悪代官の伏魔殿掲示板
マルウェアなどに感染しているのでしょうか?
はじめまして。侵入経路がわからない不正アクセスの可能性があるため、PCの初期化を行い再構築を行っている途中なのですが、相談に乗っていただけるとありがたいです。

①DNSサーバーが優先が「162.252.172.57」、代替が「149.154.159.92」というものに書き換えられてしまいます。不正アクセスを疑い始めてからSurfSharkVPNと最近契約をしまして、その関係なのかなと思ったのですが、「162.252.172.57」を検索したところSurfshark関連の検索結果が出てくる一方で詐欺確立90%という結果もでてきてしまい判断がつかず困っております。なお、現在はSurfsharkは設定がうまくいかないため利用しておりませんが、それでも気づくとDNSサーバーが書き換えられています。

②ComodoFirewallについて。現在ComodoFirewallを利用しております。ウィルスソフトはカスペルスキーを利用しているのですが、カスペルスキーのファイアウォール設定が全くわからないため、このComodoFirewallの「ある程度の設定をまかせられると」いう点で利用しております。ですが、それでも許可するかどうかの判断を求められることがあるのですが、「System」などに許可をだしていいのかどうか判断ができないのです。以下ログの一部ですが、

2020-03-28 13:16:00 System ファイルの変更 C:\Windows\Logs\WindowsUpdate\WindowsUpdate.20200328.131316.688.2.etl
2020-03-28 13:15:39 System ファイルの変更 C:\Windows\Logs\WindowsUpdate\WindowsUpdate.20200328.131316.688.2.etl
2020-03-28 01:05:04 C:\Windows\System32\taskhostw.exe ファイルの変更 C:\Windows\Microsoft.NET\Framework64\v4.0.30319\ngen.log
2020-03-28 01:03:42 C:\Windows\System32\taskhostw.exe ファイルの変更 C:\Windows\Microsoft.NET\Framework64\v4.0.30319\ngen.log

このほかにも、カスペルスキーの.exeファイルを許可したのですが、自分で判断するにはどのような判断基準が必要なのでしょうか?一応、プロパティなどに書いてあるものをネット検索するようにはするのですが、う~んわからない、という判断に至ってしまいます。

③PCのほかにスマホについても可能であれば伺いたいのですが、もともと不正アクセスに気づいたのが、スマホが勝手に動いたためであり、初期化はしているのですが、いまいち信用できずにいます。スマホには、初期化した後にファイアウォールアプリの「NoRootFirewall」を入れているのですが、パスワード管理ソフト(アプリ)のLastPassに関して、起動すると10分くらいで50回程度の許可を求めて来ます。そして、そのほとんどが「Amazonaws.com」からです。これは正常なのでしょうか?あまりにも多くて保留にしています。

④ルーター機能付きONUはハッキングされるのか?
不正アクセスされていたのはほぼ間違いないのですが、その経路がわからない状況です。ONU(Wifiルーター)なのか、ウィルス付きのメールなのか、サイト訪問なのか、ダウンロードしたソフトやブラウザのアドオンなのか、Bluetoothなのか。
メールはうかつにクリックしない、サイト訪問はアダルトサイトなどには気をつける、ダウンロードした正規のプログラムでもVirusutotalなどのサイトとウィルスソフトでチェック、Bluetoothは使わないときは切る(PCもスマホも)などと、このサイトやネットで検索した結果で対応しているのですが、Wifiルーターについて、「Mirai」などというウィルスが一時期流行ったようですが、そのウィルスはONU(Wifiルーター)を工場出荷状態に再起動すれば、もし感染していても削除されるのでしょうか?最近ONUを有線のみで使用しておりますが、MACアドレスフィルタリングを利用すると、ネットは利用できますが、同時に利用している光電話のみ使用できなくなります(ターミナルアダプタの不具合を表すランプが点灯する)。MACアドレスフィルタリングを解除すると光電話も使用できるようになります。なお、ONUのファームウェアは最新のものです。

⑤アカウントがハッキングされた場合の対処。
例えばGoogleアカウントがハッキングされていた場合はどうすればよいのでしょうか?Gアカウントはすでに2段階認証などをしているのですが、ハッキングされた場合、Chromeの同期などでマルウェアが仕込まれてしまうとの書き込みをここでも見かけた気がするのですが、対処としてはどうすればよいのでしょうか?

今思いつくのがこんなところなのですが、どこを重点的に対応すればよいかわからず困っています。どうぞよろしくお願いいたします。
  • ぽち
  • 2020/03/29 (Sun) 05:58:16
hijのログです
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 5:39:34, on 2020/03/29
Platform: Unknown Windows (WinNT 6.02.1008)
MSIE: Internet Explorer v11.0 (11.00.18362.0001)
Boot mode: Normal

Running processes:
C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 20.0\avpui.exe
C:\Program Files (x86)\Kaspersky Lab\Kaspersky Secure Connection 4.0\ksdeui.exe
C:\Users\SubPCUser\Downloads\HijackThis\HijackThis.exe

