不正アクセス報告

いくつかお伺いしたいことがあります。
1) 全てのマシンは有線接続で無線接続環境は存在しない？
2) > 勝手にカーソルが動いている
Apple Remote Desktop？　下記のページを参考に「共有」の設定を確認してみてください。
VNC で遠隔操作 for Mac OS X 10.4 - さくらぷらすα日記
Apple Remote Desktopによる接続が許可されてたりしないでしょうか？
3) > インターネットを介してのWEBカメラなどが使えなくなりました。
これは、自宅に設置したWebカメラを自宅外から操作できるように
していたということでしょうか？
もしそうであれば設定したのはご自身で？　それとも業者？

おそろしいですね (´`;
インストールし直したとのことですが、ログインパスワード、メールのパスワードなどは全て第三者が推定しにくい複雑な英数字に変更してあるでしょうか。サイトのログインなどのパスワードも含みます。
以下のような相談窓口もあるようです。
http://www.npa.go.jp/cyber/soudan.htm
http://www.iajapan.org/hotline/consult/others/security.html

昭仁さま
早速のアドバイスありがとうございました。
ログインパスワードは以前は入力が面倒だったので4桁でしたが、この事件以来12桁にパワーアップしました。サイトのログインでは以前から８桁にしています。さらにMac miniのユーザー名も仮名にしました。ログイン画面では自分の名前が出てしまいますからね。この程度であれば安心といえるでしょうか？
相談窓口が分かりましたのでこれからはそちらにも連絡をするようにしたいと思います。ありがとうございました。

HALさま
ご質問に答えさせていただきます。
１）無線接続環境は存在しません。システム環境設定でMacAirは切りにしていました。
２）ご指摘の通り、最初はApple Remote Desktopの接続を許可にしていました。それで同じLAN内の他のMacを操作していました。しかし初回の不正アクセスの後にすべて不許可に変更しましたがそれでもアクセスされました。
３）WEBカメラはペットの様子を見るために１年半ほど前から使用していました。設定はルータの入力画面に従って自分で行いました。特に余計なことはしていなかったと思います。
さらにご不明の点がありましたらご指摘宜しくお願いいたします。

DDNSを使っているということは、外部からのアクセスを前提としてネットワークシステムを利用しているというわけですよね。だとしたら、外部からアクセス出来るポートをきちんと制限しないと不正なアクセスをされてしまうことがあります。
「小市民」といわれていますが、DDNSを利用していたらインターネットに於ける「小市民」では既になくなっていますので、お気をつけ下さい。
　また、DDNSを利用したサーバへの不正アクセスの影響は自分のマシンに限らず、他の人の迷惑にもなり得ますので、お互い気をつけましょう。

> ログアウトしてスリープさせていたはずのマックが不正にログイン
> しようとパスワードの入力画面になってヒントまで出ていた
外部からスリープを解除されたくないのであれば、システム環境設定
「省エネルギー」のオプションタブから"Ethernet ネットワーク管理
者のアクセスによってスリープを解除"をオフにしておけば、多少なり
とも防御になるのかもしれません。私の場合は、不使用のパソコンは
電源を切っております。
あと、私の不勉強で申し訳ないのですが、Apple Remote Desktop
（ARD）ではログイン画面での遠隔操作も可能？> ご存知の方々
できないと完全な遠隔管理ができないので、できるのではないかと
推測はしますが、ARDであればルータでそのポートを塞げば回避は
可能だとも想像します。共有側でARDを切ればよいのでしょうが、
念のために。
脅すつもりはありませんが、私はトピ元を拝見して、ネットワーク
越しでない使用の可能性が頭を過りました。例えば、ご家族の無断
使用とか。疑心暗鬼になられているところに、このことを書くこと
には私にも躊躇いがありましたが、思いついた可能性に敢えて言及
しないのどうかと思い、敢えて書きました。他者の直接利用があり
えないのであれば、この記述は無視してくださいm(_ _)m
#しかし、仮に他者が直接操作しているとしても、使用後にスリープ
#状態に戻しておかないのは、その人はちょっと***ではあります。
#触ったのがバレバレですから。

せきさま
アドバイスありがとうございます。
『外部からアクセス出来るポートをきちんと制限しないと』といったあたりの対応の仕方が今ひとつ理解できていないことが自分の問題点だと思っています。ポートを必要に応じて開ける、不必要に解放しないと言うことは分かっているのですが、実際にはどの様にしたらよいかが分からずじまいです。人の迷惑にならないようにこれから勉強したいと思います。
何か分かりやすい勉強の材料とかありましたら教えていただけないでしょうか。

