『パソコンが遠隔操作されてないか調べる方法は？』 の クチコミ掲示板

ウィルスチェッカーやAdwareチェッカーでなくて、自分のパソコンが本当に 遠隔操作されていないか調べてくれるWinソフトはご存じないでしょうか？
(Linux用でも構いません）。

最近、我が家のWinXP Pro SP3のパソコンの一台に見覚えのない変なフォルダ
”あんた、たまってんじゃないの？”
って名前のがあるのに気づきました。インストールしたソフトが作ったのではなさそうな感じです。
これ以外、突然のシャットダウンとか、その他の怪しい気配はありませんがとても気持ち悪いです。

すわ、これが遠隔操作か乗っ取られたかと思い、
　Norton AntiVirus,
McAFee AntiVirus
AVG Anti-Virus Free
版の3つで徹底的に全ドライブスキャンとかけましたが、ウィルスは一個もいませんでした。
Adwareでは、DoubleClickとかは沢山あるけど、深刻そうなのはないようです。

今まで ファイル交換ソフトを使った事はありませんが、ダウンロードソフトを使う事は頻繁です（ウィルスチェックはするけど）。
また、ネットサーフィンで、初めてのサイトもGoolge検索で、ソフト開発関係やデザイン関係を　かなり参照します。後、基本的にMS Updateは定期的に更新しています。

気持ち悪いので、このパソコンは　リカバリーしましたが、あれからウィルスチェッカーで問題なくても
大手のウィルスチェッカーにかからない無名のウィルスライクなソフト類がないかとても心配です。
最近は見ただけで感染するサイトも多いようです。

ルータはADSLモデムのルータと、無線ルータを２重にして、その内側にパソコンがあります。全ポート閉じており、インターネットに公開パソコンはありません。むろんDMZもなし。無線ルータには SPI Firewallは簡単なのが付いているみたいです。WindowsのFirewallも有効で、Winの例外は ファイル共有とiTunes, AVG AntiVirusが使うポート位です。スコープはローカルネットの設定です。
無線はMacアドレス制限とWEPキーを付けており、SIDは非公開です。
WinのGuestユーザは無論、無効、Administratorは長いパスワード付き、普段使いのユーザ名も12文字のパスワードを付けています。

でも、どんなにガードしても 内部から無名のトロイの木馬などが外へアクセスして、外部と連携して動いたら何でも出来るように思います。

ブラックボックスのAnti-Virusソフトでなく、実際に自分のパソコンがどのように外部と通信しているかチェックしておきたいです。
それを調べる簡単なソフトか、説明サイトをご存じないでしょうか？　Snifferかけても、非常に沢山のログが出るのでとても目視チェックできません。

ネットワークの知識が必要かも知れませんが、それは必要なら勉強したいと思います。
８年位前に ipchainsとLinuxでルータや、公開サーバを作ってた事はありますが、最近はデメリットの方が多いので、安いレンタルサーバに移行しています。
LinuxはSambaで使う位で　ほぼWinXP/Macの日々です。ネットワークの知識は多分入門レベルと思います。

何かヒントがありましたら、よろしくお願いします。

書込番号：8236703

8点

んー…？

ファイヤーウォールで気になったのですが、Windows XPのファイヤーウォールだけですか？
また、無線ＬＡＮのセキュリティはどうなっています？

なんとなく、ダウンロードしたファイルを解凍したとき、作られていそうな気もしないでもないのですが、無線ＬＡＮも設定によっては侵入されるので、注意が必要です。

書込番号：8236785

7点

こんばんは。

遠隔操作できるプログラムはWindowsのリモートデスクトップもそうですし、VNC等いろいろあります。こういったプログラムを特定するのであれば、まず使用されるポートや通信経路を確認した上で、地味ですが１つずつ潰していく作業が、有効です。

なお、こういった作業で役立つツールは、Microsoftでは、無償で公開していたりします。（↓の【監視、監査、侵入検出ツール】の「Port Reporter」や「PortQry」）
http://www.microsoft.com/japan/technet/security/tools/default.mspx#ETC

まあ、一番は、キャプチャソフトなので、キットキニスンさんが使用されたSnifferや、Ethereal が鉄板だと思いますが。（Linuxだと他にnmapもそうですね）

さて、今後ツール等を使用して、監視していくということであれば、以下の２つに注意してください。
１：各端末で不明なポート、プロセスがPC起動後に表示、起動していないかを確認
２：ネットワークで「抜け」がないかを確認

まず１：ですが、各端末内に侵入する場合は、「待ち受けポート」が必要となります。この「待ち受けポート」は、PC起動時に開き、相手側に「開いたぞ！ or 開いてるぞ！」という情報を送ることで、侵入者がそこ経路で侵入する手段がほとんどです。

ここから、端末の場合は、こういったポート、およびそのポートに紐付いているであろうプロセスを特定することからスタートすることになります。
※Microsoftのツールは、ここでの作業を想定したものになります。
ただ、やっている内容は、コマンドプロンプト上にて、「netstat -an」を出力し、現在使用されているポート番号およびプロセス（PID）と、タスクマネージャの内容とを照合して、対象となるプログラムファイルを自動的に探し出しているだけです。
そのため、時間さえかければ、ツールのインストールすることなしに、上記手順で確認することは可能です。
で、不審なものを見つけたら、
・該当するポートを塞ぐ or 不要なサービスを停止する
・プロセスからプログラムを見つけ出して、削除する（レジストリも含む）
ですね。

次に、２：です。これは以下の内容を確認します。
・ネットワーク機器のログを確認
・各ネットワーク機器にパスワードがかかっているかの確認
・ポートフィルタリングの設定状況の確認および独自ルールの追加

ここまですることで、あやしげなプログラムの動作等が判別できる、という段階に達します。
あとは、継続して調査、というところでしょうか。

あと、これは個人的な意見ですが、「WEPを使用されている」ことから、パケットスニッファを使用した通信傍受の可能性があることから、ネットワーク機器にパスワードがかかっていないと、外部からLANに侵入される危険性があります。
そのため、WEPではなく、「WPA」での接続方式に変更した上で、さらにネットワーク機器のID、パスワードを独自のものに変更されることをお奨めします。（今独自のものを使用されている場合は、しなくても良いとは思いますが、念のため再変更したほうがベターだとは思います）

