ローカルポート 3389に対するNorton Anti Virusの警告についてのメモ

状況 §

　出先から、ノートパソコンのWindows XPよりPIAFSのアクセスポイントへダイヤルアップ中。

　Norton Anti Virusにより接続を受け入れるかどうかの警告が表示された。

　何を問われているか分からなかったので、そのまま放置し、後で調査を実行。

警告内容詳細 §

日付 2005/05/13

時間 12:20

パス C:\WINDOWS\system32\svchost.exe

ファイル名 Microsoft Generic Host Process for Win32 S...

ローカルアドレス (略)

ローカルポート 3389

リモートアドレス (略)

リモートポート 2814

プロトコル TCP

調査結果 §

　ローカルポート 3389は、リモートデスクトップなどで使用しているポートと思われる。

　ダイヤルアップ中に、リモートデスクトップへの接続を試みた者が誰かいる可能性がある。

　そのような人物に心当たりはなく、また、DHCPでその場でもらったIPなので、「このマシンを狙い撃ちにしたアクセス」とは考えられない。

接続を許可した場合のインパクト §

　仮に接続を許可しても、マシンの認証をクリアできなければマシンの制御権を奪うことはできない。また、制御権を奪う行為は、ローカルマシンの画面上でおそらくはすぐに分かってしまう。

　よって、重大なインパクトは存在しないと推定。