どのメールアドレスが使用されたのか、もう一度問い合わせてみたいと思います。
ID-code:w6SZ3BprNCg(本記事は投稿者自身により08/04-18:47に修正されました)
> お返事ありがとうございます。
> 早速ですが、パスワードの変更作業に入っています。
>
> ちなみにウイルス対策ソフトのウイルスバスター2005ですが、3時間毎の自動更新を設定しており、
> 2、3日に1回は手動で最新版であるか確認しています。
(略させて頂きます)
> パターンファイル : 2.759.00
> となっています。
私もたまたまウイルスバスターユーザですが確かに最新のようですね。
> >まず確認ですが本当に「ID」(アイディー)ですか?
> >「IP」(アイピー)ではありませんか?
>
> IP アドレスではなく、ログイン ID でした。
> 接続環境は九電系の光ファイバ「BBIQ」なのですが、警告メールには、
> 「今回弊社が得た情報は,下記の時刻に利用されていたIPアドレスからスパムメールと
> 思われるメールが送信されている というものです。」
> という文章が書かれていたため、プロバイダに問い合わせたところ、
> 「IPアドレスではなく、お客様のログインIDを使用してスパムメールが送信されています」
> との事でした。
> プロバイダの監視コンピュータでは、ログインIDごとに接続を監視しているようなのです。
>
> 同じBBIQ局内で私のログインIDとパスワードが使用されている可能性が
(略させて頂きます)
>
> このプロバイダに家族分も含めて3つのメールアドレスを持っているのですが、
> これのどれから発信されたのかについても情報が無く、
> 分かるのは私のログインIDでログインしたコンピュータから、
> スパムが送信されている事のみのようです。
> ただ、スパムが発信されたという同時刻に、
> コンピュータを起動しておりましたので、
> 他人が同じIDでログインするというのも、
> ちょっと考えにくいですよね。
>
> どのメールアドレスが使用されたのか、
> もう一度問い合わせてみたいと思います。
そういえばスパイウェアの知識はありますか?
「ウィルスやスパイウェアをチェックするには?」
http://homepage2.nifty.com/winfaq/c/hints.html#1430
で紹介されている、2つの無料のスパイウェア対策ソフトで
パソコン内に怪しいものがないか確認しましょう。
あ、そういえばウイルスバスターも2005から
スパイウェア検索が出来るようになりましたね。
その機能は一応実行していますか?
(スパイウェアについては無料の例の2つの方が
現段階では結構知名度が高いですけど)
ちなみにスパイウェア対策ソフトは
一般に過敏に反応して、クッキーにも警告を出しますが、
クッキーは通常問題のないものが多いです。
すなわち何かが検出されたからと言って
それが絶対に大問題というわけではありません。
中身に依ります。
あとスパイウェアは、それ自体のみが、
spam発信を幇助するほどまでの機能を持つものは
少ないのではないかと思います。
「少ない」というよりそこまでセキュリティを悪用するシロモノは
「ウイルス」に格上げされる感じでしょうか。
可能性的にはスパイウェアによって
ログインIDやパスワードが盗まれ、
メールサーバが悪用されるようになったという可能性は
ありますがね。
実は今回読んだ最初、
「そら!ゾンビPCのお客(汗)が初めて来た!」
と勇んだのですが、どうも書き方からすると
ある程度セキュリティをきちんとなさっているような感じが見られるし、
「ID」ということもあり、
最初に書いた回答を見直した経緯があります。
> > > 不正中継があったとされる時刻近辺の、ファイアーウォールのログを確認してみましたが、
> > > 不正中継されているということは、ブロックされていないわけですから、
> > > ログには残りませんよね。。。
そうですね、おっしゃる通りだと思います。
ちなみにルータは使っていませんか?
ルータを使っている場合には、さらに安全性が高いのですが....
ID-code:w6SZ3BprNCg
ちなみに
> 「今回弊社が得た情報は,下記の時刻に利用されていた
> IPアドレスからスパムメールと
> 思われるメールが送信されている というものです。」
ISPから来たこの警告メールの中に
IPアドレスの情報は載っていませんでしたか?
もしかすると、メールサーバにアクセスしていた者のIPアドレスは
把握できるのではないかと思いまして。
ID-code:oxzg.H4qnsk
先程のメッセージを書き込んだ後、もう一度プロバイダに問い合わせてみました。
プロバイダの方によると、先の問い合わせで説明が「ID・アイディー」だったのは、
普通の人にはログインIDといったほうが分かりやすいので、そう説明したそうです。
今回の問い合わせの回答は、
「お客様のコンピュータのIPアドレスより、スパムが送信された形跡があります。メールサーバーは使用されていません。
また、インターネット、メール双方のログインIDやパスワードが漏れたのではなく、
またウイルスがメールソフトより不特定多数にメールを送信したわけでもありません。
コンピュータに侵入されて、スパム送信されたようです。
ファイアーウォールなどでセキュリティの強化を図ってください」
との事でした。
以上がプロバイダ側からの具体的な回答です。
侵入された、となるとウイルスバスターで何らかが検索されるはずですよね?
