MS04-007_ASN.1_EXPLOIT-2 ウィルスバスターの検出 ネットワーク

  • 1
  • 質問
  • 更新回数: 2週前
  • 回答済み
ウイルスバスター クラウド(ウィルスバスター月額版・併用:4台PCの内1台が検出)をご利用のお客さま
ご利用のOS:Windows10・64:16299・755
ご利用のブラウザ:IE11(公開中アドオン:最新・含むC++)&グーグルchrome(最新)
パスワードマネージャーをご利用のお客さま
ご利用のブラウザ:(公開中アドオン:最新・含むC++)&グーグルchrome(最新)

ウィルスバスターの更新の際に以前の検出ログを再確認⇔質問を失念しておりました。

以下ログをテキストで抽出

日時,ウイルス名,送信元IPアドレス,送信元ポート,送信先IPアドレス,送信先ポート
2018/11/09 15:36,MS04-007_ASN.1_EXPLOIT-2,213.154.72.162,32648,220.105.88.192,445

この時はネットワーク接続状況下でコマンドを実行していました。

ブラウザは起動していない状況での検出です。

画像






マイクロソフト社のASN.1 ライブラリの脆弱性について
Copyright © 2018 Information-technology Promotion Agency, Japan(IPA)
https://www.ipa.go.jp/security/ciadr/vul/20040212-asn1.html

MS04-007_ASN.1_EXPLOIT(トレンドマイクロ社)

https://www.trendmicro.com/vinfo/au/threat-encyclopedia/archive/security-advisories/ms04-007_asn.1_e...
説明:

この脆弱性コードは、Microsoft Security Bulletin MS04-007で説明されているASN.1の脆弱性を利用するために使用されます。トレンドマイクロのInternet SecurityとNetwork VirusWallのユーザーは、Network Virus Pattern(NVP)10115以降を使用してネットワーク層でこの脆弱性を検出できます。

パッチ情報:

重要な注意点:

この検出は、マシンの脆弱性の検出ではありません。この警告が表示された場合、悪意のあるコードがネットワークやマシンを通過したが、トレンドマイクロではMS04-007_ASN_EXPLOITとして検出されたことを示しています。

※1)悪意のあるコードがネットワークやマシンを通過したがMS04-007_ASN_EXPLOITとして検出:ブロックしました~の認識で良いでしょうか?

※2)セキュリティログによると、概ね200件/90分:のアクセスが見受けられますが、ネットワーク攻撃(アタック)として認識が必要でしょうか?

セキュリティログ

宛先IPアドレスは消去(プライベートアドレス)2018/11(約:270件⇔200件/70分)

画像














※3)ネットワーク攻撃(アタック)の場合、プロバイダーへ報告、以外のセキュリティー対策はどの様なものが考えられますか?

※4)ルーター(モデム)設定は検出以降に強化(パケットフィルタ・SPI・IPポート変換等)設定変更しましたが、概ね200件/70分のログが確認されます。

最適な対応方法(プロバイダーへ報告)、御社製品で『ネットワーク攻撃(アタック)』防御対応としてお勧めされるモジュールは『ウィルスバスタークラウド』以外にありますでしょうか。

よろしくお願いいたします。


suzaku の写真

suzaku

  • 654 ポイント 500 badge 2x thumb

投稿時間: 3週前

  • 1
トレンドマイクロ_W の写真

トレンドマイクロ_W, Employee

  • 270 ポイント 250 badge 2x thumb
こんばんは。
トレンドマイクロお客さまコミュニティへの投稿ありがとうございます。

このたびはご回答が遅くなり、誠に申し訳ございません。

いただいたご質問ごとに下記にてご案内いたしますので、ご確認くださいますようお願いします。

----------------------------------------------------------  

■ご質問1
悪意のあるコードがネットワークやマシンを通過したがMS04-007_ASN_EXPLOITとして検出:ブロックしました~の認識で良いでしょうか?

