みんなの「教えて(疑問・質問)」にみんなで「答える」Q&Aコミュニティ

こんにちはゲストさん。会員登録(無料)して質問・回答してみよう!

解決済みの質問

セキュリティ詳しい方お願いします

少し前に、
「パソコンを立ち上げてすぐWindows Updateが始まり、その間何もしていないのにその時刻にウイルスバスタークラウドのWeb脅威4件↓

ttp://ocsp.comodoca3.com/

ttp://ocsp.comodoca3.com/MFEwTzBNMEswSTAJBgUrDgMCGgUABBR8sWZUnKvbRO5iJhat9GV793rVlAQUrb2YejS0Jvf6xCZU7wO94CTLVBoCEE5sSIg2uyjOK%2BNaw3mPSiQ%3D

ttp://ocsp.comodoca3.com/MFEwTzBNMEswSTAJBgUrDgMCGgUABBQ%2BpCTJXu%2BlLAk9ZZRemgNtQ4Ud7gQUv9R9b690k5CIqEPGHvcTbK61zK8CEFh5q4O9YdnW74rbnsTyL4o%3D

ttp://ocsp.comodoca3.com/

が記録されていたのはなぜ?」
という質問をしました。

セキュリティ関連をよくご存知の方お一人が調べてくださったようですが、サポートに聞いたほうが…という回答をいただき、その通りにしました。

「大丈夫」とのことでしたが、気になるなら調べるのも可能ということで、念のためログファイルをメールで送りました。
結局、「ブロックしているので大丈夫」「未評価サイトは基本ブロックしないが、パソコンにダウンロードやアップロードしようとした場合ブロックします」との回答。
それでも根本的な疑問(何故、何もしていない時刻に?)があり更に質問してみたところ、「Windows Update以外の自動更新のソフトが存在することによってファイルダウンロード動作が検出された可能性」とのことでした。
ですが、comodoとかいうファイアウォール?は調べるまで知りませんでした。
これまでWindowsのファイアウォールのままです。
そして、1週間後ぐらいにまた4件Web脅威で同じのがブロックされていました…。

その後、たまたま別件(Firefoxが17に自動アップデートしてからウイルスバスタークラウドの安全判定が効かなくなった→未解決)でFirefox17のオプションを更に詳しく見ていましたら、確か[詳細]タブの認証かなにかの一覧のなかでcomodoっていうのがありました。
Web脅威に挙がるまでcomodoとかいう言葉自体見たこともなっかたので、もしかしたらこれかなと思い、Firefox17をひとまずアンインストしました。
これで大丈夫かなと思っていましたら、また4日ほどしてWeb脅威4件同じのがブロック…。

そこでFirefox用にインストしていたFlashプラグインも昨日アンインストしました。
これでどうなるのかまだ様子見ですが、Firefox用のFlashプラグインの自動アップデートでcomodoがファイルをパソコンにダウンロードしようとしていたとかいうことはないですか?脆弱性という意味ではなくて。
素人考えで、確かFirefox用のFlashをインストするときマカフィーの非常駐セキュリティソフト?が抱き合わせであったと思うのですが…。何度かFirefoxをインストしなおしましたが、その都度チェックは外してインストしましたが…。アドレスのMFEとかがマカフィーのことじゃないかとも思うのですが…。
これは関係ないですか?

ウイルスやらは全く検出されていないのですが、理由が分からないとこれからもずっとWeb脅威として出てきそうなので質問しました。
逆にこのダウンロードが必要なもので、ウイルスバスタークラウドが未評価でブロックしてしまっているとしても問題かな、と思います。
Adobeリーダー・フラッシュ、Javaぐらいしか入れてないのですが…。
どなたか詳しい方いらっしゃいますでしょうか?

Vista 32bitです。

投稿日時 - 2012-12-25 16:03:59

QNo.7861131

すぐに回答ほしいです

質問者が選んだベストアンサー

一つ目
他のパソコンからアクセスされる共有フォルダが無ければ、「NetBIOS over TCP/IPを無効にする(S)」が望ましいです。
現在主流のネットワークはTCP/IPだけで充分でMicrosoftOS以外ではNetBIOS的な考え方はありません。
NetBIOSはMicrosoft独自のお手軽ネットワークという前世紀の遺物です。NetBIOS over TCP/IPは、TCP/IPを拡張してNetBIOSの真似っこするものです。
NetBIOS over TCP/IPの場合は、LANに繋がるパソコンが”誰でもホスト”的な考え方になるでしょう。
それに対して、一般的なTCP/IPでは、ホストとクライアントの役割がはっきり分化しており、他のパソコンから接続してもらうホストパソコンは、ネームサーバーに、IPアドレスと名前を登録しておきます。一般のパソコンはネームサーバーに名前を問い合わせてIPアドレスを紹介してもらって目的のホストパソコンに接続します。
このネームサーバーを世界を巡るインターネットに拡張したものがDNS(ドメインネームサーバー)という訳です。