書込番号：8236857

15点

情報ありがとうございます。
netstat -anvb
などでは異常はないと思います。
Firewallのログ（成功も失敗も）も取得してみましたが、解析はかなり大変です。
教えていただいた PortReporterと関連ツールは先ほどダウンロードしてみました。

伝統的にプロのSEなどから送られてくるExcel,Wordや資料、ソフトには今でもウィルス感染が多いので、セキュリティは以前から注意している積もりです。

こういうのは、有名なウィルスが多いので　ウィルス常駐機能でほぼ検知されます。逆に今まで自分で探してダウンロードしたソフトにウィルス常駐機能ではじかれたのが一本もないのがなんだか怖いです(SourceForge, BrotherSoft, Vectorとかを良く使います、でもそれ以外からも結構落とす）。

ウィルスチェッカーで基本的にただのパターンマッチングをやってるだけですよね。内部の解析なんかはしてないので、無名のソフトがパソコンの中に格納されてしまえば、なんでもできそうです。

問題のあるソフトにネットワーク内から外へ接続ｎされたらアウトですが、　外部と接続しているルタのインバウンドポートを全部閉じて DMZ OFFにすれば、少なくとも外からのアタックは防げると考えていましたが、正しいでしょうか？抜け道が沢山あったりして...

p.s.余談ですが、当市の全小学校内にNTTデータとNTTコミュニケーションが敷設したADSL 12M + 10G 構内LAN + 職員室無線ネットワーク(アンバランスで不思議な構成）は Macアドレス制限しかかけてなくて SID隠しもWEP,WPAもなしのようです。パスワードを付けられない理由があるのだそうですが、知り合いの教師が大丈夫だろうかと心配してました。今時 ADSL 12Mなのは、一部光に出来ない学校があって不公平感が出るかららしいですが...

書込番号：8237470

11点

トピックスからきました。
自分、Macユーザーですのでとんちんかんな書込みかもしれませんが…
スパイウエアに関してはしっかり駆除できているんでしょうか？
ウイルスよりもこっちだと思ったものですんで…
有名所ではWindows AntiSpywareなどがあるそうですが…

書込番号：8239585

2点

こんばんは。

> 問題のあるソフトにネットワーク内から外へ接続ｎされたらアウトですが、　外部と接続しているルタのインバウンドポートを全部閉じて DMZ OFFにすれば、少なくとも外からのアタックは防げると考えていましたが、正しいでしょうか？

NetScreenとかFortigateは言うに及ばず、ブロードバンドルータ（量販店で普通に販売されているもの）でも、ステートフルパケットインスペクション（SPI）が搭載されたルータであるならば、これで防御できますので、その意味では正しいです。
ちなみに、SPIが搭載されていないルータは、ipchains（今ではiptablesですね）のように、「最初データ送信したのはLAN側か？ それともWAN側か？」や「アクセス先のポートは何番だ？」などを、TCPやUDPのヘッダを元に判断して制御します。
ですが、パケットを受け取っていないにも関わらず、受け取ったかのようにACK信号をパケット内に付加することで、「私は正規のアクセスだぞ」と言い放って、パケットフィルタリング機能を潜り抜けようとする、偽造パスポート的手口には対処できません。
なので、これに対抗する手立てとして、SPIが採用されています。
という、ウンチクはこれで止めにして、と。

> Firewallのログ（成功も失敗も）も取得してみましたが、解析はかなり大変です。

「Analog」をWebサーバ＜Apache＞と組み合わせることでFW解析ができる、とか昔ありましたけど、これって結局は「iptables」のログなんですよね。。。
FWログの解析ツール自体、今やこれだけでビジネス化しており、しかも結構なお値段なので、自前でする場合は、アプライアンスのブラウザ画面とにらめっこするか、ひたすらログをgrep抽出で確認とかになると思います・・・が。
Analogと同じ系統のWebalizerとか、AWStatsで代用できたら良いな。。。とは思ってます。
（まだ挑戦したことはない＝できるか分からないので、今回は希望、でとどめておきます）

あと、余談を拝見させていただきました。
> ADSL 12M + 10G 構内LAN + 職員室無線ネットワーク(アンバランスで不思議な構成）
> Macアドレス制限しかかけてなくて SID隠しもWEP,WPAもなしのようです。パスワードを付けられない理由があるのだそうですが、
ん〜・・・ 構内にiSCSIストレージでも置いているのか？ とか、MACアドレスのなりすまし喰らったら、突破できるんじゃない？とか考えちゃいました。
とりあえず、無線ネットワークの先にもFWがあって、FWユーザ認証システムとか、検疫システムとか使ってきっと防御しているのだろう、と思っておきます。

最後に、私もSourceForgeや、Cow&Scorpion、日本語のソフトであればVectorから、ツールを落としたりしてます。
一度だけ、DAEMON Tools Lite インスト時に、中のプログラムの一部をスパムウイルス扱いされて、DAEMON Toolsのインストールプログラムをごそっと削除されてしまったことはありましたが、まあ、有名どころしかダウンロードしていないせいのあり、これ一度きりですね。

書込番号：8239619

4点

> 無線はMacアドレス制限とWEPキーを付けており、SIDは非公開です。

WEPだと現実問題として数分で解析するソフトがあります｡
当然WEPなのでMacアドレス制限も破られますね｡
最低WPAのAES以上の暗号化を掛けておいたほうが良いと思います｡

もしかすると､作られたフォルダは共有フォルダの中ではないですか?
無線暗号を破って進入され､共有フォルダの中を見られ､さらにいじられてしまったとか?