F2 - REG:system.ini: UserInit=
O4 - HKLM\..\Run: [IseUI] C:\Program Files (x86)\COMODO\Internet Security Essentials\vkise.exe
O4 - HKCU\..\Run: [OneDrive] "C:\Users\SubPCUser\AppData\Local\Microsoft\OneDrive\OneDrive.exe" /background
O4 - HKCU\..\RunOnce: [Application Restart #0] C:\Program Files (x86)\Google\Chrome\Application\chrome.exe --flag-switches-begin --flag-switches-end --enable-audio-service-sandbox --restore-last-session --flag-switches-begin --flag-switches-end --enable-audio-service-sandbox --flag-switches-begin --flag-switches-end --enable-audio-service-sandbox
O4 - HKUS\S-1-5-19\..\Run: [OneDriveSetup] C:\Windows\SysWOW64\OneDriveSetup.exe /thfirstsetup (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [OneDriveSetup] C:\Windows\SysWOW64\OneDriveSetup.exe /thfirstsetup (User 'NETWORK SERVICE')
O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics
O18 - Protocol: tbauth - {14654CA6-5711-491D-B89A-58E571679951} - C:\Windows\SysWOW64\tbauth.dll
O18 - Protocol: windows.tbauth - {14654CA6-5711-491D-B89A-58E571679951} - C:\Windows\SysWOW64\tbauth.dll
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: Kaspersky Anti-Virus Service 20.0 (AVP20.0) - AO Kaspersky Lab - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 20.0\avp.exe
O23 - Service: COMODO Internet Security Helper Service (CmdAgent) - COMODO - C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe
O23 - Service: COMODO Internet Security Protected Helper Service (CmdAgentProt) - COMODO - C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe
O23 - Service: COMODO Virtual Service Manager (cmdvirth) - COMODO - C:\Program Files\COMODO\COMODO Internet Security\cmdvirth.exe
O23 - Service: Intel(R) Content Protection HECI Service (cphs) - Intel Corporation - C:\Windows\SysWow64\IntelCpHeciSvc.exe
O23 - Service: @%SystemRoot%\system32\CredentialEnrollmentManager.exe,-100 (CredentialEnrollmentManagerUserSvc) - Unknown owner - C:\Windows\system32\CredentialEnrollmentManager.exe (file missing)
O23 - Service: CredentialEnrollmentManagerUserSvc_1132987 - Unknown owner - C:\Windows\system32\CredentialEnrollmentManager.exe (file missing)
O23 - Service: @%SystemRoot%\system32\DiagSvcs\DiagnosticsHub.StandardCollector.ServiceRes.dll,-1000 (diagnosticshub.standardcollector.service) - Unknown owner - C:\Windows\system32\DiagSvcs\DiagnosticsHub.StandardCollector.Service.exe (file missing)
O23 - Service: COMODO Dragon Update Service (DragonUpdater) - Comodo - C:\Program Files (x86)\Comodo\Dragon\dragon_updater.exe
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: Google Chrome Elevation Service (GoogleChromeElevationService) - Google LLC - C:\Program Files (x86)\Google\Chrome\Application\80.0.3987.149\elevation_service.exe
O23 - Service: Google Update サービス (gupdate) (gupdate) - Google LLC - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
O23 - Service: Google Update サービス (gupdatem) (gupdatem) - Google LLC - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
O23 - Service: Intel(R) HD Graphics Control Panel Service (igfxCUIService2.0.0.0) - Unknown owner - C:\Windows\system32\igfxCUIService.exe (file missing)
O23 - Service: isesrv - COMODO - C:\Program Files (x86)\COMODO\Internet Security Essentials\isesrv.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Kaspersky Volume Shadow Copy Service Bridge 20.0 (klvssbridge64_20.0) - AO Kaspersky Lab - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 20.0\x64\vssbridge64.exe
O23 - Service: カスペルスキー セキュアコネクション サービス 4.0 (KSDE4.0) - AO Kaspersky Lab - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Secure Connection 4.0\ksde.exe
O23 - Service: Malwarebytes Service (MBAMService) - Malwarebytes - C:\Program Files\Malwarebytes\Anti-Malware\MBAMService.exe
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\PerceptionSimulation\PerceptionSimulationService.exe,-101 (perceptionsimulation) - Unknown owner - C:\Windows\system32\PerceptionSimulation\PerceptionSimulationService.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\SecurityHealthAgent.dll,-1002 (SecurityHealthService) - Unknown owner - C:\Windows\system32\SecurityHealthService.exe (file missing)
