PCのセキュリティについて、ご意見をお聞かせください。


社内のとあるPCには、symantec社のセキュリティソフトがインストールされています。
そのソフトより次のようなメッセージが頻繁に表示されるようになりました。

警告の概略:
高レベル、999.99.99.99(伏字にしてあります)による侵入の試みを遮断しました。
詳細:
リスク名:MSRPC SrvSvc NetApi Buffer Overflow(2)
危険度:高
デフォルト処理:遮断する
適用した処理:遮断する
攻撃側コンピュータ:999.99.99.99(既出のIPと同じです), 2935
送信先アドレス:(省略してよろしいですか?)
トラフィックの説明:TCP, 2935


この度、伏字にしたIPアドレスはソフト上では表示されているのですが、この度お伺いさせていただくにあたり、現状では伏字とさせていただきました。

この(伏字とさせていただいた)IPアドレスに対して、どのような対応がとれるでしょうか?

回答の条件
  • 1人3回まで
  • 登録:2006/12/20 16:32:30
  • 終了:2006/12/22 19:01:45

ベストアンサー

id:takki7 No.1

takki7回答回数113ベストアンサー獲得回数22006/12/20 17:10:15

ポイント50pt

IPアドレスが日本国内のものであれば、http://whois.jp/

IPアドレスの検索します。

検索がヒットすれば、技術担当者連絡先がでてくるので、

その技術担当者連絡先に対して以下のようなメールを送付します

-------------------------------------------------

ご担当者、

貴社管理と思われるIPアドレスから攻撃を受けております。

調査、対処お願いします

発信元IP:XXX.XXX.XXX.XXX

発信先IP:XXX.XXX.XXX.XXX

発生時間:YYYY/MM/DD hh:mm:ss

----------------------------------------------------

技術担当連絡者はそのIPが何に使われているかを調査し、

該当するIPの利用元に調査依頼を投げると思われます。

海外の場合は、whois.jpでヒットしないので

http://www.arin.net/whois/

なところでwhois元を検索して、

http://www.apnic.net/apnic-bin/whois.pl

で連絡先を検索すれば出てくると思うのですが、

上記のような問い合わせをして通じるかは不明です。

id:taisin0212

takki7様、ありがとうございます。

whois.jp/を試したところ、日本国内のようでしたので、早速メールを送りました。

(余談)

3人の連絡先があり、肩書き(役職)のない方へ電話連絡を試みたところ、不在でした。

代理の方の対応が『けんもほろろ』。

担当部長へのメールでの連絡とさせていただきました。

2006/12/20 18:01:29

その他の回答(2件)

id:takki7 No.1

takki7回答回数113ベストアンサー獲得回数22006/12/20 17:10:15ここでベストアンサー

ポイント50pt

IPアドレスが日本国内のものであれば、http://whois.jp/

IPアドレスの検索します。

検索がヒットすれば、技術担当者連絡先がでてくるので、

その技術担当者連絡先に対して以下のようなメールを送付します

-------------------------------------------------

ご担当者、

貴社管理と思われるIPアドレスから攻撃を受けております。

調査、対処お願いします

発信元IP:XXX.XXX.XXX.XXX

発信先IP:XXX.XXX.XXX.XXX

発生時間:YYYY/MM/DD hh:mm:ss

----------------------------------------------------

技術担当連絡者はそのIPが何に使われているかを調査し、

該当するIPの利用元に調査依頼を投げると思われます。

海外の場合は、whois.jpでヒットしないので

http://www.arin.net/whois/

なところでwhois元を検索して、

http://www.apnic.net/apnic-bin/whois.pl

で連絡先を検索すれば出てくると思うのですが、

上記のような問い合わせをして通じるかは不明です。

id:taisin0212

takki7様、ありがとうございます。

whois.jp/を試したところ、日本国内のようでしたので、早速メールを送りました。

(余談)

3人の連絡先があり、肩書き(役職)のない方へ電話連絡を試みたところ、不在でした。

代理の方の対応が『けんもほろろ』。

担当部長へのメールでの連絡とさせていただきました。

2006/12/20 18:01:29
id:tamtam3 No.2

tamtam3回答回数345ベストアンサー獲得回数202006/12/20 17:30:10

ポイント50pt

ああ、ノートン君だとでるんですよね。

MSRPC SrvSvc NetApi Buffer Overflowそのものは、今の所

大した事じゃないので(使われ方によっては危険なだけなので

ノートン君が先手をうって、警告を出すようにしたみたいです)

http://www.symantec.com/region/jp/avcenter/security/content/2006...

で、ここに書かれているように、最新の Security Update をダウンロードしてみてください

多分これで止まるのでは?

それでも駄目なら、警告メッセージそのものを切りましょう

報告いらないし

http://service1.symantec.com/SUPPORT/INTER/nisjapanesekb.nsf/jp_...