それとSSIDを見せない設定は､ご近所に無線を使ってる方がいるときは多分に近所迷惑になりそうですので切った方が良いと思います｡

書込番号：8240110

3点

ぴっかりいいさん　
いろいろ勉強になります。

>それとSSIDを見せない設定は､ご近所に無線を使ってる方がいるときは多分に近所迷惑になりそうですので切った方が良いと思います｡
==>
私はSSIDを隠す方が良いと思ってました。具体的にどういう迷惑になるのでしょうか？　我が家でサーチすると　何もしないでも　ご近所の2件ほどの無線LANのSSIDが見えて、公開するとなんだか気持ち悪いです。

書込番号：8240195

4点

ごめんなさい、

>当然WEPなので => Macアドレス制限も破られます

という部分も分かりません。
WEPを解析されてパスワードが分かったら、制限かけているMacアドレスも　侵入者が　順次試せば、破られるという事でしょうか？

理解しておきたいので、よろしくお願いします。

書込番号：8240663

2点

>NTTデータとNTTコミュニケーション

どちらかに相談してはどうでしょう
素人判断でもし何かが起きたときに
公共機関の場合ダメージは計り知れません（報道の対象になります）

書込番号：8240770

2点

>NTTデータとNTTコミュニケーション
==>
これは当市の小学校構内ネットワークシステムの落札業者です。
(実際設計、敷設したのは、この子会社の孫請けです。)

12M ADSLの小学校に10Gの構内LANは変だと知合いの教師から相談された話でした。他社がGbitで提案してきたので、同等価格10Gbit提案で差別化し入札を有利にしたかっただけなのかもと思いますが、混乱させて済みません。

パソコンは多分 20台位ありますが、我が家のネットワークは自分で構築しています。

書込番号：8240944

2点

10Gは疑ったほうが良いかも

現状で普及しているのは100Mで
昨今やっと1Gが増えてきましたので
ルータ、HUB、PC等も汎用品もまだまだ1G止まりです
おそらく今後数年は1Gで十分と思います

価格も10Gともなれば1Gの数倍はするはずですので
1Gと同じ価格で納品できるはずがありません
PCやプリンタの周辺機器やメンテナンス費用で元を取るのか
うがった見方をすれば
裏取引（いわゆる汚職）があるのかもしれません

ご家庭の環境ですが
アドウエアやスパイウエアを検出するソフトもありますが

疑問を持ちつつ使い続けるぐらいなら
全てを初期化することです
ルータも初期化して再設定
PCも再インストールをお勧めします

書込番号：8241486

1点

こんにちは。

> WEPを解析されてパスワードが分かったら、制限かけているMacアドレスも　侵入者が　順次試せば、破られるという事でしょうか？

使用するツールは別ですが、パケットを解析することで、MACアドレスは簡単に調べることはできます。
SSIDを見せない設定が近所迷惑か、については私も知りたいところです。単純に無線LANの識別名を隠しているだけなので、関係ないと思っているのですが。

あと、余談で終わっている話をわざわざ盛り上げたくないのですが、少しだけ。
全部想像ですが、構内10Gといっても基幹だけじゃないかな。で、「将来10Gbを導入した場合に備えて」とか言うのもアリですね。あとは、iSCSIクラスタストレージ（つまりは、IP-SANね）を入れているとかね。
こういった入札案件は、要求仕様にもとづいて行われるので、仕様を見ないとなんとも言えませんけど。

書込番号：8241700

2点

SSIDを見せない設定にすると､ご近所の方にはそちらの電波が見えませんので､電波干渉してる場合､ご近所の方では原因の特定が難しくなります｡
あるツールを使えば見えますが･･･｡
このとき､そちらでは無線アクセスポイントと無線クライアントが近ければ､そちらに不都合は無くご近所だけが迷惑するということも考えられます｡
SSIDを見せない設定にするなら､近所迷惑にならないように無線チャンネルをご近所が使ってるチャンネルからあなたが離すべきですね｡
11gと11bでは全く干渉しないようにするには､5チャンネル離す必要があります｡

Macアドレスについては､LANでのやりとりの本来は何も暗号化されてませんので､無線の暗号が破られるとMacアドレスのやりとりも丸見えで､デバイスマネージャーの各ネットワークの設定を見ればMacアドレスは変更できるようになってます｡
つまり許可されてるパソコンになれるわけです｡

書込番号：8241708

1点

塩空豆さん、こんにちは、
>アドウエアやスパイウエアを検出するソフトもありますが
==>
ウィルスやスパイウェアは一つのスキャナだと検知されないのもあるようなので、
一応、MacFee, Norton, AVG と Adware personalを組合わせて定期スキャンはしています。
Cookieに分類される物は毎スキャン沢山見つかりますね。 ウィルスはSEが送ってくる資料以外では検出した事はありません。（怖いので、仕事関係のSEとのやりとり専用に、別回線と専用パソコンを用意しています。）。

AVG AntiVirus Freeは、良く　誤検出をしますね。　見過ごされるより良いですが...
私が自分で作ったソフトも、絶対にウィルスでないのにAVGだけは、トロイの木馬だと　言われる事があります
（逆アセンブルして問題ないことを確認済み）。

ちゃんなさん、ぴっかりいいさん

情報　ありがとうございます。
我が家では古いiBookと11b内蔵のWinXPノートが WEP対応までだったので、WEPにしていましたが、今日、これらを無線LANから外し、
WPA-PSKというのに変えました。さすがに 63文字のパスワードは記憶するのが大変です。

WEPもWPAもかけずに Macアドレス制限だけで無線を運用したらやっぱりまずいのですね。
先生の話によると業者から　Macアドレスって世界中にただ一つしかないと保証されている鍵なので問題ないと説明を受けたそうです。
私は、無線LANに参加できないのなら、パケットも傍受できず、Macばれないのかなぁっと、なんとなく思ってました。　勉強になります。

でも、本当に、自分の環境が　汚染されていない事を証明するのは　大変だと今回感じました。20台のPCを全部 バックアップイメージから戻すのはすぐには出来ませんし.... VMWareのイメージまで入れたら...　