O23 - Service: @%SystemRoot%\system32\SensorDataService.exe,-101 (SensorDataService) - Unknown owner - C:\Windows\System32\SensorDataService.exe (file missing)
O23 - Service: @%SystemRoot%\System32\SgrmBroker.exe,-100 (SgrmBroker) - Unknown owner - C:\Windows\system32\SgrmBroker.exe (file missing)
O23 - Service: @firewallapi.dll,-50323 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spectrum.exe,-101 (spectrum) - Unknown owner - C:\Windows\system32\spectrum.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\TieringEngineService.exe,-702 (TieringEngineService) - Unknown owner - C:\Windows\system32\TieringEngineService.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 7333 bytes
  • ぽち
  • 2020/03/29 (Sun) 05:59:24
ccleanerのログです
3D ビューアー Microsoft Corporation 2020/03/22 7.1908.9012.0
Candy Crush Friends king.com 2020/03/22 1.33.4.0
Canon IJ Printer Assistant Tool Canon Inc. 2020/03/27 1.00.1.51
Canon IJ Scan Utility Canon Inc. 2020/03/27 1.4.0.16
Canon TS3100 series MP Drivers Canon Inc. 2020/03/27 1.01
Comodo Dragon Comodo 2020/03/22 70.6 MB 80.0.3987.87
COMODO Firewall COMODO Security Solutions Inc. 2020/03/22 12.1.0.6914
Farm Heroes Saga king.com 2020/03/22 5.34.8.0
Google Chrome Google LLC 2020/03/22 80.0.3987.149
Groove ミュージック Microsoft Corporation 2020/03/22 10.20022.11011.0
HEIF 画像拡張機能 Microsoft Corporation 2020/03/22 1.0.30722.0
Intel(R) Processor Graphics Intel Corporation 2020/03/22 20.19.15.4963
Internet Security Essentials Comodo 2020/03/22 13.4 MB 1.6.472587.185
Malwarebytes version 4.1.0.56 Malwarebytes 2020/03/22 4.1.0.56
Microsoft OneDrive Microsoft Corporation 2020/03/22 137 MB 19.232.1124.0010
Microsoft Pay Microsoft Corporation 2020/03/21 2.4.18324.0
Microsoft Solitaire Collection Microsoft Studios 2020/03/27 4.6.1224.0
Microsoft Store Microsoft Corporation 2020/03/22 12003.1001.1.0
Microsoft Store エクスペリエンス ホスト Microsoft Corporation 2020/03/22 12003.1001.1.0
Microsoft 付箋 Microsoft Corporation 2020/03/22 3.7.124.0
Mixed Reality ポータル Microsoft Corporation 2020/03/22 2000.20011.1312.0
Office Microsoft Corporation 2020/03/22 18.2002.1101.0
OneNote Microsoft Corporation 2020/03/22 16001.12624.20042.0
People Microsoft Corporation 2020/03/22 10.1909.3457.0
Print 3D Microsoft Corporation 2020/03/22 3.3.791.0
Skype Skype 2020/03/22 14.56.102.0
VP9 ビデオ拡張機能 Microsoft Corporation 2020/03/22 1.0.22681.0
Web メディア拡張機能 Microsoft Corporation 2020/03/22 1.0.20875.0
Webp 画像拡張機能 Microsoft Corporation 2020/03/22 1.0.30634.0
Xbox Game bar Microsoft Corporation 2020/03/22 1.49.24004.0
Xbox Game Bar Microsoft Corporation 2020/03/22 3.38.25003.0
Xbox Game Speech Window Microsoft Corporation 2020/03/22 1.21.13002.0
Xbox Identity Provider Microsoft Corporation 2020/03/22 12.58.1001.0
Xbox Live Microsoft Corporation 2020/03/22 1.24.10001.0
Xbox 本体コンパニオン Microsoft Corporation 2020/03/22 48.62.6002.0
アプリ インストーラー Microsoft Corporation 2020/03/22 1.0.32912.0
アラーム & クロック Microsoft Corporation 2020/03/22 10.2001.434.0
カスペルスキー インターネット セキュリティ カスペルスキー 2020/03/22 20.0.14.1085
カスペルスキー セキュアコネクション カスペルスキー 2020/03/22 20.0.14.1085
カメラ Microsoft Corporation 2020/03/22 2019.926.30.0
スマホ同期 Microsoft Corporation 2020/03/27 1.20022.82.0
ヒント Microsoft Corporation 2020/03/22 8.2.22942.0
フィードバック Hub Microsoft Corporation 2020/03/22 1.1907.3152.0
フォト Microsoft Corporation 2020/03/22 2020.19081.28230.0
ペイント 3D Microsoft Corporation 2020/03/22 6.1907.18017.0
ボイス レコーダー Microsoft Corporation 2020/03/22 10.2001.568.0
マップ Microsoft Corporation 2020/03/22 5.1909.2813.0
メッセージング Microsoft Corporation 2020/03/22 4.1901.10241.1000
メール/カレンダー Microsoft Corporation 2020/03/27 16005.12624.20296.0
モバイル通信プラン Microsoft Corporation 2020/03/22 5.2002.431.0
切り取り & スケッチ Microsoft Corporation 2020/03/22 10.1907.2471.0
問い合わせ Microsoft Corporation 2020/03/22 10.1912.30071.0
天気 Microsoft Corporation 2020/03/27 4.36.20714.0
日本語 ローカル エクスペリエンス パック Microsoft Corporation 2020/03/22 18362.21.65.0
映画 & テレビ Microsoft Corporation 2020/03/22 10.20022.11011.0
電卓 Microsoft Corporation 2020/03/22 10.1910.0.0
  • ぽち
  • 2020/03/29 (Sun) 06:00:15
症状のわりにログには見えないのが怪しいですね
こんばんは。
ここの管理人の悪代官です。

