不正アクセス？　ワームに侵入されている？

長すぎて途中で切れていまいました。下が続きの文です。
私はネットワークに関して全くの素人で、上に挙げたログを問題として対処すべきなのか、それとも正常な動作とも知らずビクビクしているだけなのか、判断が付きません。どなたかこれらの問題についてアドバイスを頂けますと大変嬉しく思います。

どれも問題あるようには見えません。最初のはマック同士ということですが、ポート番号が変わっているということですが、変わっているのはどれでしょうか？3793/3806 の方でしょうか？49428 の方でしょうか？
2番目のは、port137 宛のパケットですから、windows 共有に関するものです。プリンタということですから、Windows プロトコルで通信できるかどうか試しているだけではないでしょうか。
3番目のは、外からとはいっても、port 80 宛（ウェブサーバ）です。このアドレス、17.83.254.38は apple discussion board のサーバアドレスです。このパソコンでディスカッションボードに書き込みでもしているのでは？
最初のが一番問題といえば問題かも知れませんが、同じ無線ラン内のマック同士ということで、多分何かのプロセスとは思いますが、怪しいものではないだろうと思います。此れ等のポートを使っているプロセスを調べれば怪しいものかどうか分かるのでは？
うちのでも、3805 が open になってました。これを lsof command でしらべると、microsoft excel のものでした。ということで、3793/3806は何か Office 関連では(Office が不正コピーの使用状況でもチェックしているとか)？

はに様
早速のご教示どうもありがとうございます。変化するポート番号ですが、両方とも変わっています。先に示したのは一部だけですが、いくつかの番号を何度か繰り返してアクセスしてきます。Officeが不正コピーのチェックをしているというのはありそうです。ただ、記憶している限りではOfficeが立ち上がっていないときにもログが残っていたような、、、。ポートを使っているプロセスを調べる方法は不勉強でよく知りません。自分でコマンドを勉強すべきですが、もし簡単に調べられるものでしたらその方法（Isof command?)をお教えいただけましたら幸いです。
二番目の件はやはりプリンタがコンピュータの所在確認か何かをやろうとしていると考えるのが良いようですね。少し安心しました。
三番目の件は、Appleのサーバでしたか！（苦笑）。たしかにAirMac Extremeの設定を変えてからはポート80を使った外部アクセスだけになったように思います（その前は明らかにポートスキャンと思えるものがありました）。しかし、全てのWeb閲覧の記録が残るわけでないですね。話が横道にそれますが、どういう条件でWebアクセスの記録がFWのログに残るのでしょうか？　それともしお手数でなければIPアドレスからアクセスしてきたコンピュータの情報を知る方法をお教え願えますでしょうか。アクセスしてきたIPアドレスがどこの国から来ているのかを調べるウィジェットは使っていますが、それ以上の情報がわかりません。皆さんの議論を読んでいると、アクセス元のコンピュータやネットワークを突き止めている例が多いようですね。私もアクセスを分析する方法を知って、自分で色々判断できるようになりたいです。お忙しいところ恐れ入りますが、よろしくお願い致します。