WinでもMacでもUpdateで環境が変わるし、VISTAなんかファイル数が異様に多いので、(WinSXSだけで10G!) Win用 chkrootkitを作るのも、改版しつづけるのも大変そうです。

書込番号：8242422

0点

ほんまもんのハッカーなら　ウィルスバスターなどやスパイソフトを入れても
ＰＣの中に入りますよ。遠隔からＰＣを壊すことも可能です。

書込番号：8242869

0点

和製スパイウェアーっぽいですが、海外製のスパイウェア駆除ソフトの
駆除対象リストには登録されて無いのでは？

最近家族のどなたか、エッチなサイト閲覧されてませんか？
サイトにアクセスするだけで知らないうちに勝手に
インストールされることもありますからね。
過去のインターネット履歴を調べて見ましょう。

書込番号：8243198

2点

キングソフトのアンチウイルスソフトは
内部から外部へアクセスする動きがあると、必ず確認を取ってきます。
何のプログラムが動こうとしているか確認が取れます。
不要なアクセスは許可をしなければ外部と繋がることはありません。

キングソフトアンチウイルスは無料版（広告が出るタイプ）と有料版（広告が出ないタイプ）が選べるので、とてもリーズナブルですので試してみてはいかがでしょうか？
http://www.kingsoft.jp/is/

書込番号：8244847

0点

DOGTOWNさん, こんにちは。

>ほんまもんのハッカーなら　ウィルスバスターなどやスパイソフトを入れてもＰＣの中に入りますよ。
==>
とても気になるのですが、外部とつながるルータのインバウンドポートを全て閉じて、DMZなしでも、詳しい人なら外から侵入する方法があるのでしょうか？

書込番号：8245253

1点

Ｍｏｕさんさん　

Personal Firewallらしいので、標準機能にFirewallがない Win2000に入れてみました。
WinXPのおまけのと違って　このPersonal Firewallは、ポート番号などのブロック理由をきちんと表示してくれるのが良いですね。
80番ポートでのアクセスもチェックされるし、オンラインで更新チェックするソフトも全てひっかかります。

気にしてたのは、僕が気づいてない内部のソフトが勝手に中から外へコネクションを張っていないかという事なので　目的に合っているように思います。

Kingのは 無期限版 1980円/ライセンスで　過激に安いのでどうかなと思ってましたが、好印象を持ちました。しばらくテスト運用してみます。

書込番号：8245694

0点

エッチ動画系を発見した奥様が作成したという落ちはないでしょうか？
私は「ムフフ」フォルダの名前を知らぬ間に「このエロおやじが」フォルダに
変更された経験ありです^^;（実話）

書込番号：8246090

11点

妻は所謂メール、インターネット専門で、専用ノートを使ってます。
僕の仕事部屋にある仕事用のパソコンなので他の人間が直接触ることはまずないと思い、相談しました。

書込番号：8246337

0点

>>ほんまもんのハッカーなら　ウィルスバスターなどやスパイソフトを入れてもＰＣの中に入りますよ。
>==>
>とても気になるのですが、外部とつながるルータのインバウンドポートを全て閉じて...
==>
僕も知りたい。ネットワークの高度な知識を持った人がやれば、開放ポート０でも、有線部から侵入できるの？　適当に書いたのでないなら、そんな事例があるのか教えて欲しい。（もちろん具体的な方法は書かないでね。）

書込番号：8247646

0点

>ほんまもんのハッカー

なんて書き方するあたり、具体的にはなんにもご存じない可能性が。ほんまもんってなに？

もっともうちの大学の、ウィザード級のUNIX使いさんたちは
『誰もクラッキングできないシステムには、自分もアクセスできない。』
なんて言ってましたけどね。ネットに繋いでいる限り、必ずどこかに侵入口はあると。スタンドアローンで使っていても、ソーシャルエンジニアリングでパスワードがだだ漏れなら正面突破されますし。

書込番号：8248792

2点

そうそう、スレ主さんの症状のお話ですけど、遠隔操作された可能性は低いのでは？と客観的には思います。

ウィンドウズに詳しくないことを先に言い訳しておきますけど、許可してない相手がリモートデスクトップで何かしてくるってことは、管理者権限が奪取されてるってことですよね。悪意あるその相手にとって、奪取したシステムは金の卵です。そんな”使いでのある”システムに怪しいフォルダを作るといういたずらをして終わり、なんて考えられません。
何か目的があってクラッキングしたのなら尚のこと、わざわざユーザーに見える場所にフォルダを作ってそれをアピールするなんて普通はしないでしょうね。

ダウンロードした何かのサンプルファイルやらがそのフォルダを作成した、という可能性はいかがですか？

書込番号：8253626

2点

>ダウンロードした何かのサンプルファイルやらがそのフォルダを作成した、という可能性はいかがですか？
==>
XPにフォルダ作成したプログラムが記録されていればよいのですが、良くわかりません。

問題の発生したパソコン含め、他のもネットから切断した状態でクリーンインストールし直してます。
(インストール用CDが全部見つかるかちょっと心配です。)
リカバリイメージから戻すのも考えましたが、それも心配なので、今回作った物からイメージを作り直す予定です。台数があるので、少しずつやって、多分、年末までかかるでしょう。

無線LANは今まで24時間付けっぱなしでしたが、今後はノートを居間で使う時だけONにしようかなと思います（セキュリティ対策した上での用心）。

パソコン内の隠れたソフトが外部と通信していないかは、今回教えていただいた King SoftのPersnoal FirewallレポートとSecurity Careというのが好印象です。優秀なエンジニアが、余裕を持った上で尚かつ良く作り込んである印象を持ちました。日本語訳もミスが少なく丁寧です。

Kingsoftって韓国と勘違いしてましが、中国ですね...以前 80番ポートを公開していたときは、中国、ロシア、ルーマニア、インド他に属するIPは無条件にハネルようにしていたので、ちょっと複雑です（今は公開サーバがないので、全部閉じてます）。

書込番号：8255188

0点

回答をいただいてないのですが､｢見覚えのない変なフォルダ｣は何処に作られてたのですか？
ネットワークに参加してる誰でもいじれる共有フォルダ？
共有以外のフォルダ？
その他？
この違いだけでも､かなり絞り込めます｡