説明とログを見せてもらいました。

ご自身で調べた5点の説明もうかがいましたが、現時点の2ログでは怪しいところが見えないのが引っかかります。
それでも
>不正アクセスされていたのはほぼ間違いないのですが

というのが事実ならかなり巧妙に攻撃されているかもしれないので、安全策としては下手に時間かけて調べるよりも大至急LANを抜くなりしてネットから切断したうえで大至急必要なバックアップを取りそれが済み次第速やかに初期化が確実ですか。

それを覚悟で調べるならCCleaner(CC)を使ってちょっとログをとってみますか。

CCを起動して、起動したら「ツール」→」「スタートアップ」→「Windows」タブを開いてください。
そこで右下の「テキストとして保存」を押すと、表示の内容がログとして保存できるので、ログをデスクトップにでも保存しておいてください。

次に「ブラウザプラグイン」から「スケジュールされたタスク」タブと「コンテキストメニュー」タブのログも同じ要領で保存してください。

続いて今度はCC画面の左側にある「Browser Plugin」の項目から「InternetExplorer」タブ以下の各タブも順番に開いて、そのログもとっておいてください。

CCの各ログをとったらCCは終了してください。

これでとったCCの各ログをレスに貼って見せてもらえますか。

ですがこの作業で原因が見つかる可能性は薄くせいぜい糸口が見つかるかどうかで、下手すれば更に手間と時間かけて調べないといけない可能性が大です。
時間かけている間に傷口広げたくない場合は作業はせず初期化の準備とその旨をレスください
  • 悪代官
  • 2020/03/29 (Sun) 21:52:52
大変申し訳ありません。
悪代官様、はじめまして。
早々の返信どうもありがとうございます。
大変基本的で重要なことを書いていませんでした。このPCは、1週間ほど前に初期化したものです。ですのできれいなのかと思います。なお、このPCはサブPCであり、メインに利用しているPCについても初期化されていますが、メインPCについては初期化してからネットを利用しておりません。何故かというと、1台がウィルスに感染すると同じLAN内のPCも感染してしまう可能性があるという認識なのですが、正しいでしょうか?

というわけで、今現在は不正アクセスの疑いはないようなので、お時間のある時に今後の不正アクセス対策に参考にしたいので、質問をお答えいただけるありがたいです。
どうぞよろしくお願いいたします。
  • ぽち
  • 2020/03/29 (Sun) 23:57:25
ONUの感染でしょうね
こんばんは、IVNOと申します。
ご相談は見てたのですが、回答するお時間がなくて悪代官さんに先を越されてしまいました。
この手のご相談はどちらかと言えば私の管轄でしょうね。

Windowsのクリーンインストール日時は3月22日でしたね。
PCにもスマートフォンにも同じように問題が発生しているという一点のみを見たとしても、ONUのゲートウェイの改ざんでほぼ間違いないでしょうね。
エアコンや冷蔵庫がマルウェア感染するように、ONUやHGWも当然感染します。
感染の経路はいくつもありますが、その中でも代表的なものと言うと、以下のものになります。

1. PCやスマートフォンを介してONUやHGWに感染し、設定を改ざんするタイプ
2. インターネット通信からONUやHGWに直接感染し、設定を改ざんするタイプ
3. 某Len●vo社のHDDのようにメーカー出荷段階で既に感染しているタイプ

いずれが原因かは定かではありませんが、一度ONUそのものを初期化、再設定するのは有効だと思われます。
その場合は、インターネット契約時にプロバイダから送られてきたアカウント情報をご用意いただき、それに沿って再設定を行われてください。
このアカウント情報がない場合、プロバイダに再発行の依頼が可能ですが、再発行が完了するまで一週間程度待たされることとなります。
先んじてONUの初期化だけしてしまうと、アカウント情報が届くまでネット回線が使えなくなりますので、アカウント情報を紛失している場合はご注意ください。

COMODOに関してですが、COMODO FWを有効にする場合、カスペルスキーに標準搭載のパーソナルファイアウォールは無効に設定してください。
両方とも有効のままだと、ファイアウォール同士が干渉しあって、PCが起動しなくなる等の深刻なトラブルを招く恐れがあります。
パーソナルファイアウォールの設定については、慣れとしか回答できません。
共通項目であれば、初めからCOMODO FWに設定されているはずですので、共通項目以外に関しては、何が必要であるのか、何をブロックすべきなのか、ご利用の環境によって全く異なります。
ですので、この点に関してのアドバイスはできそうにありません。

スマートフォンの挙動に関しては、恐らくONUの仕業だろうとしか回答できないため、ここでは明確な回答は控えさせていただきたいと思います。

ONUはクラッキングされるのかと言う質問に関しては、上記で既に回答が出ているため省略します。

アカウントクラックとその後の同期による感染は、大半が拡張機能に仕込まれているものです。
ただ、アカウントを抜かれるということそのものが問題となりますので、定期的に一段階目のパスワードの変更と、ワンタイムパスワードによる二段階認証には、トークンを使う等で対応すると良いでしょう。

