ウイルスバスター クラウド(ウィルスバスター月額版・併用:4台PCの内1台が検出)をご利用のお客さま
ご利用のOS:Windows10・64:16299・755
ご利用のブラウザ:IE11(公開中アドオン:最新・含むC++)&グーグルchrome(最新)
パスワードマネージャーをご利用のお客さま
ご利用のブラウザ:(公開中アドオン:最新・含むC++)&グーグルchrome(最新)
ウィルスバスターの更新の際に以前の検出ログを再確認⇔質問を失念しておりました。
以下ログをテキストで抽出
日時,ウイルス名,送信元IPアドレス,送信元ポート,送信先IPアドレス,送信先ポート
2018/11/09 15:36,MS04-007_ASN.1_EXPLOIT-2,213.154.72.162,32648,220.105.88.192,445
この時はネットワーク接続状況下でコマンドを実行していました。
ブラウザは起動していない状況での検出です。
画像


マイクロソフト社のASN.1 ライブラリの脆弱性について
Copyright © 2018 Information-technology Promotion Agency, Japan(IPA)
https://www.ipa.go.jp/security/ciadr/vul/20040212-asn1.html
MS04-007_ASN.1_EXPLOIT(トレンドマイクロ社)
https://www.trendmicro.com/vinfo/au/threat-encyclopedia/archive/security-advisories/ms04-007_asn.1_e...
説明:
この脆弱性コードは、Microsoft Security Bulletin MS04-007で説明されているASN.1の脆弱性を利用するために使用されます。トレンドマイクロのInternet SecurityとNetwork VirusWallのユーザーは、Network Virus Pattern(NVP)10115以降を使用してネットワーク層でこの脆弱性を検出できます。
パッチ情報:
重要な注意点:
この検出は、マシンの脆弱性の検出ではありません。この警告が表示された場合、悪意のあるコードがネットワークやマシンを通過したが、トレンドマイクロではMS04-007_ASN_EXPLOITとして検出されたことを示しています。
※1)悪意のあるコードがネットワークやマシンを通過したがMS04-007_ASN_EXPLOITとして検出:ブロックしました~の認識で良いでしょうか?
※2)セキュリティログによると、概ね200件/90分:のアクセスが見受けられますが、ネットワーク攻撃(アタック)として認識が必要でしょうか?
セキュリティログ
宛先IPアドレスは消去(プライベートアドレス)2018/11(約:270件⇔200件/70分)
画像







※3)ネットワーク攻撃(アタック)の場合、プロバイダーへ報告、以外のセキュリティー対策はどの様なものが考えられますか?
※4)ルーター(モデム)設定は検出以降に強化(パケットフィルタ・SPI・IPポート変換等)設定変更しましたが、概ね200件/70分のログが確認されます。
最適な対応方法(プロバイダーへ報告)、御社製品で『ネットワーク攻撃(アタック)』防御対応としてお勧めされるモジュールは『ウィルスバスタークラウド』以外にありますでしょうか。
よろしくお願いいたします。
ご利用のOS:Windows10・64:16299・755
ご利用のブラウザ:IE11(公開中アドオン:最新・含むC++)&グーグルchrome(最新)
パスワードマネージャーをご利用のお客さま
ご利用のブラウザ:(公開中アドオン:最新・含むC++)&グーグルchrome(最新)
ウィルスバスターの更新の際に以前の検出ログを再確認⇔質問を失念しておりました。
以下ログをテキストで抽出
日時,ウイルス名,送信元IPアドレス,送信元ポート,送信先IPアドレス,送信先ポート
2018/11/09 15:36,MS04-007_ASN.1_EXPLOIT-2,213.154.72.162,32648,220.105.88.192,445
この時はネットワーク接続状況下でコマンドを実行していました。
ブラウザは起動していない状況での検出です。
画像


マイクロソフト社のASN.1 ライブラリの脆弱性について
Copyright © 2018 Information-technology Promotion Agency, Japan(IPA)
https://www.ipa.go.jp/security/ciadr/vul/20040212-asn1.html
MS04-007_ASN.1_EXPLOIT(トレンドマイクロ社)
https://www.trendmicro.com/vinfo/au/threat-encyclopedia/archive/security-advisories/ms04-007_asn.1_e...
説明:
この脆弱性コードは、Microsoft Security Bulletin MS04-007で説明されているASN.1の脆弱性を利用するために使用されます。トレンドマイクロのInternet SecurityとNetwork VirusWallのユーザーは、Network Virus Pattern(NVP)10115以降を使用してネットワーク層でこの脆弱性を検出できます。
パッチ情報:
重要な注意点:
この検出は、マシンの脆弱性の検出ではありません。この警告が表示された場合、悪意のあるコードがネットワークやマシンを通過したが、トレンドマイクロではMS04-007_ASN_EXPLOITとして検出されたことを示しています。
※1)悪意のあるコードがネットワークやマシンを通過したがMS04-007_ASN_EXPLOITとして検出:ブロックしました~の認識で良いでしょうか?
※2)セキュリティログによると、概ね200件/90分:のアクセスが見受けられますが、ネットワーク攻撃(アタック)として認識が必要でしょうか?
セキュリティログ
宛先IPアドレスは消去(プライベートアドレス)2018/11(約:270件⇔200件/70分)
画像







※3)ネットワーク攻撃(アタック)の場合、プロバイダーへ報告、以外のセキュリティー対策はどの様なものが考えられますか?
※4)ルーター(モデム)設定は検出以降に強化(パケットフィルタ・SPI・IPポート変換等)設定変更しましたが、概ね200件/70分のログが確認されます。
最適な対応方法(プロバイダーへ報告)、御社製品で『ネットワーク攻撃(アタック)』防御対応としてお勧めされるモジュールは『ウィルスバスタークラウド』以外にありますでしょうか。
よろしくお願いいたします。