ちなみにウイルスバスターのログを確認してみましたら、
「ADW_BADBITOR.A」というスパイウェアが検出、駆除されていました。
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=ADW_BADBITOR.A
http://www.symantec.com/region/jp/avcenter/venc/data/adware.lop.html
ID-code:WSo1QF/yOqU
お返事ありがとうございます。
一生懸命書き込んでいましたら、管理人さんと入れ違いに書き込んでしまったようで・・・
お返事ありがとうございます。
そうですね。自惚れている訳じゃありませんが、
セキュリティに関しては、できる限りやっているつもりだった故に警告メールのショックは大きいです。
バックドアに関しても詳しい仕組みまでは理解していませんが、
乗っ取られればそれくらい自分でも気がつく筈、、と思うんですよね。。。
変なサイトに行ったわけでもなく、変なソフトも入れた記憶が無いですし、
セキュリティもある程度自身がありましたので、
原因が特定できないのが非常に不安というか心配です。
ID-code:w6SZ3BprNCg
> そうですね。自惚れている訳じゃありませんが、
> セキュリティに関しては、できる限りやっているつもりだった
> 警告メールのショックは大きいです。
> バックドアに関しても詳しい仕組みまでは理解していませんが、
> 乗っ取られればそれくらい自分でも気がつく筈、、と思うんですよね。。。
>
> 変なサイトに行ったわけでもなく、変なソフトも入れた記憶が無いですし、
> セキュリティもある程度自身がありましたので、
> 原因が特定できないのが非常に不安というか心配です。
そうですね。
使用なさっているIPは変化しているようですが、
ともあれもう少し事実関係を探りたいなら、
spam発信に悪用されたIPを把握したいところです。
また、その時刻に使っていたMultistrada様のIPも
知りたいところですが...
ログなどをきちんととっていないとどんどん難しくなりますね。
その悪用されていた時刻にパソコンをつけていたとのころですが
その際、自分のホームページ(アクセスログを取っているところ)を訪問したり、
MLにメールを投稿したり、
あるいは家族などにメールを送ったりしていませんか?
それらがあればその時の接続で自分のパソコンのIPが何だったか
把握できるので、前述の「悪用されたIP」と比較できるのですが。
spamアドレス詐称の問題は当サイトでも長く扱ってきましたし
http://antispam.stakasaki.net/laji-yuanzui.html
ゾンビPCとして乗っ取られて
私にspamを送るのを手助けしてしまった人と電話でやりとりしたことはありますが
今回のような相談例は初めてのこともあり
(というかゾンビPCの相談は少ないですので...)
特に、内容的にある程度
セキュリティをしっかりしておられそうなので
私も不可解です。
ちなみにスパイウェアツールのAdawareとSpybotは試されましたか?
今回のようなことがなくても、
セキュリティ意識の高いパソコンユーザの間では
必須のツールになっていますのでお調べになることをお勧めします。
ID-code:WSo1QF/yOqU
> また、その時刻に使っていたMultistrada様のIPも
> 知りたいところですが...
> ログなどをきちんととっていないとどんどん難しくなりますね。
> その悪用されていた時刻にパソコンをつけていたとのころですが
> その際、自分のホームページ(アクセスログを取っているところ)を訪問したり、
> MLにメールを投稿したり、
> あるいは家族などにメールを送ったりしていませんか?
> それらがあればその時の接続で自分のパソコンのIPが何だったか
> 把握できるので、前述の「悪用されたIP」と比較できるのですが。
残念ながらIPが把握できる作業は行っていませんでした。
昔、ファイアーウォールが一般的で無かった時代に使っていたファイアーウォールソフトは色々ログをとっていてくれましたが、
ウイルスバスターではそこまで取ってくれないですね。
ログを取るのにベストな方法はありますか?
> 今回のような相談例は初めてのこともあり
> (というかゾンビPCの相談は少ないですので...)
> 特に、内容的にある程度
> セキュリティをしっかりしておられそうなので
> 私も不可解です。
そうですね。
プロバイダ曰く、私のIDがログインした際に振り当てられていたIPを使って、スパム送信がなされている。
と言う事を確認して、警告メールを送ったのでしょうが、
メール文末には「万が一何らかの間違いの場合はご容赦ください」とあるんですよね。
定型文でしょうけれども、プロバイダ側がIPアドレスとログインIDの整合作業のミスなど、間違う可能性もあるという事でしょうか?
実際どの様な作業が行われているのか、わからないので何ともいえませんが。
> ちなみにスパイウェアツールのAdawareとSpybotは試されましたか?