つまりは、外部からマシンにアクセスできる状態でApple Remote DesktopをONにしていて、かつルータの設定も緩めてあったため外から誰でもあなたのマシンが操作できる状態にあったということでは？
ダイナミックDNSもApple Remote Desktopも使い方を間違えれば、簡単に外からのアクセスを許してしまうので導入は慎重に行う必要があると思います。

> WEBカメラはペットの様子を見るため
実際に該当する製品があるかは存じませんが、定期的に画像を自動で
送信する機能を単体で備える（Web）カメラがあれば、ルータの設定が
ガチガチでも実用に耐えるような気はします。
Webカメラの話ではありませんが、私の自宅の場合ですと、HDDレコーダ
への外出中の予約設定をメール経由で実施しています。使用しているHDD
レコーダが外部のメールサーバへ定期的にアクセスし、予約メールのみ閲覧
して設定に反映させる機能を持っているために可能な運用ですが、この場合、
ルータはメールを（送）受信できる条件を満たした設定で事足ります。

子持ちシシャモ様
アドバイスありがとうございます。
省エネルギーでの設定は早速実行させていただきました。気がつきませんでした。
ARDはログイン画面でも遠隔操作は出来ます。ポートを塞ぐと言うことはARDの使用は諦めると言うことになるのでしょうね。残念です。
最後にご指摘の身近な者の無断使用はあり得ない環境です。仕事部屋は生活圏と別にあり、事件のあった時間帯前後も自分以外は誰もいない状況でした。灯台もと暗しといいますからね、当然のご心配と思います。
触ったのがバレバレになっていたおかげで被害を広げずにすんだと思ってます。***な愉快犯なのでしょうか？本当に**たしいことです。
御親切なアドバイスに感謝いたします。

>立ち上げたはずのないソフトが開いており不思議に眺めていたら何と勝手にカーソルが動いているではありませんか！
不正アクセスで画面も動かしているとしたら、そのアクセスしている輩はかなり***です。普通の不正アクセスは、画面を見ていたぐらいでは分かりません。システムの中が変わっているかどうかをかなり丁寧に調べないと分からない事が多いです。不正アクセスの「プロ」なら、置くファイルも不可視にする、ログも改ザンして不正アクセス記録を消すなど、出来るだけ分からないようにします。
いずれにしても十分注意してください。
それから不正アクセスを受けたら、バックドアが開けられていると考えて、初期化再インストールは必須です。また、パスワードなども全部変更する必要があります。

全くおっしゃるとおりです。
自分の様な使い方は皆がやっていることで何とか安全に出来る者と考えていました。ショップに行ってもWEBカメラは当たり前のように売っていますし、どこでもMacも普及する時代になってきていましたので・・・
結局の所、インターネットを便利に使うと言うことはそれなりのリスクを背負わなければいけないと言うことなのですね。安全なリモート環境というのは難しいのでしょうか？今の自分の知識ではどうして良いやら困っています(^_^;)

はに様
ご指摘のように不正アクセスのプロはきっと分からないように仕掛けてくると考えています。そういう場合はどうやって確認すればよいのでしょう？
今回はすべて初期化再インストールしパスワードも変更しました。残念ながらその後もアクセスされたのですが最後の不正アクセスはログインされていないので、ここではシステムを変更されることは無かったと考えて良いのですよね。
ちなみに市販のセキュリティーソフトはこの様な事態には強い味方になりうるのでしょうか？ネットバリアなどををいれていれば安心できるものなのでしょうか？お教えいただければ幸いです。
ご指導ありがとうございました。

ご指摘のように今は定期配信に切り替えて使用するようにしました。
リアルな感じが無くとても寂しくなりましたが、安全には変えられないと思いました。
これからは子持ちシシャモ様のように安全性を重視した設定を実践していきたいと思います。
具体的なアドバイスありがとうございました。

> ポートを塞ぐと言うことはARDの使用は諦めると言うことになるのでしょうね。
ということは、普段外部からARDで操作していたということでしょうか？
普段使用しているリモートホスト側を誰かがイジっていたという可能性は？
普段外部から使用していたのであればポートを塞ぐ訳にはいかないし、そうなると砦はパスワードだけ？　簡単なパスワードにはしない、パスワードを定期的に変更するしか自衛策はない？
ルータとか、ファイアウォール系のソフトでリモートホストを制限する方法って何かあるんでしょうか？