書込番号：8256201

0点

もう、クリーンインストールしたので再確認できませんが、C:\直下でした。C:\は共有にはしていません。

書込番号：8256302

0点

ひととおり全体のシステムを見ないと原因なんて掴めるものではないと前置きしておいて､
Cドライブの直下に変なフォルダが有ったとすると､経験的に一番多いのは誰かが直接そのパソコンを触ったですね｡
HDDを取り出して別のパソコンに繋いでHDDをいじったも含まれます｡
CDやDVDから別のLinuxなどを起動してHDDをいじったも含まれますね｡
場合によりFDからの起動でもHDDいじれます｡
遠隔操作されたかもは非常に考えにくいですね｡

書込番号：8256765

0点

>経験的に一番多いのは誰かが直接そのパソコンを触ったですね｡
==>
仕事は個人で自宅でやっているので、泥棒以外は可能性がとても低いのです。
家人はパソコンにほぼ興味がなく、フォルダやディレクトリという概念を知りません。

もし、仮にパソコン内部に何らかの方法でウィルスソフトが入ってしまい、それがあるタイミングで内部からある外部サーバにアクセスして、適宜 スクリプトなどをロードし実行したりすると、間接的には一種の遠隔操作をされる状態と思います。仕込むスクリプトによっては、色々できてしまいそうです。

非現実的でしょうか？

書込番号：8257001

0点

本当に外部から侵入したのなら、犯人にとってキットキニスンさんのパソコンは
宝の山、気づかれるような所に気になる名前のフォルダを作ったりはしない、と
いう意見にはうなずけます。フォルダの出来かたからしても、遠隔というより直
接触って作ったという可能性が高い、というのも、やはりそうでしょう。また、
奥さまを含め他の人が触った可能性もまずないというキットキニスンさんの感触
も正しいように思えます。

となると、一番可能性があるのは、｢自分で作った」ということではないでしょう
か。なにか理由があってずーっと昔に作って忘れていたとか、あるいは、考えたく
ないですが、境界性人格障害とか解離とか、いわゆる多重人格とかで、｢自分じゃ
ないとき」に自分で作った、というのが、なんだか一番ありうる可能性のような
気がするのですが、が、どうでしょう？　スレ主さまのストレス状況とかはどう
ですか？　今回の不気味なフォルダ以外にも、現実世界で、｢自分じゃない自分」
が行動しているような兆候に気づいたことはないですか？　

書込番号：8259824

0点

quagetoraさん　

なんだか、そこまで推測されるとどう返答してよいか、ちょっと言葉を失います。
(確かに最近 反ったVAIOノートの件でサポートとやりあって、ストレスが貯まっているかもしれませんけど...)

このスレを立てたのは、最初に書いたように自分のパソコンがソフト介在または直接遠隔操作されていないか調べる方法が知りたかったのです。

インバウンドポートを全部締めてSPI Firewallやアタックブロッカーなどを設置すればOKかというとそうでもなく、1個でもアウトバウンドポートが開いていれば、そこを利用して中から外への接続を利用されるとどうしようもないと思ったからです。
知り合いのSEや情報処理関係者に聞いても意見がバラバラではっきりしません。ネット屋さんはプログラムを知らず、プログラマはネットを知らずって感じです。

チェッカーはブラックボックスで、実際に中でどのようなパターンマッチングが行われているのかは良く分かりません。チェック抜け、や誤チェックは当然あると思います。

　Adwareも怖いですが、こちらは、普通の手段でパソコン内に導入されてしまうので、厄介です。
Cookieも Adwareに分類されるので、何がSpywareで何が無害かは　実際 Adware Scannerで調べても僕には判別が良く付かないのです（だから、無害のCookieも、たいてい、全部消す）。

WinXPのFirewallは 適当なソフトが内部から80番ポート経由で外にアクセスしても標準でスルーすると思っており、そこも心配な点でした。(他のポートだとワーニングが出ることがある)

最近のソフトは自動で更新の有無をWEBと同じ80番ポートを使ってやりますが、この際、ネット上のファイルなりデータが知らないうちに自分のパソコンに取り込まれる事になります。　同じ事を悪意を持ったソフトがやれば、ほぼ何でもできると考えています。
しかも、そういうソフトを作るのは、今はライブラリが整備されているので、割と簡単に作れてしまいます。

そのためには、内部ソフトの全てのインターネット通信を使用者が検閲するしかないんだということが分かったと思います。

Firewallのログを見て、一々ルールを設定し直すのは無理だと思ってましたが、Personal Firewallを使えば、1台のパソコンに限っては、通信ソフトとポートによって許可、不許可を出すだけでルールが更新できます。

今まで、ソフトウェアのPersonal Firewallって気休めだと思ってましたが、今後は上記の意味で積極活用していこうと思います。

この数日で2台ほどPCを0からインストールし、普段使いのソフトを全部最初からインストールし直しました。予想以上に、多くのソフトが 80番他のポートを使って、外部サーバに自動的に接続しにいきます(多分、更新チェック）。　
自動で更新チェックしたいソフトは少ないので、ソフト自身の設定やFirewallで接続をやめさせています。　Personal Firewallがきちんと動作しているという前提で、今のところ、不正な動きはないように思えます。

これ以外に、無線LAN+WEP/MAC制限のセキュリティが不十分だというアドバイスを頂きました。
これは、WPA/MAC制限に切り替え、必要な時だけ無線を有効にするという運用に変更しました。ご近所は特に困っていないようなので、SSIDはまだ隠す設定のままです。

余程暇人か、何か特別な理由がないと、人のパソコンを盗み見たり、悪さをするのはいないと思いがちですが、ソフトは作った人間以外にはブラックボックスですから, オンラインでソフトウェアを入手される方は、注意してしすぎる事はないと僕は思います。