> 今回のようなことがなくても、
> セキュリティ意識の高いパソコンユーザの間では
> 必須のツールになっていますのでお調べになることをお勧めします。
Spybotは紹介していただいてから、試してみました。
もちろんスパイウェアは見つかりませんでした(微笑)
Ad-awareは以前より愛用しています。見つかるのはCookieのみなのが幸いです。
今回のこと、まったく原因がつかめませんが、
念の為 Windows をクリーン再インストールした方がいいかもしれませんね。
その方が精神的にも、万一何かに感染していた場合も含めて安心ですよね。
ID-code:VZYXNtkShLg(本記事は投稿者自身により08/04-21:04に修正されました)
どこにレスを付けるべきか迷いましたが…。
えとまず、私もウイルスバスターユーザーなんですけど、バスターのファイア
ウォールの初期設定は非常に甘いです。
(既にされているようですが)セキュリティレベルを高にした上で、
除外リストのDNS以外のチェックマークを一度全て解除し、ソフトを一つ一つ
登録していく使い方をお勧めします。
特に未知のウイルスによる外部への通信を防ぐには、アウトバウンドの監視が
最後の砦ですので…。
(停止させられたり、設定を書き換えられたりする可能性もあるので、
脆弱な砦ですけど。)
ご存知かとは思いますが、スパマーや不正侵入のためのゾンビPCを作成
するためのウイルスを、ボットと呼びます。
このボットですが、他の(よく見かけるような)ウイルスとは桁違いの数の
亜種が存在します。
アンチウイルスソフトは基本的に定義ファイルに登録されているモノ以外には
無力であるため、残念ながら、常に最新の定義ファイルを使用していても、
必ずしも検出できるわけではありません。
ただし、バスターで検出されないマルウェアであっても、他のアンチウイルス
ソフトには登録されている場合もあります。
もし本当にボットを踏んでしまっているのだとしたら、ANTIDOTE の簡易版や
他ベンダーのオンラインスキャンを使ってみるのは有効かもしれません。
http://www.vintage-solutions.com/Japanese/
http://www.symantec.com/region/jp/securitycheck/index.html
http://jp.mcafee.com/root/mfs/default.asp
それから、無線LANは利用されていませんよね?
国内では聞いた事がなかった気がしますし、海外でも最近は聞かないのですが、
甘い設定のまま使用している場合、勝手に接続されて送信の踏み台に使用される
可能性も考えられます。
しかし、これまでの書き込みを読んでいる限りでは、セキュリティに気を
配っている方のように思えるんですよね。それが何とも…。
ID-code:w6SZ3BprNCg
> 残念ながらIPが把握できる作業は行っていませんでした。
> 昔、ファイアーウォールが一般的で無かった時代に使っていたファイアーウォールソフトは色々ログをとっていてくれましたが、
> ウイルスバスターではそこまで取ってくれないですね。
> ログを取るのにベストな方法はありますか?
私も(ルータを使っているせいもありますが...でもないか)
ログまでは取っていませんねえ。
> > 今回のような相談例は初めてのこともあり
> > (というかゾンビPCの相談は少ないですので...)
> > 特に、内容的にある程度
> > セキュリティをしっかりしておられそうなので
> > 私も不可解です。
>
> そうですね。
> プロバイダ曰く、私のIDがログインした際に振り当てられていたIPを使って、スパム送信がなされている。
> と言う事を確認して、警告メールを送ったのでしょうが、
> メール文末には「万が一何らかの間違いの場合はご容赦ください」とあるんですよね。
> 定型文でしょうけれども、プロバイダ側がIPアドレスとログインIDの整合作業のミスなど、
> 間違う可能性もあるという事でしょうか?
> 実際どの様な作業が行われているのか、わからないので何ともいえませんが。
そうですねえ。ちなみに無理に回答しなくても構いませんが
http://www.bbiq.jp/service/bbiq/index.html
によれば、スタンダードとマンション形式があるようですが
どちらでしょうか?
いや、マンション形式のほうが、結構セキュリティが危うかったり、
同じマンション内の別パソコンと間違えられる危険性が高いと聞いた気がしますので。
(確実な話かは知りません)
発信者の特定ですが、大概は、特定の時間に繋げた発信者が
どのID・住所のユーザであるかをきちんと把握できるように
しているわけですが
それが不十分な場合もあるようです。
たとえば以前にはぷららが、
そのような不十分な状態であることを回答してきたことがありまして、
当掲示板でも問題になりました。
http://www2g.biglobe.ne.jp/~stakasa/nospam_bbs/past/0007.html#2534
ただしこのときにはメールサーバも絡んでいるので
同じ問題ではないはずですし、
その後ぷららはspamに対して他のISP以上に
積極的に行動するISPとなっているようですが。
いずれにせよ
ユーザの接続が度々かわるようなシステムにしている場合、
本当の発信者ではなく、それと入れ違いで利用したユーザに
間違った警告が来る可能性も考えられなくはありません。
まあしかし、普通はISPこそがネット業者のプロなのですから
そういう可能性は滅多にないと信じたいところです。
> Spybotは紹介していただいてから、試してみました。
> もちろんスパイウェアは見つかりませんでした(微笑)
> Ad-awareは以前より愛用しています。見つかるのはCookieのみなのが幸いです。
そうですか、それは優秀です(微笑)。
ネット上のトラブルでそう回答できるのはそう多くないようですから。
#まあ私も実は頻繁にはやりませんがね。
#たまにやってもクッキーばかりだし。
> 今回のこと、まったく原因がつかめませんが、
