悪代官の伏魔殿掲示板

インターネットで画面の下に広告が表示されます。ウェブサイトの読み込みができずに画面が真っ白のままでアクセスができないこともあります。かなり深刻なレベルなのか、自分の持ってる他のパソコンに変えてみてもこのような現象が発生します。マルウェアが何らかの経路でネットワークに侵入して全てのパソコンに感染してしまったようです。

こんにちは、IVNOと申します。
現在は出先ですので、まずは簡単な案内から行わせていただきます。
以下の私のブログURLに、応急処置の方法が書いてありますので、まずはそちらをお試しください。
http://pcmainbuilding.blog.fc2.com/blog-entry-5.html?sp

ただし、応急処置は応急処置でしかありませんので、その後は本格的に処置を行う必要があると思われます。
応急処置が終わった、或いは、応急処置で不明点がありましたらご連絡ください。
少々お時間がかかる可能性はありますが、追って返信いたします。

IVNOさま、こんばんは。この度はアドバイスをくださって、ありがとうございます。自宅で有線LANを繋いで、ノートパソコンと接続してます。ブログにある有線LAN用のURLにアクセスしても、繋がりません。「申し訳ございません。このページに到達できません。192.168.1.1 からの応答にかかった時間が長すぎます。」　アクセスも不可能な状況になってます。パスワードを設定する順序まで進めませんでした。ご報告です。

無線LANルーターログインURL 4の http: //192.168.11.1/ からルーターの設定画面に入ることができました。パスワードを入力したら、WAN設定という画面に替わりました。このWAN設定の意味がいまいちわかりません。「プロバイダからIPアドレスを自動取得する。」、「お客様ご自身でIPアドレスを手動で入力する。」、「プロバイダからIPアドレスを自動取得する。」（DNSサーバアドレスは手動設定） の選択肢が表示されました。プライマリDNSとセカンダリDNSは空白で数値がありませんでした。DNSの意味がよくわからないので作業が止まってしまいました。ちなみにコマンドプロンプトを使って検索をかけてみたら、 IPv4 アドレスは 192.168.11.3(優先)、デフォルト ゲートウェイは192.168.11.1、DHCP サーバーでは 192.168.11.1とそれぞれの結果が出ました。本日の作業はこんなところです。

こんばんは。
「このサイトで最弱の小物」「伏魔殿の面汚し」の悪代官です。

IVNOさんが続きのレスに来られる前にひとつ確認してみてください。
以下のページの説明を読んでから
https://aku-dai-kan.hateblo.jp/entry/57755090

そこでルーターではないor覚えのないIPが見つかったらそのIPを外して正規のルーターに戻すか、LANのチェックを外してみてください。

もしこれで復旧したらLAN設定を改ざんされたことによるアクセス異常ということになりますが、これで復旧しても一時しのぎで原因特定して処置しない限り解決はしません。
また上記設定に不審な点見えなければ該当しないのでスルーしてもらっていいです

悪代官さま、初めまして。あなたのおかげでこの貴重なサイトに辿り着けました。しばらくお世話になります。教えてもらった通りにやりましたが、異変は特に見当たりませんでした。未だ原因不明のままです。ここの皆さんの知恵をお借りしたいところです。

家庭用ルーターの感染の有無を判定する無料ツール提供の新しいニュースです。記事の一部をここに引用させていただきます。

https: //picworld .jp / 2022/02/28

家庭用ルーターなどIoT機器のマルウェア検査サービス「am I infected?」の無料提供を開始
〜5分以内に検査結果をメールでお知らせ。マルウェアに感染していた場合の対処法までサポート〜
株式会社ゼロゼロワン　家庭用ルーターやスマート家電などのIoT機器がマルウェアに感染していないか、脆弱なまま利用していないかを利用者自身でが簡単に検査できる無料のサービスです。専用サイト（https:// amii.ynu.codes/）から、検査結果を送信するメールアドレスの入力と、検査を実施する環境に関するアンケートに回答することで、Webサイトにアクセスした際に利用しているIPアドレスに対して検査を実施します。検査結果は、入力したメールアドレス宛てに検査結果ページへのリンクが送付されます。万が一、マルウェアへの感染が疑われる場合は同ページの推奨対策を参考に利用者自身で対策を行います。