二つ目
DNS設定がComodoになっていたとしても、アンインストールで元に戻されたのだろうと思われます。
『警告が煩いだけで、実害は無いでしょうから、すでにログは提出してあることだし、平穏に戻るには、Trendmicroが対処するまで待つしかないでしょうね。

Comodoの証明書に関しては昨年震災直後の3月24日こういう事件がありました。
http://www.symantec.com/connect/blogs/comodo
詳細は判りませんが、ニュースではアメリカ対イランのサイバー戦争の一幕とも報じられています。これ以上この件には深入りしたくありません。
このような背景で、ocspを遮断するのは逆効果と思いますがTrendmicroがComodoの証明書に対してナーバスになっている可能性は否定できません。

大変かもしれませんがComodoの証明書を使用するアプリを探し出してアンインストールするのも、手段の一つになるでしょう。
なお、FireFox.exeのデジタル証明書はSymantecでしたのでocsp.comodoca3に問い合わせる事は無い筈です。

投稿日時 - 2012-12-27 18:27:03

お礼

何度も回答いただきありがとうございます。
わたしレベルにはまだかなり難しい内容ですが、詳細な説明と勉強になるURLいただき少し理解できてきた気がします。

>他のパソコンからアクセスされる共有フォルダが無ければ、「NetBIOS over TCP/IPを無効にする(S)」が望ましいです。
>現在主流のネットワークはTCP/IPだけで充分でMicrosoftOS以外ではNetBIOS的な考え方はありません。
→なるほど。Windowsでは「条件次第でNetBIOS over TCP/IPを有効にする」がデフォルトで設定されているのですね。
家でおとなしく使っているレベル(Officeソフトとかニュースを見たり、検索したり、ここを利用させていただいたりぐらい)ですので他のパソコンと共有したりはしていませんから、もう少し理解が進んでから、ご推奨の「NetBIOS over TCP/IPを無効にする(S)」を考慮してみようと思います。

>DNS設定がComodoになっていたとしても、アンインストールで元に戻されたのだろうと思われます。
>『警告が煩いだけで、実害は無いでしょうから、すでにログは提出してあることだし、平穏に戻るには、Trendmicroが対処するまで待つしかないでしょうね。
→そういっていただけると安心します。このまま待ってみます。仕様が変わったということで最新ウイルスバスタークラウドになってから、ブロックしているとはいえWeb脅威が○件と初めて出ましたからわたしもナーバスになっていたのかもしれません。

>大変かもしれませんがComodoの証明書を使用するアプリを探し出してアンインストールするのも、手段の一つになるでしょう。
→そうですね。私レベルではこれが大変ですが…。
Firefoxブラウザ自体のアンインストでは、その後まだウイルスバスタークラウドのブロックで出ていましたから…。それを受けてのFirefox用のFlashプラグインのアンインストからまだ2日ほどですので、これがComodoの証明書を使用していたかの様子を見てみます。

何度も詳しく説明いただきお手数をおかけしました。
大変参考になりました。
また何かありましたら、よろしくお願いします。
ありがとうございました。感謝です。

投稿日時 - 2012-12-27 20:16:10

このQ&Aは役に立ちましたか?

1人が「このQ&Aが役に立った」と投票しています

回答(3)

ANo.2

comodoのDNSが悪いっていう訳じゃありません。

DNSのチェックや変更方法は補足の記載で合っています。
http://www.catv296.ne.jp/html/support/network_winvistaset.htm
の手順で[Internet Protocol Version 4 (TCP/IPv4) のプロパティ]を開きます。

通常、インターネット接続に、ルーターを使用している場合は、
『DNSサーバーのアドレスを自動的に取得する』のラジオボタンが選択されている筈です。
そうなっているようですから、変更されていません。
ここを
『次のサーバーのアドレスを使う(E)』を選択して、プロバイダや所属企業等が指定したDNSのIPアドレスを記入して使うことができます。