> 念の為 Windows をクリーン再インストールした方がいいかもしれませんね。
> その方が精神的にも、万一何かに感染していた場合も含めて安心ですよね。
そうですねえ。ほんとそうなります。
私はクリーンインストールは嫌い
http://dennou.stakasaki.net/#no_inst
なので大変同情いたしますが。
あとメールで書きましたが、これを機会にルータの導入ですかね。
最近では安いものも多いですが、安物ですと
せっかくのブロードバンド速度が落ちやすかったりするそうなので
5000円以上のくらいを買えばそれで十分な気がします。
実家での話ですが、数年前から
モデムで直つなぎにしていると
「ネットワークイウイルス」による攻撃が数分おきに
おこるようになりました。
それだけモデム直つなぎは危うくなっています。
特にパソコンをインストールしたばかりのとき
なにもWindowsUpdateやセキュリティ対策ソフトをいれていない場合には
すぐに感染してしまいます。
そういう点でルータ接続にしていると少し安心です。
(無論クリーンインストール後に早急にWindowsUpdatesと
ウイルス対策ソフトを導入する必要は同じことですが)
ともかくも明日、技術者の方から詳しく聞ければ良いのですが。
ID-code:w6SZ3BprNCg
> プロバイダの方によると、先の問い合わせで説明が「ID・アイディー」だったのは、
> 普通の人にはログインIDといったほうが分かりやすいので、そう説明したそうです。
>
> 今回の問い合わせの回答は、
> 「お客様のコンピュータのIPアドレスより、スパムが送信された形跡があります。
> メールサーバーは使用されていません。
(略)
>
> 以上がプロバイダ側からの具体的な回答です。
ほぼ確実に、
ISPとしては「ゾンビPCになっている」と言いたいようですね。
> 侵入された、となるとウイルスバスターで何らかが検索されるはずですよね?
> ちなみにウイルスバスターのログを確認してみましたら、
> 「ADW_BADBITOR.A」というスパイウェアが検出、駆除されていました。
> http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=ADW_BADBITOR.A
> http://www.symantec.com/region/jp/avcenter/venc/data/adware.lop.html
これはいまいちパッとしない(たいしたことなさそうな)
アドウェアですね。
それより重大なことに気がつきました。
spam発信のIPを監視している
SenderBase
http://www.senderbase.org/
というサイトがありますが、
私のサイトにアクセスしているMultistrada様のIPが
ここでspam発信履歴ありと言うことで登録されているようです。
実際の結果は別途お送りします。
ただしこのデータベースも完全ではなく、
100%断定は出来ません。ただし極めて注視する必要があります。
現在の接続は警告があってから一度も切っていませんか?
ID-code:w6SZ3BprNCg(本記事は投稿者自身により08/04-19:54に修正されました)
> それより重大なことに気がつきました。
> spam発信のIPを監視している
> SenderBase
> http://www.senderbase.org/
> というサイトがありますが、
> 私のサイトにアクセスしているMultistrada様のIPが
> ここでspam発信履歴ありと言うことで登録されているようです。
これですが改めてよく見たところ、載っているには
載っていますがどうも大したリストじゃない
(信頼性があまりない、無関係なIPも多い)
データベースを参照しているようです。
あと
> 現在の接続は警告があってから一度も切っていませんか?
私の所へのアクセスも2度ほど替わっていますが
まあそれは関係ないけど...
ID-code:no_id
> 「今回弊社が得た情報は,下記の時刻に利用されていたIPアドレスからスパムメールと
> 思われるメールが送信されている というものです。」
そのIDでスパムが送信されたと思われる時刻をISPに問い合わせてください。次に、その時間に誰がPCを利用していたか、家族に確認してください。
もし誰も使っていないので有れば、ID不正使用の可能性がありますので、全員、ログイン時のパスワードを変えるよう、家族に指示してください。
もし、ISPに使用PCのmacアドレスの記録が有れば、それと、お使いのPC、ルーターのmacアドレスを比較し、濡れ衣を晴らすことが出来ますが、そこまでは、しなくても良いと思います。
#「単純なパスワードを使った」に一票
ID-code:WSo1QF/yOqU
こんばんは。
Multistrada です。
レスが多くなったので(とてもありがたいです)、分かりやすいようにこちらに書き込みいたします。
白梟様とrot-N様のレスもこちらに致しましたので宜しくお願いします。
高崎様のメールも拝見いたしましたので、合わせてこちらに書き込みいたします。
さて、スパムが発信されたとされる時刻の自分のIPアドレスですが、
ウイルスバスターのログに残っておりました。
先程はちょっと確認不足でした。
明日にでもプロバイダに問い合わせてみます。
こちらから問題時のIPを言って照合をお願いすれば、
IP開示には消極的なプロバイダも照合してくれると思います。
ところでファイアウォールログを確認していたところ、
一つだけ気になる点がありました。
かなり重要なことのような気がします。
昨日スパムが送信されたと思われる時の自分のIPアドレスより、とあるアドレスへの「Syn flood」がファイアウォールよりブロックされていました。
ある種の攻撃のようですね。
ちなみにスパム送信時刻の約6分後に、ブロックされています。
要するに自分のコンピュータから、この攻撃が行われている(中継?)のでウイルスバスターがブロックしているようです。
これが何を意味するのかはよく分かりませんが、やはり何らかの現象が発生してたと見るべきでしょうか?