■ご回答1
お教えいただいた情報より、ご認識のとおり、該当検出はウイルスバスターにより悪意のあるコードがネットワークやマシンを通過したことを「MS04-007_ASN_EXPLOIT」として検知し、それをブロックした記録でございます。

また、最新の日付にて検出がなければ、お使いのコンピュータのセキュリティ上には特に問題ありません。 
もし不安などがありましたら、弊社で調査することは可能ですので、その旨をお返事ください。

なお、脆弱性への対策としては定期的にWindows UpdateやAdobe、Javaなどのソフトウェアをアップデートしていただくことを推奨いたします。

----------------------------------------------------------  

■ご質問2
セキュリティログによると、概ね200件/90分:のアクセスが見受けられますが、ネットワーク攻撃(アタック)として認識が必要でしょうか?

■ご回答2
恐れ入りますが、いただいたセキュリティログについて、適切なご案内を差し上げるため、よろしければセキュリティログの詳細についてお教えいただけませんでしょうか。

例:ご利用のルーターのログ、プロバイダーのログ など

また、ご申告の「200件/90分のアクセス」が発生した際に、ウイルスバスターにより検出がありましたでしょうか。

----------------------------------------------------------  

■ご質問3
ネットワーク攻撃(アタック)の場合、プロバイダーへ報告、以外のセキュリティー対策はどの様なものが考えられますか?

■ご回答3
ウイルスバスターには「脆弱性対策/ 不正侵入防止」機能が搭載されています。
この機能により「Java」や「Adobe Acrobat Reader」が 最新版にアップデート可能な場合に、アップデートを促すためにポップアップが表示されます。

下記ページにてウイルスバスター クラウドの機能一覧が掲載されていますので、あわせてご参照いただければ幸いと存じます。

機能一覧

----------------------------------------------------------  

■ご質問4
ルーター(モデム)設定は検出以降に強化(パケットフィルタ・SPI・IPポート変換等)設定変更しましたが、概ね200件/70分のログが確認されます。

最適な対応方法(プロバイダーへ報告)、御社製品で『ネットワーク攻撃(アタック)』防御対応としてお勧めされるモジュールは『ウィルスバスタークラウド』以外にありますでしょうか。

■ご回答4
弊社製品「ウイルスバスター for Home Network」は家庭のネットワークに接続するデバイスへの攻撃や有害サイトへのアクセスから防御することができます。

ウイルスバスター for Home Networkの機能について以下ページにて紹介していますので、よろしければご参照ください。

この製品でできること-ウイルスバスター for Home Network

----------------------------------------------------------  

何かご不明な点や問題があれば、お気軽にお返事ください。
よろしくお願いします。
(編集済み)
suzaku の写真

suzaku

  • 654 ポイント 500 badge 2x thumb
 トレンドマイクロ_W, Employeさん
こんにちは。
長い間ご無沙汰しております(小生インフルにつきお休みを頂戴しておりました)

さてお返事ありがとうございます。
■回答1
お教えいただいた情報より、ご認識のとおり、該当検出はウイルスバスターにより悪意のあるコードがネットワークやマシンを通過したことを「MS04-007_ASN_EXPLOIT」として検知し、それをブロックした記録でございます。
また、最新の日付にて検出がなければ、お使いのコンピュータのセキュリティ上には特に問題ありません。 
もし不安などがありましたら、弊社で調査することは可能ですので、その旨をお返事ください。

〇1:了解です:一先ず安心しました。

■回答2
恐れ入りますが、いただいたセキュリティログについて、適切なご案内を差し上げるため、よろしければセキュリティログの詳細についてお教えいただけませんでしょうか。

例:ご利用のルーターのログ、プロバイダーのログ など

〇2:了解です:ルーターログは提出先が分かれば送信可能です。(URL又はメール送信msgファイル添付はテキストor変換後Pdfにて可能)
:プロバイダーのログは申請しましたが却下されました。現在のところ入手困難です。

