ロシアへのvpnclient_x64.exeの通信

SoftEther VPN に関するご質問はこのフォーラムにお気軽にご投稿ください。
Post Reply
tomtan
Posts: 4
Joined: Wed Mar 19, 2014 11:50 am

ロシアへのvpnclient_x64.exeの通信

Post by tomtan » Sun Sep 06, 2015 12:29 pm

昨日来マルウェア対策ソフトAnti-Malwareが以下の警告ログを吐きvpnclient_x64.exeの特定の通信を遮断しています。
ロシア企業のサイトのようですが、vpnclient_x64.exeの規定の動作でしょうか?
OS:Windows 8.1 64bit SoftEther Client:Ver4.18 BUild 9570
ログ
Malwarebytes Anti-Malware
http://www.malwarebytes.org

Protection, 2015/09/06 9:17, SYSTEM, PERSONAL-02, Protection, Malware Protection, Starting,
Protection, 2015/09/06 9:17, SYSTEM, PERSONAL-02, Protection, Malware Protection, Started,
Protection, 2015/09/06 9:17, SYSTEM, PERSONAL-02, Protection, Malicious Website Protection, Starting,
Protection, 2015/09/06 9:18, SYSTEM, PERSONAL-02, Protection, Malicious Website Protection, Started,
Detection, 2015/09/06 9:18, SYSTEM, PERSONAL-02, Protection, Malicious Website Protection, IP, 195.2.252.157, 49195, Outbound, C:\Program Files\SoftEther VPN Client\vpnclient_x64.exe,
Detection, 2015/09/06 9:18, SYSTEM, PERSONAL-02, Protection, Malicious Website Protection, IP,
---

cedar
Site Admin
Posts: 1023
Joined: Sat Mar 09, 2013 5:37 am

Re: ロシアへのvpnclient_x64.exeの通信

Post by cedar » Sun Sep 06, 2015 5:50 pm

そのホストに接続しようとしているのでなければ、不正な通信と思われます。
DNS が攻撃されている可能性もあります。
VPN クライアントのログを確認してみてください。

tomtan
Posts: 4
Joined: Wed Mar 19, 2014 11:50 am

Re: ロシアへのvpnclient_x64.exeの通信

Post by tomtan » Mon Sep 07, 2015 12:01 am

ご返信有難うございます。まずは当方 VPN Client を利用して公開サーバーへの接続
のみで使用しております。

VPN Client のログは、C:\Program Files\SoftEther VPN Client\client_log以下で
よろしいでしょうか。ここには通信のログは記載されておりませんので別途ログファイルの
保管場所があるのでしょうか。

cedar wrote:
> そのホストに接続しようとしているのでなければ、不正な通信と思われます。

接続しようとしておりません。従って不正通信になるわけですね。

> DNS が攻撃されている可能性もあります。

Client のみの使用ですが参照しているDNS サーバーに偽装したアタックが当 PC 宛
てに来ているかもしれないということでしょうか。

> VPN クライアントのログを確認してみてください。

上述の通りで Client のログのみですが貼ります
2015-09-07 07:56:06.208 ------------------------------------------------------
2015-09-07 07:56:06.208 SoftEther VPN Client Version 4.18 Build 9570 (Japanese)
2015-09-07 07:56:06.208 Compiled 2015/07/26 15:19:27 by yagi at pc30
2015-09-07 07:56:06.208 SoftEther VPN Client エンジンを起動しました。
2015-09-07 07:56:06.348 設定ファイルを読み込んでいます。
2015-09-07 07:56:06.348 設定ファイルの読み込みが完了しました。
2015-09-07 07:56:06.348 ディレクトリ "C:\Program Files\SoftEther VPN Client" の監視を開始します。ディスクの空き容量が 8.00 GBytes 未満になった場合、このディレクトリのサブディレクトリ内に保存されているログファイルおよび設定のバックアップファイルを、古い順番に自動的に削除します。削除を開始するディスクの最小空き容量は、設定ファイルの "AutoDeleteCheckDiskFreeSpaceMin" 項目で変更することができます。
2015-09-07 07:58:58.027 新しい接続設定 "VPN Gate Connection" を作成しました。
2015-09-07 07:58:58.042 接続設定 "VPN Gate Connection" への接続処理を開始しました。
2015-09-07 07:58:58.042 接続設定 "VPN Gate Connection": 1 回目の接続動作を開始します。
2015-09-07 07:58:58.386 接続設定 "VPN Gate Connection": 接続が完了しました。セッション名: "SID-VPN-871-957604FF45"

tomtan
Posts: 4
Joined: Wed Mar 19, 2014 11:50 am

Re: ロシアへのvpnclient_x64.exeの通信

Post by tomtan » Mon Sep 07, 2015 6:54 am

少しプロセスの状態を見てみたのですが
1. servises.exe を親プロセスとするvpnclient_x64

2. explorer.exe を親プロセスとするvpnclient_x64
"C:\Program Files\SoftEther VPN Client\vpnclient_x64.exe" /uihelpで起動されている

の2つのプロセスがありました。ロシアへの通信はブロックされているのでどちらから発信されているのか
Process Explorer ではつかめませんでした。

一旦vpnclientをアンインストールしてインストールフォルダから消えているのを確認の上再インストール
しても症状は変わりません。やはり検出されていないウィルス感染でしょうか。

cedar
Site Admin
Posts: 1023
Joined: Sat Mar 09, 2013 5:37 am

Re: ロシアへのvpnclient_x64.exeの通信

Post by cedar » Mon Sep 07, 2015 8:15 am

VPN Gate サービスは、こちらにあるように全世界の利用者がボランティアとして
提供する中継サーバーを利用するものです。
http://www.vpngate.net/ja/about_us.aspx

VPN Gate サービスをご利用ということですが、ロシアにあるサーバーに
接続されているのではないでしょうか。

tomtan
Posts: 4
Joined: Wed Mar 19, 2014 11:50 am

Re: ロシアへのvpnclient_x64.exeの通信

Post by tomtan » Mon Sep 07, 2015 5:15 pm

そういえば一部のサーバーしか公開されていないんでしたね。運悪くマルウェア対策ソフトのリスト
と合致してしまったのかもしれませんね。お騒がせ致しました。

cedar wrote:
> VPN Gate サービスをご利用ということですが、ロシアにあるサーバーに
> 接続されているのではないでしょうか。

Post Reply