白梟様
> えとまず、私もウイルスバスターユーザーなんですけど、バスターのファイア
>ウォールの初期設定は非常に甘いです。
>(既にされているようですが)セキュリティレベルを高にした上で、
>除外リストのDNS以外のチェックマークを一度全て解除し、ソフトを一つ一つ
>登録していく使い方をお勧めします。
初期状態では設定は甘い状態なのですね。
無意味に開いているポートを幾つか閉じるくらいの設定しか追加でしていませんでした。
ご指摘の通りに、一つひとつ除外リストに登録していこうと思います。
> それから、無線LANは利用されていませんよね?
はい、無線LANは使用していません。
もう一つ思い当たる点が、昨日海外の掲示板でとある情報収集(といってもゲームのですが・・・)
をしていたところ、あまり英語はができないので何度か関係ないリンクをクリックしました。
リンク先は広告だったり、何も表示されなかったりで、それもいつもの事ですので特に気にしていませんでした。
ちなみにブラウザは「Opera 8.02 Build 7680」です。
これもセキュリティのため、普段から Java をはじめ JavaScript、Plug in、Cookie 等を無効にしていましたが、もしかすると関連があるかも知れませんね。
とはいえ海外のサイトに行くことは日常茶飯事なので、
可能性は可能性ですが、それが原因だとなると・・・・
rot-N様
>そのIDでスパムが送信されたと思われる時刻をISPに問い合わせてください。次に、その時間に誰がPCを利用していたか、家族に確認してください。
プロバイダより送信されたと思われる時刻は、警告メールに書いてありました。
また、その時間に使っていたのは私自身です・・・
大量のメールが送信されれば、ネットの速度低下などが起こるのでしょうかね。
何か変な動作が無かったのかと思い起こしてみているのですが・・・
>#「単純なパスワードを使った」に一票
パスワードはかなり無作為な物です。
プロバイダにも問い合わせましたが、パスワードを盗まれたわけではないようです。
(その時間に、自分自身がログインしていたので)
とはいえ、1年ほどパスワードを変えていなかったので、危機管理という点から見れば反省しないといけませんね。。
ID-code:VZYXNtkShLg
> かなり重要なことのような気がします。
> 昨日スパムが送信されたと思われる時の自分のIPアドレスより、とあるアドレスへの「Syn flood」がファイアウォールよりブロックされていました。
> ある種の攻撃のようですね。
> ちなみにスパム送信時刻の約6分後に、ブロックされています。
> 要するに自分のコンピュータから、この攻撃が行われている(中継?)のでウイルスバスターがブロックしているようです。
> これが何を意味するのかはよく分かりませんが、やはり何らかの現象が発生してたと見るべきでしょうか?
えー、この辺は完全に守備範囲外ですので他の詳しい方に任せます(^^;
ただ、ちょっと気になるのですけど、本当に送信のブロックなのでしょうか?
バスターのファイアウォールは、セキュリティレベルを高にしてない限り、
基本的に送信のチェックは行わないようです。
除外設定でアクセスを拒否に設定してあれば別ですが、私の手元ではそれらしき
除外設定が見つかりませんでした。
もっとも、私はかなり設定を弄っていますので、本来は除外設定に登録して
あったのかもしれませんが…。
> ちなみにブラウザは「Opera 8.02 Build 7680」です。
> これもセキュリティのため、普段から Java をはじめ JavaScript、Plug in、Cookie 等を無効にしていましたが、もしかすると関連があるかも知れませんね。
凄い慎重な使い方をされてますね。
普段からそれだけ固くしていれば、アクセスしただけで怪しげなプログラムを
実行されてしまうような可能性は、かなり低いはずなのですが…。
ID-code:gwFeBBJfDJI
> ただ、ちょっと気になるのですけど、本当に送信のブロックなのでしょうか?
> バスターのファイアウォールは、セキュリティレベルを高にしてない限り、
> 基本的に送信のチェックは行わないようです。
>
> 除外設定でアクセスを拒否に設定してあれば別ですが、私の手元ではそれらしき
> 除外設定が見つかりませんでした。
> もっとも、私はかなり設定を弄っていますので、本来は除外設定に登録して
> あったのかもしれませんが…。
えと、送信ブロックかなと思ったのは「送信元IPアドレス」が私のコンピュータのIPだったためです。
たぶん私のコンピュータから送信されているのかなぁと。
ただ、これはどうもダウンロード支援ソフトが原因?かも知れません。
今 Windows XP のSP2 をダウンロードするのに支援ソフトを起動したところ
「Syn flood」がまたブロックされていました。
ここまでくるとホントにもう何が何だかと言う感じです(汗
SP2やウイルスバスター等、Windows の再インストールご用にダウンロードして、
今日中にハードディスクをフォーマットする予定です。
その方が夜もぐっすり眠れそうなので・・・
> 凄い慎重な使い方をされてますね。
> 普段からそれだけ固くしていれば、アクセスしただけで怪しげなプログラムを
> 実行されてしまうような可能性は、かなり低いはずなのですが…。
そうなんですよね。自分で変なプログラムを実行したという記憶も無いので、
本当に気味が悪いです・・・
ID-code:VZYXNtkShLg
> SP2やウイルスバスター等、Windows の再インストールご用にダウンロードして、
> 今日中にハードディスクをフォーマットする予定です。
> その方が夜もぐっすり眠れそうなので・・・
ありゃりゃ。再インストールしてしまえば確かに確実にクリーンにはなるん
ですけど、原因が分からない今の段階でやってしまうのは勿体ない気がします。
もしかすると、プロバイダーの間違いの可能性もあり得ますし…。
まだフォーマットされてなければ、せめて明日になってプロバイダーからの
回答が返ってくるまで、待たれては如何ですか?