さて新たなご質問に関してですが、確かにボットネット等のように、感染したPCを踏み台にして別のPCに感染するタイプのマルウェアはいます。
ですが、ボットネット等に感染した場合、普段は感染しても動作していないため、利用者が感染に自力で気付くことはまずありません。
マルウェアに感染してすぐにわかるのは、悪性アドウェア感染ですね。
アド(広告)が表示されるため、目に見えて感染したのが分かります。
とはいえ、アドウェアそのものは、一概に悪性であるとは断言できません。
アドウェアそのものも、本来は広告と引き換えに無料でソフトウェアを提供できるようにと作られた善性のものなのですが、それを悪用する人が多すぎるため、悪性と判断されることが多いです。
これらを踏まえると、マルウェアの全部が全部別のPCに感染するわけではないどころか、感染したPCを踏み台にして別のPCに感染するタイプは、割合として見ると非常に少ないと言えます。
ただそれも、ONUやHGWに搭載されているファイアウォールをきちんと更新できているか、PCに搭載されているファイアウォールはきちんと動作しているか、PCに搭載されているセキュリティソフトはきちんと動作しているか、Windows Updateは忘れずに更新できているか等の条件により変動します。
特に、Windows Updateは最も基礎であり最も重要な防衛策ですので、ここを怠ると感染確率が激増します。
同じように、ルーターのファームウェア更新もWindows Updateと同じような効果がありますが、残念ながらルーターのファームウェア更新は、どちらかと言えば不具合修正や動作の安定化に重きを置く更新となっているのが、悲しいところです。

一通りご質問には回答できたと思いますが、何かあればご質問ください。
あまり時間がない状況ですので回答には数日かかるかもしれませんが、できる限りで回答します。
  • IVNO
  • 2020/03/30 (Mon) 02:44:28
毎度、後出しで恐縮です。
IVNO様、はじめまして。返信いただきありがとうございます。

詳細かつ的確にご返信いただき誠にありがとうございます。

ONUに関してなのですが、プロバイダーに問い合わせたときに指示されて、すでに10回以上は工場初期化(本体リセットボタンを長押しして、パスワードを含めすべてのリセット)しているのですが、その都度症状が再現されてしまっている状態です。そしてここ数日でMACアドレスフィルタリングを使用するとターミナルアダプタが不具合を起こし光電話使用不能、フィルタリング解除で光電話使用可能、といった症状に気づいた次第です。
この不具合の問い合わせの過程で3、4日まえに最後にプロバイダーに問い合わせたときに自分で勝手にLANケーブルが原因でしたと結論付けて問い合わせをクローズしてしまった手前、もう一度問い合わせるときには、確証を持って問い合わせたいと思っています。
と、言いますのも、こちらも知識がない状態なのですが、テクニカルサポートの担当の方もあまり知識がない様子なので、なるべく確証を持って問い合わせをしたい次第です。

そこで、MACアドレスフィルタリングを使用するとTAに不具合が起きるのは、ONUを交換すべきとのことなのでしょうか?いちいち後出しで恐縮なのですが、すでにTAはOSのクリーンインストール前に交換しております。
いろいろ後出しで申し訳ありません。聞きたいことが多くあり、どこをどう整理して質問してよいかという状態で、要は、わからない部分を理解・把握していない状況で、ご迷惑をおかけします。

なお、IVNO様の返信で出てきたHGWなどの単語を検索している段階で二重ルーターというワードに行きつきました。私は無線LANを利用していた時に自前のルーターを中継器?無線子機?として使用しておりましたが、ここ数日はルーターとして使用しておりました。理由はファイヤーウォール機能が付いているため、よくわからないけどセキュリティが上がる?と思った次第です。
返信を読んで、ファイアーウォールは一つでないと誤作動を起こすとのことなので、カスペルスキーのファイアーウォールを切り、ルータを外し、ONUから直接有線で現在使用中のPCに接続している状態でふたたびMACフィルタリングをかけましたが、やはり光電話が使用不能になりました(余談ですが、ルーターをONUとPCの間に使用していることを問い合わせた際にプロバイダーのオペレーターに告げましたが、特に指摘はありませんでした)。

この、何度初期化をしてもMACアドレスフィルタリングが使用できないという状態はONUの交換を申し出てもいいのでしょうか?

今回伺いたい大きな質問は上記になります。

細かい質問をさせていただきたいのですが、プロバイダ名や使用しているONUやルーターの詳細(名前や設定項目など)は書き込んでもいいのでしょうか?それとも個人情報になるのでやめておいたほうがいいでしょうか?