この無料検査ツールを使った限りでは、自宅のルーターでの感染はないという診断が出ています。

遅くなりました。
悪代官さん、私が書き込みできない間のご案内、ありがとうございます。
どうやら、プロバイダからレンタルされた機器に、ご自身で別途機器を取り付け、その機器をPCと繋いでいる状況のようですね。
この場合、プロバイダからレンタルされた機器が上流、その下流にはご自身でご用意なされた機器があり、さらにその下流にはPC等が繋がっている状況となりますね。
となると感染源、あるいは感染しておらずとも改ざんされた可能性があるのは、上流にある、つまりプロバイダからレンタルされた機器であると推測できます。
それと、ご利用になった無料検査ツールは、感染の有無は確実ではないにしろ確認できても、改ざんの有無までは確認できないのではないかと考えられます。

もう少し……いえ、それなりに専門的に書くと、ルーターのメモリへの感染のチェックだと思われますので、ファームウェア領域への感染はチェックできないのではないかと思われますし、改ざんに至っては設定先など文字通り山のようにありますから、検査ツールが検査したルーターのDNSが、マルウェアによって改ざんされた後なのかどうかを特定するのは、ブラックリスト方式の検査ツールでは非常に困難であると思われます。まあ、それは置いといて。

ご自身でご購入された機器は、現在はブリッジモードと呼ばれる、中継器としてしか仕事しないモードで動作しているものと思われます。
ブリッジモードを例えるなら、野球の外野手が一度内野手に対してボールを送り、内野手がホームベースにボールを送るという、ワンクッション挟んだものを中継と言います。
最終的には外野からホームベースにボールが戻れば良いので、内野手が中継する必要はありませんが、あえて中継することで効率を上げるということですね。
意味合いとしてはこれと同じようなことをインターネットでも行うことができるわけです。
それが、中継器としてのお仕事ですね。

そして中継器ですので、現在繋がっているそちらの機器では何も設定しておらず、上流にあるプロバイダからレンタルされた機器に、すべての設定が残っているかと思われます。
ですので、この場合チェックすべきはプロバイダからレンタルされた、恐らくは黒いルーターですね。
参考までに、複数あるレンタル品のうち一台の画像を添付しますので、ご確認ください。
もしこの画像と同じようなものがあるのであれば、現状でできる最も確実な手段として、一度そちらのルーターのリセット、および、ファームウェアの更新を行ってみると良いでしょう。
それらの手順につきましては、申し訳ありませんがプロバイダさんの管轄となりますので、ここではお答えできません。
インターネットを契約したプロバイダさんにご連絡いただき、ルーターのリセット、および、ファームウェアの更新を行われてみてください。

上記の手順を行えば、ルーターに起因する感染あるいは改ざんに関しては、表面上は沈静化するかと思われます。
また、リセットやファームウェアの更新を行うことで、一部を除き解消する可能性もあります。
ただ、仮にそれで解消されたとしても、ルーターが感染、または改ざんされる土台となった感染源の有無を確認しなければ、再発する可能性もありますので、結局作業は続くことになります。

ともあれ、まずはルーターのリセットやファームウェアの更新についてプロバイダさんへのお問い合わせをなされることをお勧めします。

IVNOさま、こんにちは。ルーターのリセットを行いました。パソコンの方は直りませんでした。おかしな症状が未だ続いており、根本的な解決には至ってません。おかしな症状が起こる頻度自体は少し減ったように思います。次にやるべき操作をご教示ください。よろしくお願いします。