ID-code:SBmVS.qlfOU(本記事は投稿者自身により08/05-00:27に修正されました)
Zeitです。
横から失礼します。
SYNとは、TCP/IPの「3ウェイハンドシェイク」の第1パケットのことです。
# ↑この文中の専門用語は、検索すればすぐにわかりますので解説しません。
Floodとは「洪水」といった意味で、要は「SYN Flood」というと、DoS攻撃の一種で、送信元を偽装したSYNパケットだけを大量に送り、サーバのソケットが存在しない送信元からの応答を待ち続け、結果として「待ち状態」のソケットが大量に発生、そのサーバの接続可能上限数を食いつぶしてしまい、新たな接続ができなくなるようにする悪質な攻撃です。
お使いのファイアウォールが、どのような判断基準で当該SYNパケット送出をSYN Flood攻撃と判断したかはわかりませんが、通常の接続開始ではパケットを1つだけ送るはずなので、
・立て続けに(ごく短い間隔で)、複数のSYNパケットを送ろうとした。
・送信元を偽装したSYNパケットを送ろうとした(パケットの中身の送信元と実際の送信元が一致しない)。
の、いずれかが起きたのではないかと思われます。
ここからは私個人の推測となりますが、お使いのパソコンに「特定のインターネット接続アクションがあると、ある特定のサイトにSYN Flood攻撃をかける」という設定がなされてしまったのかも知れません。そのアクションの一つに、ダウンロード支援ソフトによる接続が含まれている、ということが想定されます。
ウイルスチェックもクリア、スパイウェアチェックもクリアとなると、確かにOSの再インストールもやむなし、という気もします(私なら敗北したようでくやしいのですが…)。
なお、Windows XPであれば、復元ポイントを使うという手もあります。データファイルは影響されませんが、復元ポイントに戻った後にインストールしたソフトは再インストールする必要が生じることがあります。
復元ポイントの自動保存(デフォルトで毎日1回取るはず)をしているなら、異常が起きる直前まで戻してみるのも一案です。
ID-code:oxzg.H4qnsk
こんにちは。Multistradaです。
かなりの長文になってしまいましたが、
経過報告というか、解決報告致します。
(どうも解決というには納得しがたいのですが・・・)
本日、プロバイダに問い合わせて専門部署の方とお話ができました。
それで今回の件についても、ちょっとまとめてみたいと思います。
スパムが送信されたというのは、メールを受け取った方がプロバイダ(BBIQ)に連絡されたようです。
そしてプロバイダ側がメールの経路を調べた結果、私がその時使用していたIPアドレスが発信源と判明したそうです。
BBIQの場合IPアドレスはログインの度に変わるものですが、プロバイダではユーザーがネットワークにログインした際に、
ログインIDとその時配布されたIPアドレスを記録しており、
問題のスパムの発信源のIPが、その時間帯に私が使用していたパソコンに配布されていたIPと一致したため、
私が発信源である可能性が高いという結論になったそうです。
こちらのファイアウォールソフトに残っていた、当時の私のIPアドレスを、
スパムのIPアドレスと照合して欲しいと頼んでみましたが、
どうしてもそれは出来ませんと、またもや断られてしまいました。。。
プロバイダ側はログインした際に、ログインIDと共に配布されたIPアドレスの記録が根拠となっているみたいですね。
その記録が間違っていないかどうか、こちらが当時のIPを述べての照合もダメなようです。。。
ちなみにそれ以降、スパムが発信された形跡は無いので、このまま使い続けて様子を見られてください。との事でした。
一応この件は、これにて終了?のようです。
が、しかし何ともすっきりしない結果になってしまいました。。。
プロバイダ側の記録が間違っている可能性もありますが、
もし私のコンピュータがゾンビPCと化してしまっている場合、
ウイルスバスターで見つからないのは気持ち悪いですよね。。。
白梟様のアドバイスにありますように、ボットと呼ばれるソフトは検出されにくいようなので。。
再インストールがほぼ確実な安全策でしょうか・・・
(ちなみに昨夜はバックアップに時間がかかってしまいましたので、フォーマットはまだしていません)
管理人様へ
記事No : 21370へのお返事です(回答が遅くなってしまいました・・)
> そうですねえ。ちなみに無理に回答しなくても構いませんが
>http://www.bbiq.jp/service/bbiq/index.html
>によれば、スタンダードとマンション形式があるようですが
>どちらでしょうか?