長文失礼しました。

書込番号：8260053

1点

他の方が何度も言っているのでのでくどいと感じるかもしれませんが、やはり奥様のお茶目な悪戯、というのはないのでしょうか？


何となく相談しにくいのもわかりますが、一度「俺のパソコンに悪戯した？」聞いてみるのがいいと思いますよ＾＾

書込番号：8263096

1点

スレ主さんが聞きたいのは、変なフォルダが出来た理由でなくて、パソコンがネット経由で不正操作されてないか調べる方法なんじゃない？

書込番号：8263317

1点

可能性としてありそうなのがWEPの頃に進入されたあるいは
ダウンロードファイルおよびSEから送られてくるファイルで
過去にチェック漏れがあったくらいだろうか。いずれにせよ
ネットワーク機器のログから外部操作犯行説を立証するしか手はなさそうですな。

書込番号：8385246

0点

１　自分で作って忘れている。
２　圧縮解凍したさいに自動で作られた(→だから自分では覚えがない）
３　内部の犯行。

まあ、外部からやられたっていうのは可能性は低いかな？と…
無線ＬＡＮがハッキングされたとかの方がまだ可能性高そう。

書込番号：8385669

0点

「あんた、たまってんじゃないの　フォルダ」でググって
該当する内容のページ出てこないようであれば奥様のいたずらかと・・・
出てくるようであればそのページにおそらく解決法まで載ってると思います。

書込番号：8391575

1点

被害対策の部屋

http://www.higaitaisaku.com/

↑こちらのサイトにて無料で診断して頂いてはどうですか？

PC健康診断掲示板に行き、指示に従って各種ログを貼るだけです。

書込番号：8396307

0点

事象が起きている時に、スタンドアロンの状態で放置してどうなるか試してみればよかったですね。ネットワークアダプタはドライバ無効にして。もうリカバったのなら遅いですが。

書込番号：8413956

0点

おっと、レスが遅くなったかな？

スレ主さんの現象（ドライブ直下にフォルダがどんどん作られる）と同じ現象出ました。
こちらはルータで外部からの接続は切っていましたし、Officeくらいしか動かすものが無かったのでのっとられはされてないはずです。

C直下のフォルダに関する現象ですが、
出来上がった問題のフォルダはよくわからない英語の文字列ですので、
WindowsXPのシステム内でガリガリやったキャッシュか何かが手違いでドライブ直下のフォルダとして見えてしまった…
そんなところじゃないかと思っています（※未検証）

書込番号：8423428

0点

製作者不明な謎のフォルダ、「あんた、たまってんじゃないの？」。

仕事用のＰＣへ、いたずらにしてはちょっと酷いですね。

外部からアクセスされたかどうかですが、あなたのお使いのＰＣがグローバルアドレスになっているなら可能性としては十分あります。

ただプライベートアドレスになっていれば特定のＰＣをターゲットに外部からのアクセスはまず不可能では？？

１９２．１６８．１１．２など１９２から始まってるようなＩＰアドレスを一般にプライベートアドレスっていいます。

ルーター等が入ってると大概こういったようなＩＰアドレスに置き換えられるため、侵入者はまずルーターでシャットアウトされると言う訳です。



以上のことから、無意識のうちにとある悪質な成人向け商用サイトからアクティブエックスコントロールがらみのソフトを許可してダウンロードしてしまい、何らかのコードを実行させられた可能性が一番高いですね。（あなたの奥様が絶対にこのＰＣは触っていないと言う前提で）

あとその怪しいフォルダの製作日時とか時間とかプロパティでしっかり調べておけばもっと他に展開があったかもしれませんね。

そのフォルダって何か入っていたのでしょうか？
日本国憲法上あってはいけないような動画でも目いっぱいつまってましたか？？(^^;

むしろ、そっちのほうが大変気になります。

もし僕が同じ立場だったら、そのフォルダのプロパティの日時から順に追っていきますね。

その時間帯に何を行っていたか等。

書込番号：8440784

0点

＞ぼぼすけさん
こちらでググってみましたが、残念ながらスレ主様の質問以外は、それに該当するようなページは見当たりませんでした。

もし内部の犯行だとすれば、文章の書き出し内容からして、女性の仕業がとても高いように思います。

書込番号：8440829

1点

本来の質問から逸れてしまいますが、
下記の可能性に触れておられる方がいらっしゃらないので念のため…

(自宅でない、例えば)仕事場のＰＣを
休み時間中にキットキニスンさん以外の方が勝手に利用
->(発見されていない新種の)ウィルスに感染
->仕事のファイルをＵＳＢメモリを使って持ち帰るときに
他のデータに紛れて自宅ＰＣに感染

　という経路なら、ありえると思います。

書込番号：8450436

0点

ちなみにもう話題から外れてしまいましたが、
http://www.atmarkit.co.jp/fnetwork/tokusyuu/19wlan/01.html
で、ＭＡＣアドレス認証の問題はすでに４年以上前に指摘されています。

　この記事の内容は企業向けの話なので補足しますと、家庭向けの話ではこのあと
MAC認証+SSIDステルス+WEP -> WPA(家庭用) -> WPA2(家庭用)
と新しいセキュリティ機能を追加することで各メーカーは対応しています。
（一般家庭で認証サーバなんて用意できませんから…）

　無線でＩＰアドレスをＤＨＣＰで取得している場合等、
ＭＡＣアドレスはバレバレなのでＷＰＡを適用することを強く勧めます。
有線であってもＩＰを盗む方法は既にその筋の方なら有名になってますし…。

書込番号：8450482

0点

それはすでに既出でさんざん指摘されてると思われるが…。

書込番号：8451164

0点

不正侵入ならＮＴＴ光の　ＲＴ２００ＫＩ（有線ル−タ−）で経験があります。

ＯＳはＯＳ／２ＷＡＲＰ４、タ−ボリナックスＦＵＪＩ、ＷＩＮ２０００ＳＰ４
です。各ＯＳ共最新のパッチを入れてました。

午前２時頃、国税庁のＨＰをネットクラフトでＯＳ／２、ＦＵＪＩ、ＷＩＮ２０００でアクセスした直後でした。ＯＳ／２のＦＡＴ区画、２０００に
入られたようです。ＯＳ／２のＨＰＦＳ区画とＦＵＪＩには入られなかったです。
ル−タ−のアクセスランプとＨＤＤの異常な走査から変だと気付き、即時に電源
を切って対応しました。