それと、Zemana AntiLogger Freeというキーロガーの対策ソフトなどは使用するのは有効的なのでしょうか?私は以前より「セキュリティソフト フリー」などの検索で出てくるセキュリティソフト、ここで紹介されているもの以外にSpybot、SUPERAntiSpyware、Spyware Blasterを使用しており、定期的に検索していました。AdwCleanerで検索して何度か発見・駆除していたので、安心していたのですが、こちらの書き込みで駆除しきれていない可能性を知りました。それと、それぞれのソフトで定期的に検索をしていたにもかかわらず、クリーンインストールする以前にWindowsDefenderのスキャンで完全スキャンをしたところキーロガーが発見されて驚きました。ですので、対策ソフトを入れておいたほうがいいのかと思ったのですが、どのソフトもウィルスソフトの検索でマルウェア判定評価が微妙なものばかり、比較的評価の高いのがZemana AntiLogger Freeだったのです。

以上、まとまりのない文章で申し訳ありません。お時間のある時にどうぞよろしくお願いいたします。
  • ぽち
  • 2020/03/30 (Mon) 07:32:28
遅くなりました
本体の初期化もお試しいただいているということですね。
そしてHGWでもPCでもないということは、もしかしたらTV、エアコン、冷蔵庫と言った、インターネットに接続されているその他IoT機器の感染である可能性もありますね。

では前回に続いて、ご質問に回答していきたいと思います。

ターミナルアダプタの不具合と書かれていますが、推測するにターミナルアダプタの中でもHGWのモジュラージャックのみと言うことでお間違いないでしょうか?
MACアドレスフィルタリングですが、これは無線LAN通信の規制ですので、HGWの各LANポートによる有線接続、および、モジュラージャックに関しては、本来なら一切支障が出ないものです。
ですので、MACアドレスフィルタリング機能を使用したとしても、モジュラージャックには一切影響がないはずですし、もちろんLANケーブルやモジュラーケーブルに何らかの問題が発生する可能性と言うのもありません。
MACアドレスフィルタリングを適用した状態で有線接続した端末に不具合が出るのであれば、それは本体側の不具合である可能性が濃厚です。
そして、この手の本体側の不具合は初期不良のようなものではなく、もはや仕様とも言えるほど同型機全機で発生することが常です。
ですので、ただ交換してもらうだけでは解決しないのではないかと推測します。
これの回避策は、同型機ではないHGWを入手することです。
余談ですが、電話が使えるものをHGW、電話が使えないものをONUと言います。
ただ、MACアドレスフィルタリングよりも、HGWの機器設定用パスワードを変更するほうが効果的ではないかと思われます。
結局HGW本体の機器設定用パスワードがデフォルトのままであることが、HGWをクラッキングされる最大の要因です。
ですので、HGWをご利用になる際には、できる限り初期パスワードから変更なされると良いかと思います。

続いて二重ルーターのことですね。
二重ルーターとは、物理的にルーターが2つあること……ではありません。
二重ルーターとは、HGWの子(直接接続)として市販のルーターを設置し、HGWと市販ルーターの両方に、全く同一のアカウント情報を登録することです。
そうすると、HGWもルーターもどちらもがルーターとして動作しようとするため、そのままでは不具合が発生してインターネット通信ができなくなります。
二重ルーターの状態でも正常動作させるための回避策はありますが、正直お勧めできません。
一般的に、市販ルーターは自動設定、あるいはブリッジモードとしてHGWに繋いで使用します。
あるいは逆に、HGWは初期設定のまま手を付けず、市販ルーターにアカウント情報を登録して使うケースもあります。
市販ルーターにアカウント情報を登録すると、HGWには何一つ情報が入っていないため、電話が使えなくなるのではないかというイメージがあるかもしれませんが、HGWに設定をせずとも、電話そのものは使用可能ですので、HGWは初期設定のままでも問題ありません。
ただ、HGWを初期設定のままで使う場合であっても、機器設定用パスワードだけは変更することをお勧めします。

そしてファイアウォールに関してですが、同一端末の中でファイアウォールは1つに絞るべきと言うのが正しいです。
HGWの中にファイアウォールがあり、PCの中にもファイアウォールがあります。
これはHGWとPCが別端末であるため、ファイアウォールが物理的に被ることはありません。
同じPCの中にファイアウォールが2つ以上存在するのが問題であるだけですね。
なお、Windows標準搭載のファイアウォールは、別のファイアウォールがインストールされると自動停止しますので、こちらも問題はありません。
ですので、カスペルスキーとCOMODOでファイアウォールが被っていること以外には、ファイアウォール関連で取り立てて問題は発生していないということですね。

各種端末情報ですが、プロバイダ側が手配するものはだいたい似たり寄ったりなので問題ないと言えばないのでしょうが、念のため記載は控えておきましょうか。

では最後に、各種マルウェア対策ソフトに関してです。
ご存じの通り、マルウェア対策ソフトを使用したとしても、感染を完全に防いだり、感染したマルウェアを完全に除去するのは、まず不可能です。
実際に私が請け負った案件の中でも、マルウェア対策ソフトでは駆除すらできないどころか、一般的な駆除方法ではいかなる手段を用いても駆除できない場面がありました。
その際には、PCをセーフモードで起動させた状態でレジストリを直接操作してマルウェアがセーフモードで活動する余地をなくし、再度セーフモードで再起動させることでマルウェアの動きを止め、そこから手動で駆除してようやくでした。
マルウェア対策ソフトではそのような手順を踏むことができないため、駆除が不可能であるというわけですね。
本来マルウェア対策ソフトとは、セキュリティソフトと違い、自力で駆除ができる人が駆除するための手順を簡略化させて、楽に手動駆除するためのツールです。
Zemana AntiLogger Freeが優秀ではないとは言いませんが、それでもマルウェア対策ソフトを過信するのは危険であると言えます。