また、ご申告の「200件/90分のアクセス」が発生した際に、ウイルスバスターにより検出がありましたでしょうか。

〇3:現在「200件/60分のアクセス」が発生してますが、ウイルスバスターによる検出は、1回(MS04-007_ASN.1_EXPLOIT-2)12月に検出がありました。
画像


他の画像


上記のように『ランサムウェア』検出も行われていて、ウィルスバスターの稼働状況は正常稼働であると思慮されます。

■回答3
〇4:当方ウィルスバスターの機能については、一応熟知していますが管理者変更時には、該当サイトを参照するように引き継ぎ致す所存です。

機能一覧

■回答4
弊社製品「ウイルスバスター for Home Network」は家庭のネットワークに接続するデバイスへの攻撃や有害サイトへのアクセスから防御することができます。

ウイルスバスター for Home Networkの機能について以下ページにて紹介していますので、よろしければご参照ください。

この製品でできること-ウイルスバスター for Home Network

〇5:当方for Home Networkの導入について検討していますが、Windows10のバージョン:1709の機能更新サポートが、記憶によれば来年(2019年)の春まで?、その後は否応なくバージョン1803or1809への更新が必要となり、その際のネットワーク構成(イントラネット:ホームネットワーク)が、現行1803以降のバージョンで不可?、ネットワーク接続機器(ハードウェア)変更が必要(既定設定)になれば、
この製品でできること-ウイルスバスター for Home Network

for Home Networkのハードウェア&ソフトウェアの導入はネットワーク接続機器(ハードウェア)変更と同時に行う必要性は進言している処です。

サポート頂ける案件がありましたらよろしくお願い致します。

今日の処は以上となります。

トレンドマイクロ_W の写真

トレンドマイクロ_W, Employee

  • 270 ポイント 250 badge 2x thumb
こんばんは。
お返事ありがとうございます。

はじめに、ルータやプロバイダーのセキュリティログには検出がありますが、ウイルスバスターのセキュリティレポートには該当検出が見当たらない場合は、ウイルスバスターにより検出される前、既にルーターやプロバイダーのセキュリティ機能によりブロックされた可能性がございます。

ルータやプロバイダーのセキュリティログについては、弊社では他社製品の検出ポリシー等などの詳細情報を持ち合わせていないため、ご申告の「200件/90分:のアクセス」または「200件/60分のアクセス」との現象について適切な案内を差し上げかねます。

ルータやプロバイダーのセキュリティログにご不明な点がございましたら、一度提供元にお問い合わせいただくことをおすすめいたします。ご不便をおかけしますが、何卒ご理解・ご了承ください。

また、12月4日に「MS04-007_ASN_EXPLOIT」及びランサムウェアの検出についてですが、いただいたセキュリティレポート画面より、既にウイルスバスターに処理されたと確認いたしました。

ウイルスバスターにより処理済みで、現時点でお使いのコンピュータは正常に動作している場合は特に問題ありません。

もし不安などがありましたら、弊社で調査することも可能ですので、調査をご希望の場合は、その旨をお返事くださいね。

---------------------------------------------------------- 

このたびはウイルスバスター for Home Networkの導入をご検討いただきありがとうございます。

ウイルスバスター for Home Networkはルータに接続し、スマホ用管理アプリ上で設定することで本体が接続したホームネットワーク内のデバイスを保護できます。

誠に恐縮ですが、お問い合わせの「ネットワーク構成やネットワーク接続機器の変更」については、より正しく問題を把握した上で、適切なご案内を差し上げたく存じますので、詳細をお教えいただけませんでしょうか。

もしくは、弊社オンラインショップでは購入のご相談も承っておりますので、よろしければご利用ください。

セキュリティソフトのご相談

---------------------------------------------------------- 

何かあればお気軽にご返信ください。
よろしくお願いします。
(編集済み)