　後日立ち上げてまもなく、プリンタのサ−ビスコ−ルエラ−、ノートンのリン
クが切られ、バックファイルソフト（バッアクゲイン２０００というレアなソフ
ト）のバックアップファイルが消去されてました。さらにＲＴ２００ＫＩのパスワ
−ドが勝手に設定されて中に入れず、しまいにはネットの接続が出来無くなりま
した、その直後にＮＴＴデ−タ−システムの社員を名乗る者から『何かおかしい
ところはないですか』という電話がありました。

　あきらかにこいつだと直感しまして、『何をした！』と怒鳴りつけて電話を
切りました。
　その後は電話は来なかったです。急遽ＡＤＳＬとバッファローのルーターに
変更しました。その後はなんともないです。

　どうも、ルーターの一部にはソフト側にバックドアが仕掛けられているのが
あるというのを耳にしたのはその後です。
　有線なら外部からは入られないと安心していたのでシヨックでした。
　

書込番号：8463412

1点

>>ほんまもんのハッカーなら　ウィルスバスターなどやスパイソフトを入れても
ＰＣの中に入りますよ。遠隔からＰＣを壊すことも可能です。

これは、狭義のクラッカの事ですね。ハッカーとは、情報システムに非常に詳しく知的好奇心に富んだユーザの意です。

さて、前述の方々が、改善提言されているので必要ないかも知れないですが、不正アクセスについての相談ならIPAをご利用されてはいかがですか？

また、異常を見つけたら、まずLANケーブルを抜き電源は付けたままIPAやJPCERTなどへ相談をする方法もあります。
これは、電源を切らない事で、メモリ上のデータから原因を究明できる可能性があるからです。また、クラッカが進入時最初に行う行動の一つにログの改ざんが考えられます。（別の場所に暗号化して時刻同期をとってログ保存できれば最高ですが）
インシデント発生時の状態を維持する事も、その後のレスポンスに重要な場合がありますし、フォレンジクスを確保する目的でもあります。

どんつー教の信者さんの仰るとおり、ルータを越える事は難しいと考えられるので、内部犯か、内部にあったプログラムが原因だったかもしれません。

進入検知でしたら、FWのログを監視して不正な動作を検知するIDSや、阻止するIPSの導入はいかがですか？
運悪く、ゼロデイアタックだった場合はこの限りじゃないですが。

役に立たない情報でしたが、早期解決できるといいですね。

書込番号：8483413

0点

有線ルーターのＷＡＮ側からの不正侵入の件ですが、私と同じ様な事例がありまし
た。

http://ogawama.jp/blog/2007/12/ntt_1.html

ＹＡＭＡＤＡさんの記述が参考になります。
ＮＴＴやってくれますね。これでは不正侵入やりたい放題でないですか。
これなら企業の機密情報も簡単に盗めますね。

書込番号：8517232

0点

過去あった事例を引き合いに出すのは良いですが、
だからといって不正に遠隔操作されていたという論拠にはなりませんよ。
当然のことですけど。

書込番号：8517277

0点

その通りですね。
参考として考えといて頂ければいいかと思います。

書込番号：8517375

0点

個人的主観から

ハッカーレスされている様な事は本当に稀だと思いますが
WEPについては気をつけて下さい。
まあ多段ルータにしているし、オンラインウィルスチェッカーを２、３試して
何も出なかったら気にしないのが一番です。

　現在の対策

気になるのでしたら、セーフモードで起動、
hijakthisというソフトで怪しいのを探します。
上記にも有りますが、アダルト被害対策室にデータベースが
有るので閲覧しながらすると良いですよ。
怪しいのが無かったらほぼ大丈夫です。
名前からするとアダルト的匂いがするので
そういったサイトにアクセスした記憶が無いか（自分、家族含めて）
確認する事も忘れずに。（かなりの確率でこれ）
一番安心なのがOS再インストールですがめんどうですね。

　今後の対策

パケットフィルタリングの見直し。
無線LANのセキュリティーをWPA2-AESにする。（絶対するべき）
市販、フリーのセキュリティーソフトの使用。
　スパイウェア：spybot,spywareblasterの兼用。（おすすめ）
　ウイルス：avast,kingsoft,avgなど色々
　不正アクセス：comodo,outpost,kerioその他沢山

個人ではこのぐらいすれば良いと思うし
それ以上は必要ないと思います。
それでもやられたら、あきらめるか警察ですね。

書込番号：8546183

0点

ルーターの設定画面をブラウザで開くというのは、普通にされていると思いますが。IPアドレスでたたいているだけですので、外からこれを行えるようにすることは可能です。
もちろん、セキュリティー上は大問題ではありますが。メーカーからの保守が可能なように、貸し出しタイプのルーターにはこの設定がされている物があります。
ルーターの設定をいじられたから、即PCへ進入可能とはなりませんが。そう言う設定は切っておいた方が良いですね。

教訓
使い方を理解しないで使っているルーターは、分配器と大差ないです。

書込番号：8551037

0点

今後、知らぬが仏とはならない、知らざるを得ないだろう？ってことで。

書込番号：8551516

0点

話がどんどん難解な方向に行ってますが、
ただ単にProgram Filesフォルダの中に
『xerox』っていうフォルダがあるだけってオチはないでしょうか？
エロと勘違いされなくも無いですし、基本削除出来ませんし・・・（笑）