PCで最大の感染源は、ヒューマンエラーです。
つまり、PC利用者が感染するような行為を行っているから、感染すべくして感染したという、いわば自業自得です。
では、感染しないためにはどうするのかですが、それもやはり、感染しそうなサイトを巡ったり、不用意なソフトウェアはダウンロードをしたりはしないようにするという心がけ一つで、大半の感染は未然に防ぐことが可能です。
ここはひとつ、騙されたと思ってちょっとヒューマンエラー回避に意識を向けてみてはいかがでしょうか。
  • IVNO
  • 2020/04/02 (Thu) 06:04:09
お忙しい中ありがとうございます。
>インターネットに接続されているその他IoT機器の感染である可能性もありますね。
このIoT機器なのですが、所持しているスマートTVは設定を初期化する項目があったので、初期化できたのですが、ブルーレイレコーダーについては、設定の初期化=HDの初期化ということなのでしょうか?HDの初期化により、もしも、感染していても初期化されるということなのでしょうか?

ONUについて
明日以降、プロバイダーに仕様などについてもう一度問い合わせをしてみます。

二重ルーターについて
勉強になります。返信を読んで再びルーターを使用しております。さらに、「ネットワーク分離(隔離)機能」というものを初めて知りました。PCは有線で使用することで速度やセキュリティ面なのメリットがあるようですが、スマホはなかなかLANケーブルの取り回しやLANポートの設定など、不便さが勝ってしまい、Wifiが使えることに越したことはありませんでした。

各種マルウェア対策ソフトとヒューマンエラーについて
おっしゃる通りで返す言葉がないです。そうですよね、たぶん、Wifi接続のパスワードを10文字くらいで運用していた時期があったのでそこら辺でやられたか、クロームのアドオンかなぁといったかんじです。今は2段階認証、訪問サイトなど最大限注意しております。

最後ににまた質問なのでですが、OSの入っているSSDのほかに内蔵HDDも使用しているのですが、クリーンインストール時に内蔵HDDに関してはフォーマットなどをせず再度使用していました(クリーンインストール時だけケーブルを外している)。しかし、よく考えたら感染可能性もあるわけで、フォーマットしようと思うのですが、自分で撮影した動画や写真、仕事なので必要なスクショ(pdfやjpegなど)も全部諦めたほうがいいのでしょうか?こちらの書き込みで動画なども消したほうがよいとの記述を見かけたような気がしたのですが。

以上、お忙しい中で恐縮ではございますが、ご返信いただければ幸いです。
  • ぽち
  • 2020/04/02 (Thu) 22:21:09
ちょっと悩ましいところですね
まずはマルウェアの感染先なのですが、これはざっくり分けて2か所あります。

1か所目が、ご存じの通りHDDやSSDと言った記録媒体に感染するタイプで、最も多いタイプとなります。
これは記録媒体のフォーマットで消せる場合もありますが、フォーマットに耐性を持つマルウェアもいます。
ですので、フォーマットよりパーティションの削除と再構築をする方が、より確実ではあります。
ただ、それでも耐性を持つ一部のマルウェアは除去しきれない場合もありますので、絶対とは言えません。
それに、IoT機器の設定の初期化により、記録媒体の初期化まで行われるのかどうかは不明です。
各種IoT機器の記録媒体のフォーマットに関しては、メーカーまでお問い合わせください。

2か所目は、非常に少ないですが、基板そのものに感染するタイプです。
基板の中には、HDDやSSDほどの容量はありませんが、基板の動きを制御するための記憶領域があり、そこに潜り込みます。
ここに潜り込んだマルウェアの除去は不可能となり、本体の買い替え以外での対処法がなくなります。
Len●vo社がHDDに仕込んだのも、HDDの制御プログラムそのものに情報を横流しする仕組みが組まれていたもので、その制御プログラムはHDDの記録領域には存在していないため、HDDのフォーマットでは削除できないものでした。
ですので、基板に感染していた場合は、IoT機器の設定の初期化をしたとしても、あっさり消えてくれるような優しいものではありません。