もっとも企業であれば、ルーターの設定で、そのIPからのアクセス遮断でよいと思います



ちなみに攻撃元をしりたーいというのであれば、これを使って IPの所在地を割り出しましょう

http://www.ip-adress.com/

なかなか便利です

id:taisin0212

tamtam3様、ありがとうございます。

PCのユーザーに、LiveUpdateしているかどうかを確認いたします。

(性格上、しているとは思うのですが・・)

2006/12/20 18:16:00
id:ootatmt No.3

ootatmt回答回数1307ベストアンサー獲得回数652006/12/20 17:40:31

ポイント50pt

攻撃側コンピュータが外部のIPアドレスであれば、そのIP元に連絡しても、ボットである可能性が高いのでほとんど対応は望めないでしょう。

TCP 2935 ポートをルータで遮断してしまえばいいと思います。


もし、そのIP元がLAN内のPCのものであれば、そのPCがウイルス等に感染してボット化されている可能性がありますので、ネットワークから切り離し適切な処置をする必要があります。

id:taisin0212

ootatmt様、ありがとうございます。

> ボットである可能性が高いのでほとんど対応を望めないでしょう。

対応しきれていないほど、蔓延しているのでしょうか?残念な世の中です。

もしよろしければ、甘えさせていただきたいことがございます。

> TCP 2935ポートをルータで遮断・・・

どのようにすればよろしいのでしょうか?

買ってきた各種機器をつないでいるだけで、設定等は不勉強なままです。

2006/12/20 18:38:47
  • id:tamtam3
    Symantec Security Response - ウイルス辞典
    http://www.symantec.com/region/jp/avcenter/vinfodb.html

    ここで、MSRPC SrvSvc NetApi Buffer Overflow を見れば
    大体の内容がわかります


    で、警告がでるという事は、ノートン君が頑張って仕事しているわけですから
    それほど気にする必要はありません


    ウイルスは新しくても、この手の攻撃そのものは昔のテクニックなので
    ノートン君がはじいてくれます。

    ただ うっとうしいというのであれば、
    http://service1.symantec.com/SUPPORT/INTER/nisjapanesekb.nsf/jp_docid/20030123151255947
    を参考に、「侵入防止」の「侵入防止の通知」機能をオフにしたら大丈夫だと思いますよ
  • id:takki7
    通報案を提案したtakki7です。
    tamtam3様、ootatmt様の仰るとおり、
    受け側(自身側)でブロックして様子見、
    アラート検知は無視(通知をオフ)にするのが
    一番シンプルで楽だと思われます。
    (既にセキュリティソフトがブロックしているのでその辺は
    問題ないと思われます)
    通報案を提案させていただいたので、ご参考までに
    大手プロバイダの通報先(abuse)をまとめた過去質問が
    ありましたので、ご参考までに掲載させていただきます
    http://q.hatena.ne.jp/1099798243
    になります
  • id:taisin0212
    ご報告です。
    takki7様の通報案ですが、先方よりご連絡をいただきました。
    (大手プロバイダ様です)

    当質問における、『警告の概略』~『トラフィックの説明』
    までを、ハードコピーで残してありましたので、
    画像ファイルをe-mailでお送りいたしました。
  • id:ootatmt
    > > TCP 2935ポートをルータで遮断・・・
    > どのようにすればよろしいのでしょうか?

    ルーターによって違いますが、パケットフィルタリング や IPフィルタリング などの機能を調べてみてください。
    http://e-words.jp/w/E38391E382B1E38383E38388E38395E382A3E383ABE382BFE383AAE383B3E382B0.html
  • id:taisin0212
    takki7様、tamtam3様、ootatmt様、
    この度は色々とありがとうございます。
    先方より以下のメール(一部伏字といたしました)を頂きました。

    -----------------------------------------------
    ご連絡いただき、誠にありがとうございます。
    ●●●●カスタマサポート担当 ▲▲▲と申します。

    この度、お客様からご連絡いただいたメールにつきまして、
    当該者に対しましては、事実確認の上、苦情を寄せられて
    いる旨の連絡、またウイルスに感染している恐れをお知らせし、
    駆除方法を案内させていただきました。

    お客様に、ご迷惑ならびに心労をお掛けしたことにつきましては、
    大変申し訳ございませんでした。心より、お詫び申し上げます。

    よろしくお願いいたします。
    ------------------------------------------------

    『いるか』につきましては、このようなメールをいただける
    きっかけをくださった、takki7様とさせていただきましたこと、
    ご了承くださいませ。

この質問への反応(ブックマークコメント)

「あの人に答えてほしい」「この質問はあの人が答えられそう」というときに、回答リクエストを送ってみてましょう。

これ以上回答リクエストを送信することはできません。制限について

絞り込み :
はてなココの「ともだち」を表示します。
回答リクエストを送信したユーザーはいません