書込番号：8555678

0点

今更ですが、「10G」に関してですか、11gの無線のことではないでしょうか？
どなたか指摘していらしたらすみません。

書込番号：8559460

0点

＞Fの悲劇様
ご紹介のページを読ませていただきましたが、「YAMADA」という方は契約内容も確認せずにNTTの光回線のご契約をされていらっしゃるようですね。
件のページで出ているルータ(おそらくはCTUのことでしょう)に関しては利用者は借り受けて、操作する権利を与えてもらっているだけで契約上は、NTT側から通信の品質の維持などに必要な際に操作されることを認める契約を結んでいるのですよ。
さらに、問題にされている外部からの操作に関しては、CTUの操作ができるというだけでルータ配下のネットワーク内部(平たくいうとお家のパソコン)をいじれるということに直結しないことには注意が必要かと思われます。
さらに、「YAMADA」という方は難解な文句でBIOSやRAM領域の調査・・・などと息巻いていらっしゃいますが、カスペルスキー社製のソフトではBIOSのチェックは行えないですし、もしBIOSをEEPROMから吸い出しての検証を行ったということであれば法律違反になります。
わからない方にとってはもっともらしいことを書かれており、自信にあふれた(あるいは高圧的)な調子であるため誤解(騙されて、とは敢えて書きません)されてしまう可能性があるため、僭越ながら余計な口を出させていただきます。
完全に横道にそれたレスですみません。

書込番号：8559604

1点

Ｂ３Ｅさん＞
　私もトラブル直後直ちに２０００のＨＤＤを丸ごとコピーして、カスペルスキー
でチエックしたんですが、検知されなかったです。メールはＯＳ／２でしかやっ
ないんでまずメールでの感染はありえません。

　ネットクラフトで調べた国税庁のサイトの管理者はＮＴＴデーターシステムで
電話の主もＮＴＴデーターシステムというのはどうも偶然が一致しすぎです。

　バッファイルが消されたのが、ＮＴＴにクレームし、『ログのバックアップを
とってある。』と言った直後というのも限りなくあやしいです。

　私のケ−スの場合は、限りなくＮＴＴデーターシステムが黒に近いというのが
印象です。

　参考迄に・・・

　ちなみに国税庁のサイトをネットクラフトで調べたのはｅ−ＴＡＸの信頼性
は如何ほどのものか？という仕事上の疑惑があったからです。
　
　

　

書込番号：8565893

0点

みなさんセキュリティー関係に気をつかってるようですね。
スレッドのタイトルについて思いつくところは、

１．Windows環境でWAN/LANと自分のマシンがどういった通信を行なってるかは
　　コマンドプロンプト(cmd.exe)で確認するのが簡単な方法ではないかと
C:\>netstat
　　ログを残してゆっくり確認したい場合は
C:\>echo %date% %time% > tcp.log && netstat 60 >> tcp.log　　
　　もっとも既にnetstatがすりかえられていればあてになりませんが。

２．場所とお金に余裕があれば、廉価版サーバマシンへWindowsとは
　　体質の違うLinuxなどインストールしてWeb閲覧専用とする。
　　Linuxのほうがvirus, wormに対して生活習慣病になりにくいです。
　　Windows環境での開発・お仕事はLAN内のみとし、データのやりとりは
　　Samba経由で行なう。

３．あとネットワークからではなく、物理的にマシンへアクセスされたら
　　それでゲームオーバーです。
　　家族の写真や記録、自分しか持っていないプライスレスなデータは
　　まめにHDから他のメディアへバックアップしておきましょう。
　　最低限データは手元に残せます。

参考URL
IPA 小規模サイト管理者向け セキュリティ対策マニュアル(かなり古いです)
http://www.ipa.go.jp/security/fy12/contents/crack/soho/soho/
廉価版サーバマシンの一例 (本体価格\16,800)
http://nttxstore.jp/_II_HP12591344

書込番号：8570130

0点

スレッド主さんがもう居られないようなのと
スレ主さんへの回答はほぼ十分に思えること
また、セキュリティがいたちごっこだということ

psyduckさんが　第３項で触れた　データのの物理的隔離は
オンラインからもソーシャルクラックからも有効でしょう。

会社によってはパソコンやメディアごと盗難を受ける可能性も否定できません。
なので、盗難などからパソコンを守るのも大事なのでしょう。

私は、パスワードや自分の管理しているアカウント関連情報などは「忘れる｣というリスクもあるため　フラッシュメモリーの中にデータを暗号化して　メモリー自体も鍵のかかるところに入れています
さらにメディアの破損や紛失が心配ならそれもSDカードメモリとかにバックアップして隠しておけばいいわけです。(やり過ぎかも）

セキュリティを固めるには多くの労力が必要になります。
自宅の扉を要塞のごとく堅牢にするのは現実的ではありません。

技術や知識、自分が果たさなければならない役割　セキュリティとそれに使う労力など　日ごろのリスク管理は総合的なバランスが大事だとおもいます。

・すべての挙動を禁止にしている状態から　必要で安全ものを許可していく。
・守るものをはっきり認識。管理しておく。
・｢知らないものは探さない｣ことを意識する。

この３つを考えるだけでも比較的堅く労力も多すぎない守備になるとおもいます。

書込番号：8595195

0点

そもそも、そこまでネット経由で情報抜かれる可能性を気にするなら、スタンドアロンのPCをもう一台用意して、そっちで作業すりゃ済む話だ。

なのに、ウダウダと情報を小出しにして、最後は書き捨てて放棄するくらいだから、ただの被害妄想でしょ。
大方、Windowsにセキュリティーホールがあるとか、クレーマー活動できるような回答を期待してたんじゃないの、質問者は。

やり取りを見ていると、外出中に絶対に事故にあわないようにするにはどうすればよいか、などと質問をするようなもの。
絶対と言うなら、外出しない以外に選択肢は無いわけで、この質問者は、何らかのバックドアを仕掛けられる可能性自体を否定したいんだから、何を言っても納得なんかする訳が無いんだよ。

書込番号：8598574

2点

先月末 Nortonのパターンファイルを更新したら、半年前にダウンロードしたソフトに トロイの木馬が感染してた事が分かりました。

ウィルスチェッカーによるチェックは限界があるという事です。だから、ファイヤーウォール仕掛けて、チェッカーを常駐させてもチェックすり抜ける事はありますね。

静的なパターンチェックでは限界があるので、予期しない不審なパソコンの内部の動きを監査してくれるソフトがあるなら僕も知りたいです。

どこか作らないかしら？

書込番号：8602937

2点