色々と詰まっていて、深夜なのか早朝なのかよくわからない時間になってしまいました。
申し訳ありません。

まずは、今後のお話をするに際し、予備知識としてご説明します。
前回ルーターの初期化を行ってもらったため、ルーター感染型マルウェアであるMiraiの感染ではないと特定できました。
では、それ以外のマルウェアでは、何がどうなって感染するのかというのを書いていきます。
ルーターへの感染でよくあるパターンは、まずPCやスマートフォン（以下、PC等と言います）が感染し、その感染したPC等を踏み台にしてルーターの設定を書き換えるというものが、一般的によくあるルーター改ざん型マルウェアの特徴です。
このパターンのマルウェアの特徴として、PC等で密かに常時起動している場合が多く、ルーターの設定が初期化された際、即座に、あるいは、一定の時間が経過したのちにルーターの設定を書き換えてくるため、本体を駆除しない限りは解決しない状況に陥ります。

上記の感染パターンは、原因の駆除が可能なものですが、最も厄介な感染パターンは、ルーターのファームウェア領域（厳密には、不揮発領域と言います）という部分に感染する、持続感染型と呼ばれるタイプのマルウェアです。
ルーターの中にもHDDやSSDのような極小の記憶領域があり、そこに潜り込むタイプですね。
ここに潜り込んだマルウェアは、基本的に駆除することができません。
これは、ファームウェア領域の特徴として、ルーターの電源が投入されたら優先的に起動する仕組みとなっているためです。
そして、起動中は駆除ができませんが、駆除をするためには起動しなければならないという矛盾が発生します。
これにより、駆除が不可能となるわけですね。
この場合の対処方法は文字だけで書けば案外簡単で、プロバイダさんに連絡して、機器の交換を行ってもらうことです。
ただ、上記のレンタルした端末は、光信号を電気信号に変換する機能を有しているため、光ケーブルが接続されています。
そのため、基本的には業者でなければ交換ができない端末となります。
よって、NTTのロゴが入ったレンタルされた機器を交換する際は、立ち合いでの交換作業が必要となります。

以上が予備知識となります。
ここからは、どの端末への感染であるかの、ざっくりとした切り分けを行うことになります。
その感染した端末によって、処置する手順が大幅に異なってきます。

ここでは仮に、PC1、PC2、スマートフォンという、3台の端末をルーターに接続していると仮定して、お話を書かせていただきます。

まず、PC2とスマートフォンの電源を落とした状態で、PC1だけ電源を入れます。
この状態でPC1からルーターの初期化を試します。
初期化後にも感染が発生するのであれば、ルーター、あるいは、PC1の感染が疑われます。
この状態で症状が沈静化した場合、ルーターとPC1は感染源ではないと特定できます。
その後、PC2だけの電源を投入した状態で、同じくPC2からルーターの初期化を行います。
この状態で初期化後にもPC1と同様に感染が発生するのであれば、ルーターの感染が疑われます。
この状態で症状が沈静化した場合、ルーターとPC2は感染源ではないと特定できます。
最後に、スマートフォンだけの電源を投入した状態で、同じくスマートフォンからルーターの初期化を行います。
この状態で初期化後にも感染が発生するのであれば、3台すべてで発生したことから、ルーターの感染が濃厚です。
この状態で症状が沈静化した場合、ルーターとスマートフォンは感染源ではないと特定できます。
地味で手間な作業ではありますが、調査が可能なすべての機器をお試しいただき、どこが原因かを探ってみてください。

ルーターが感染源であると判断できた場合は、上記の通り、プロバイダ経由でルーターの交換作業を行うこととなります。
PCが感染源であると特定できた場合、PC内のマルウェアの駆除、または、PCのリカバリを行います。（ただし、初期状態に戻すという項目は、現在初期状態に戻らない不具合が発生中のため、使用しません）
スマートフォンが感染源であると特定できた場合、スマートフォンの初期化を行います。
ルーター以外の各端末が原因であった場合、いずれの場合もGoogle等のアカウント同期を行わない状態で作業することが必要となります。
これはなぜかと言うと、アカウント同期を行うと、自動同期によって感染源まで復旧されてしまう可能性があるためです。
ですので、最初は同期を行わず、後で改めて同期させてみることで、アカウント同期が感染源であるか否かを調べることができます。

ざっくりとした流れは以上となりますが、非常に手間と時間がかかりますので、お時間のある時に落ち着いて作業なされることをお勧めします。