私はスタンダード形式で利用しています。
スタンダードでは確か局内まで1本の光ファイバで接続されてる、と説明を受けたような気がします。
物理的に間違えられる可能性は、、、どうなんでしょう。
> いずれにせよ
>ユーザの接続が度々かわるようなシステムにしている場合、
>本当の発信者ではなく、それと入れ違いで利用したユーザに
>間違った警告が来る可能性も考えられなくはありません。
> まあしかし、普通はISPこそがネット業者のプロなのですから
>そういう可能性は滅多にないと信じたいところです。
そうですね。ただ今回の場合は間違いであって欲しいと切実に思っているのは事実ですが・・・(汗)
でもBBIQではIPの照合にも応じてくれないようなので、確かめるすべはありませんが。
ここは自分が本当にスパムを中継している可能性を考えた対策を採ることが一番ですね。
> そういう点でルータ接続にしていると少し安心です。
技術者の方からもルータをすすめられました。
やっぱり導入を検討してみようかな。
Zeit様
大変参考になりました。
世の中には色々と悪い攻撃方法が存在するんですね・・・
これですが、プロバイダの技術者の方は特に問題になる攻撃のような物は、
こちらのコンピュータからは送信されていないということでした。
管理人様
> そうですねえ。ほんとそうなります。
> 私はクリーンインストールは嫌い
>http://dennou.stakasaki.net/#no_inst
>なので大変同情いたしますが。
白梟様
> ありゃりゃ。再インストールしてしまえば確かに確実にクリーンにはなるん
>ですけど、原因が分からない今の段階でやってしまうのは勿体ない気がします。
>もしかすると、プロバイダーの間違いの可能性もあり得ますし…。
Zeit様
>ウイルスチェックもクリア、スパイウェアチェックもクリアとなると、確か>にOSの再インストールもやむなし、という気もします(私なら敗北したようで>くやしいのですが…)。
私も悔しいですTT
ただ今のところ、スパム中継元に間違われた可能性もありますが、
実際に中継元になった可能性も否定できませんので・・・・
いざこうなってみると、ネットを気楽に楽しむことが出来なくなりそうですTT
もちろんセキュリティが甘いのはいけない事ですが、私の場合どこが甘かったのが分からないのが余計に不安を煽られます。
しかしながら、皆様のアドバイスは本当に励みになりました。
感謝してもしきれません。
ありがとうございます
ID-code:VZYXNtkShLg
> スパムが送信されたというのは、メールを受け取った方がプロバイダ(BBIQ)に連絡されたようです。
つまり、我々のようなアンチスパマーからの連絡を受けて、調査を始めたと
いう事でしょうね。とすると、当初のコンピューターが検出したというのは
正しくないように思えますが、分かりやすく伝えるためにあえて嘘を付いたん
でしょう。きっと。
プロバイダー側には、スパムが送信されていたという確実な証拠はありませんし、
しかもおそらくは、連絡の数がかなり少なかったのではないかと想像します。
だとすれば、「万が一何らかの間違いの場合はご容赦ください」と予防線を
張るのも無理からぬ事です。
# アンチスパマーとしては、滅多に間違いはないと考えたいし、1件でも
# 連絡があった以上は調査していただかなければとも思いますが。
> ちなみにそれ以降、スパムが発信された形跡は無いので、このまま使い続けて様子を見られてください。との事でした。
形跡がないんじゃなくて、連絡がないという意味だと思います。
> 技術者の方からもルータをすすめられました。
> やっぱり導入を検討してみようかな。
ルーターお勧めですよ。
私はISDNのテレホからADSLに変えたときに購入したんですが、
ファイアウォールのログを見て、嵐の大海から穏やかな内海に入ったような
気分を覚えました。
二重化できるので、ソフトウェアファイアウォールだけより安心ですし。
# 安いクラスのルーターだからか、破棄したパケットのログを残して
# くれないのがちょっとつまんなかったりもしますけど(笑)
> ただ今のところ、スパム中継元に間違われた可能性もありますが、
> 実際に中継元になった可能性も否定できませんので・・・・
現状で、外部に接続しようとする怪しげなプログラムがないのであれば、
何らかの間違いであった可能性が高いかと思います。
> いざこうなってみると、ネットを気楽に楽しむことが出来なくなりそうですTT
> もちろんセキュリティが甘いのはいけない事ですが、私の場合どこが甘かったのが分からないのが余計に不安を煽られます。
ボットはここで扱う話題として適切なものですし、こういう風に他の
掲示板を勧めるのはあまり良くないかもしれませんけど…。
ウイルスチェックとスパイウェアのチェックで引っかからなかった以上、
ここでこれ以上の回答を得るのは難しいかと思います。
でも、ウイルス専門のところで相談すると、もしかしたら白黒ハッキリさせて
くれるかもしれません。 http://antivirus.ddo.jp/
#sage
ID-code:oxzg.H4qnsk
> つまり、我々のようなアンチスパマーからの連絡を受けて、査を始めたと
> いう事でしょうね。とすると、当初のコンピューターが検出したというのは
> 正しくないように思えますが、分かりやすく伝えるためにあえて嘘を付いたん
> でしょう。きっと。
(中略させていただきました)