投稿日時 - 2012-12-26 18:52:08

補足

何度もごめんなさい。
ありがとうございます。

教えていただきましたURL手順の中で、最後の設定だけわたしのと違っていました。
手順では「[TCP/IP詳細設定]で「WINS」タブで「NetBIOS over TCP/IPを無効にする(S)」をチェックして「OK」」
とありますが、
わたしの[NetBIOS設定]は「既定値(F)」のほうにチェックしてあります。
これが変わってしまっていたのでしょうか?
これを手順通りに変えればいいのですか?
難しくてまだ意味が分かっていませんので、この手順通りにすれば結局どうなるのでしょうか?
FirefoxやGoogleChomeのインストによってComodoに変更されていたものが元通りのWindows純正の設定に戻ってくれるということですか?
どうやら攻撃されていたとかではなく、まともなサイトだとはわかりましたが、最新ウイルスバスタークラウドが「未評価」でブロックし続けそうなので、元通り平穏に!?したいです(「未評価」を例外設定するのはまだこわいのです…)。
無知で申し訳ありません。

今一度よろしくお願いします。

投稿日時 - 2012-12-26 22:33:02

お礼

何度もありがとうございます。
触ったことがない設定やらでドキドキしながら確かめています。
手順の通りにすればいいのか、またそれをすればどうなるのか全く理解できていませんので、手順の最後の部分はまだ保留中です。
そこが分からなくて、また補足で質問させていただきました。
すみません。
よくご存じの方がいらっしゃって助かっています。

投稿日時 - 2012-12-26 22:37:54

ANo.1

ocsp.comodocaはアプリケーションなどに付けられている証明書の有効期限情報(OCSP)を提供するサイトです。
通信には、通常のWEB閲覧と同じhttp(80)プロトコルを使います。

なんらかの理由でTrendMicroの仕様が変わって、OCSPチェックをファイルのダウンロードまがいと検出するようになったのでしょう。
かつて評価されていたWebサイトが、セキュリティソフトのアップデートかなにかで評価情報から漏れた単純ミスの可能性もあります。

Firefox(あるいはGoogleChrome)をインストールした際、PCのDNS(ドメインネームサーバー)の設定がcomodoにされた可能性がありますので、念のためチェックしてください。
http://d.hatena.ne.jp/sonar_jp/20120203/1328258149

投稿日時 - 2012-12-26 10:11:35

補足

Vista 32bitです。

>なんらかの理由でTrendMicroの仕様が変わって、OCSPチェックをファイルのダウンロードまがいと検出するようになったのでしょう。
かつて評価されていたWebサイトが、セキュリティソフトのアップデートかなにかで評価情報から漏れた単純ミスの可能性もあります。
→わからないなりにそんな感じがします。TrendMicroの無料チャットサポートで、最新バージョンでは仕様が変わったという回答もありました。検索結果に「危険」判定のサイトが候補に挙がっただけでWeb脅威としてログに記録されるみたいなことをいっていましたから。さらに、Firefox17のアドオンのページが「未評価」判定でブロックされるようにもなっていましたので…。

では、確認手順について質問させていただきます。

[LANまたは高速インターネット(2)]の[ローカルエリア接続のプロパティ]でよろしいのですか?
URL手順と同じ「ネットワークの設定」というのが無かったです。

それでよいということを前提として続けますが…
[ネットワーク]タブに、「インターネット プロトコル バージョン4(TCP/IPv4)」と「インターネット プロトコル バージョン6(TCP/IPv6)」2つあります。
それらを選択して[プロパティ][詳細設定][DNS]とみてみましたが、何やらチェックがいくつか入っているだけで何も入力されていません。
何を見ればDNSが変更されてしまっているか確認できるのでしょうか?

>Firefox(あるいはGoogleChrome)をインストールした際、PCのDNS(ドメインネームサーバー)の設定がcomodoにされた可能性があります
→因みに、確かIE9でFlash Playerインスト時にGoogleChromeも抱き合わせでインストしました。ただこのブラウザはほぼ使っていません。ですから、今回Firefoxをアンインストした際に一緒にアンインストしました。現在はIE9だけにしています。

まだお力添えいただけるなら、ご面倒をおかけしますがよろしくお願いします。
難しすぎて頭がパンク状態です…。

投稿日時 - 2012-12-26 17:54:01

お礼

回答ありがとうございます。
難しい内容なので、前回の質問でもなかなか回答がつかずほとんど諦めかけていました。
回答いただきありがたいです。
パソコンは初心者レベルですので、教えていただいたURL手順がよくわかりませんでした。
捕捉させていただきますので、できることならDNS設定の確認法をわかりやすく教えていただきたいです。
よろしくお願いします。

投稿日時 - 2012-12-26 17:19:23

あなたにオススメの質問