では続いて感染源となりえるものですが、音声ファイルや動画ファイルと言った「コンテナ」と言う仕組みを持つものは、作成時にコンテナ内にマルウェアを仕込まれる可能性があります。
コンテナとは、文字通りデータを入れる箱です。
その箱の中にはありとあらゆるものが入ります。
例えば、同じMP4動画だったとしても、コンテナの中身にはH.264で作成したものだったり、Xvidで作成したものだったりと言った規格の違うものが入っています。
その中に、制作時にこっそりとマルウェアを仕込むことだって、やろうと思えばできるわけですね。
ですので、第三者から提供された動画ファイルや音声ファイルは、安全のために削除なされた方が良いでしょう。
ご自身で作成した動画ファイルや音声ファイルは、動画ファイルや音声ファイルを作る際に使用したツールが信頼できるものであるなら、コンテナにマルウェアを格納されるという危険性もないでしょうし、取り立てて気にする必要はないでしょう。
各種コンテナに格納されているマルウェアであっても、最終的には実行されれば上記2つのどちらかに感染します。
なお、PNGやJPGと言った画像ファイルに関しては、これはコンテナではなく圧縮形式です。
ちょっと難解になりますが、色の情報を横に並べていったものが生データです。
例えばこんな感じですね。
青青赤赤赤青紫紫桃桃桃桃緑
これをPNG形式のような可逆圧縮にするとこうなります。
青2赤3青紫2桃4緑
これをJPG形式のような非可逆圧縮にするとこうなります。
青紫赤紫4桃2黄
と言うように、同一色をまとめて生データに戻せるよう順番に保存していくのが可逆圧縮であり、劣化するのを許容することで隣接する色を統合してより少なく記述するのが非可逆圧縮です。
ということで、画像ファイルに関しては箱を作ってその中にモノを入れるというような仕組みではなく、上記のように圧縮する技術を意味しますので、感染はまずないでしょう。
長々と書きましたが、仕組みが分かれば感染するリスクのあるなしが判断できるかと思います。
ただ、バックアップは、マルウェアの起動を回避するためにセーフモードにした状態でバックアップなされることをお勧めします。
  • IVNO
  • 2020/04/03 (Fri) 13:26:07
Re: マルウェアなどに感染しているのでしょうか?
丁寧なご返信恐れ入ります。

IoT機器については、メーカーに問い合わせたいと思います。
HDDやSSDに関しては、教えていただいた通りにパーティションの削除で対応するようにします。

>非常に少ないですが、基板そのものに感染するタイプです。
これは困ってしまいますね。対応のしようがないのでは、買い替えも検討しなくてはいけませんね。質問なのですが「基盤」というのはマザーボードだけではなくグラフィックボードやサウンドボードなども含むのでしょうか?

音声ファイルや動画ファイルと言った「コンテナ」について
自分で作成した音声・動画ファイルは大丈夫そうなので安心しました。でも動画・音声ファイルもマルウェアを仕込めるのは勉強になります。スクショ画像は無事そうなので何よりです。

毎回、返信をいただいてからセキュリティに関して自分でも検索をするのですが、IVNO様に教えてもらう単語を検索するとそれ以上にわからない単語や事柄が出てきて思うように進まないのですが、何か体系的に初心者にもわかりやすいセキュリティのページなどはご存じでしょうか?そのほか何か、この事柄・単語を調べていくと対策を取りやすいなど、ありましたらご教示いただけるとありがたいです。

どうぞよろしくお願いいたします。
  • ぽち
  • 2020/04/03 (Fri) 23:05:07
ちょっと丸投げ気味になりますが
体調を崩したお陰で書き込む時間が作れたIVNOです。
体調を崩すほどに多忙を極めることは、確かに懐は平時よりは温まりますが、果たして良いやら悪いやら。
と、そんなことはどうでも良いですね。

感染場所ですが、例えばサウンドカードを搭載しており、音声ファイル経由での感染であった場合、サウンドカードそのものに感染するケースはあります。
同じく動画ファイルからグラフィックスカードに感染するケースもありますし、もちろんマザーボードに感染するケースもあります。
ただこれら基板感染型の共通項目として、通電=マルウェア動作となります。
マルウェアに限らずソフトウェアと言うものは、動作していない時にしか削除できません。
ですが、基板感染型は通電と同時に動作し始めるため、動作する前に隔離や駆除をすることができないんですね。
なので買い替えと言う話になります。

知識面については、PCの世界も、突き詰め始めればどこまでも深みにはまりますので、仕方ないと言えば仕方ないのかもしれません。
既にこの段階にはないと思いますが、一応貼っておきます。

富士通 FMVサポート
パソコンで「やってはいけない」7つのこと(1/2)
https://azby.fmworld.net/usage/closeup/20110629/?usagefrom=closeup

でこっちがある意味本題ですね。
本題と言われても、記載内容が分かりやすいかと問われれば、分かりにくいであろうと答えることになりますが。
早い話が、総務省がIoT機器の相談に乗ってくれますよと言う内容ですね。

総務省|脆弱なIoT機器及びマルウェアに感染しているIoT機器の利用者への注意喚起の実施状況(2019年度第2四半期)
https://www.soumu.go.jp/menu_news/s-news/01cyber01_02000001_00043.html

私は当然ながら利用したことはありませんが、対策の提示についてはNOTICEのユーザーサポートに期待しましょう。
  • IVNO
  • 2020/04/04 (Sat) 05:01:17
いろいろとありがとうございました。
体調不良のなかわざわざ返信いただき申し訳ありません。

>基板感染型は通電と同時に動作し始めるため、動作する前に隔離や駆除をすることができない
本当にどうしようもない場合もあるのですね。困ってしまいます。

いろいろ教えていただきましたが、私の知識不足に切りがなさそうなので一旦質問を終わらせていただきます。教えていただいたNOTICEなどにも連絡してみることにして今後もいろいろ知識を蓄えていこうと思います。

お忙しいうえに体調を崩されている状況で長々とお付き合いいただきありがとうございました。お体に気をつけてこれからも頑張ってください。
  • ぽち
  • 2020/04/04 (Sat) 23:02:52

返信フォーム






プレビュー (投稿前に内容を確認)