> # アンチスパマーとしては、滅多に間違いはないと考えたいし、1件でも
> # 連絡があった以上は調査していただかなければとも思いますが。
技術者の方のお話によると、スパムに対する苦情は1件のみだったようです。
最初の警告メールの内容やサポートセンターとのやり取りのかなでも、
スパムが大量に送信されて危機的状態であるというよりは、
「苦情が来たのでスパムが中継されてないか確認してもらえますか?」
的なニュアンスだったようです。
もちろん実際に中継されたとしても、プロバイダとしてはよほどでない限り、
1回目で強い調子で対策要求をする訳にもいかないでしょうけど。
> ルーターお勧めですよ。
> 私はISDNのテレホからADSLに変えたときに購入したんですが、
> ファイアウォールのログを見て、嵐の大海から穏やかな内海に入ったような
> 気分を覚えました。
あ〜、私もそうです。
3年ほど前にCATVに乗り換えた際は、遮断ログを見て怖くなったほどです。
ちょっとルーターを調べてみることにします。
> 現状で、外部に接続しようとする怪しげなプログラムがないのであれば、
> 何らかの間違いであった可能性が高いかと思います。
その後ウイルスバスターでプログラム一つひとつ確認していましたが、
変なプログラムの通信はまったくありませんでした。
しかし念には念を入れて、Windows の再インストール行いました。
今ドライバなどを入れている真っ最中です。
これから数日は地獄のような作業です><
> ボットはここで扱う話題として適切なものですし、こういう風に他の
> 掲示板を勧めるのはあまり良くないかもしれませんけど…。
>
> ウイルスチェックとスパイウェアのチェックで引っかからなかった以上、
> ここでこれ以上の回答を得るのは難しいかと思います。
> でも、ウイルス専門のところで相談すると、もしかしたら白黒ハッキリさせて
> くれるかもしれません。 http://antivirus.ddo.jp/
> #sage
ありがとうございます。
しかしながら再インストールを行いましたし、
今後数日間は忙しい日が続きそうなので、もうこれでいいかな?と思っています。
心残りなのは、やはりプロバイダがIPアドレスの照合をしてくれなかったことですね。。。
しかしながら、今回の件で皆様とアドバイス、議論できたことは、
かなり有益でした。
スパムの事柄に関しても、今までは蚊帳の外でしたが、
理解が深められたのもよかったです。
ID-code:NrppobISv22
一連の記事を読んで感じた事は、所謂、バクドアーが入れられた
可能性が最も高い様に思えますね。
貴方のPCから攻撃が行われた形跡が有ったのなら、そう考えるのが
妥当と思えますが。
OSを再インストールしたからと安心せずに、ルータの設定で
PC内部の情報をルータの部分で破棄する設定になっているかを
確認してください。
また、バックドアーの中には、ウイルスソフトで検出できないものも
多いので、ウイルス対策ソフトを、バックドアーに関しては信用しす
ぎない様にしてください。
たとえば、ユーザ権限で「svchost」が起動してる場合などは
バックドアーが仕掛けられてる可能性がありますし。
余り知られていないウイルスの挙動場合も有ります。
#参考までに。余り知られていないウイルスの例ですが。
http://www.geocities.jp/tarouyamada1951/index.html
それと、バックドアーを仕掛けられていたとすれば、攻撃者は
再び、仕掛けるかも知れません、状況によっては、外からの攻撃に
強い専用のソフトを導入する必要があるかも知れません。
それから、自分の記録であっても、ISPは簡単に開示しません。
プロバイダ責任制限法に則った方法で、開示請求を出す必要があります。
ちょっと気になったもので、ご参考までに。m(__)m
#sage
ID-code:oxzg.H4qnsk
匿名希望です。様、大変興味深く参考になりました。
> 一連の記事を読んで感じた事は、所謂、バクドアーが入れられた
> 可能性が最も高い様に思えますね。
> 貴方のPCから攻撃が行われた形跡が有ったのなら、そう考えるのが
> 妥当と思えますが。
(途中省略致しました)
> また、バックドアーの中には、ウイルスソフトで検出できないものも
> 多いので、ウイルス対策ソフトを、バックドアーに関しては信用しす
> ぎない様にしてください。
その可能性も高いということですね。
大変参考になりました。
最近のウイルス対策ソフトといえば、1本でウイルス検出からファイアウォールなど、複数の機能を有しているせいか、
他のソフトの競合などで、どうしても1本のみしか使用できないというのも、
今回のことを踏まえると、不安定要素になると思った次第です。
やはり今素早く行えるセキュリティ強化策は、ルーターの導入のようですね。
> たとえば、ユーザ権限で「svchost」が起動してる場合などは
> バックドアーが仕掛けられてる可能性がありますし。
これは非常に参考になりました。
ユーザー権限で起動している場合は注意を払ったほうがいいということですね。
(常時複数起動しているため、どれがどれなのか判断に苦慮していました。)
ちなみにSyn floodが検出された原因である、ダウンロード支援ソフトですが、
当時のログが少なく、結果として詳細な原因は判別できませんでした。
やはり記録を残すのはとても大事なことですね。