> ポートを使っているプロセスを調べる方法...
ネットワークユーティリティで Netstat のタグをクリックします。「現在のソケット接続の状態を表示する」がチェックされていることを確かめて、Netstat のボタンをクリックします。するとしたの窓に現在開いているポートが全て表示されます。これで目的のポートの状態をチェックできます。LISTEN になっていれば、そのポートを監視しているプロセスがあることになります。同じことはターミナルでもできます。ネットワークユーティリティで見ると、ポート番号の代わりにservice 名で表示されますが、これではよく分からないということなら、ターミナルで、
sudo netstat -an
とすると同じ情報が出てきます。ただし、n オプションを付けているので、全てポート番号で表示されます。n オプションを付けなければ、ネットワークユーティリティの出力と同じになります(というか、ネットワークユーティリティはこのコマンドを実行しているだけです）。
さて、調べたいポート(port_number とします)が現在たしかに開いていることが分かったら、
sudo lsof -i4[tcp/udp]:port_number
とすると(4 は ipv4 を意味してます。[tcp/udp] は省略しても構いません。使うときはtcp あるいは udp どちらかです)、そのポート番号を使っているプロセス番号(pid)を表示します。
pid が分かったら、ps ax とすると、pid とコマンドの一覧が表示されますので、この中から、その pid のプロセス名を調べます。これは、やはり lsof を使って
sudo lsof -p pid
とすると、先頭に９文字分だけプロセス名が表示し、そのプロセスが現在オープンしているファイルやソケットを全て表示します。先頭の９文字分しか表示しませんので、Office なんかだと、Microsoft としか表示されず、Microsoft の何？、という気分になりますので、ps ax から探す方がいいように思います。
> IPアドレスからアクセスしてきたコンピュータの情報を知る方法...
これは、DNS がきちんと登録されているアドレスなら、ネットワークユーティリティで Lookup を使えば調べられます。
あと、DNS を登録してないようなアドレス（スパム発信アドレスはほとんどそうです）の場合なら、whois サービス(例えば、JPNIC のhttp://www.nic.ad.jp/)を利用すればどこの国に割り当てられているアドレスか必ず分かります。JPNIC に登録されてないときには、APNIC（アジア）、ARIN（北米大陸）などのリンクがあるので、そちらで調べれば分かります。whois サービスもネットワークユーティリティから利用できます。ネットワークユーティリティは大変価値あるツールです。

はに様
どうもありがとうございました。早速教えていただいた方法を試してみました。その結果、ログに載っていたポートはやはりOfficeが使っていました。ポートNoが変わって見えたのは、WordやExcelが別々のポートを使っているためでした。これで一安心です。
ついでにかつてアクセスしてきたIPをWhoisとLookupで調べてみました（先にポート80以外からもアクセスがあった様なことを書きましたが、これも80から来ていました）。しかし、どのリストにも載っていないようで、少し判然としませんが、やはり不正アクセスはあったのかなという気もします。
いずれにせよ、色々な判断のために必要な情報を得る手段を少しだけ勉強できたのは収穫でした。お忙しいところ本当にありがとうございました。

Cetacea さん、とてもよい問題提起をされましたね。セキュリティに対する意識も高く結構なことです。
＞ファイアーウォールの設定ではMacのファイル共有
ご面倒でも、これは共有を使用するときのみに。
＞この不正アクセス（？）はMac同士だけで行われているようで
その時に稼動していたアプリケーションはなんですか？
iTunes？　他社製P2Pクライアントアプリケーション？VoIP インターネット電話を使用している場合は、そのソフトウェア名称。
＞無線LANボードで繋がっている二台のCanonプリンタからのアクセスが記録されています。
Canonプリンタ用のソフトウェアの仕様に関してお調べください。分からなければ、driverやエンジンの英文名称。そのプログラムはHP製の技術を使用しているかどうかも。このプリンターの名称。
＞（要はルータ経由で）使ってるにもかかわらず、それをすり抜けてプライベートアドレスまでアクセス出来ることが不思議です。
多くの方々は斯様な認識です。ルータの多くは残念ながらすり抜けられます--相手側のスキルと戦術次第。
---
核心部分をお答えする前に確認事項があります。それぞれの『中略』の箇所にあるべきログ情報が『中略』以前の行列の内容と類似していると解釈してよいですか？
例えば、
Nov 6 20:09:03 XX ipfw: 12190 Deny TCP 10.0.1.8:49429 10.0.1.5:3806 in via en1
の”49429”ハイポートまたはプライベートポート番号がランダムに続く。
次に、
Nov 7 11:35:18 XX ipfw: Stealth Mode connection attempt to TCP 10.0.1.5:49283 from 17.83.254.38:80
これらの類似行列が表示されていた時間帯内（厳密な）ではアップル日本の「discussions.info.apple.co.jp」Apple Discussions を閲覧していなかったと解釈してよいですか？少なくとも８分以上当該時間帯に会議室から離れて（接続を）いなかったかどうか。
あなたのパソコンはPowerBookですか？

安食達蔵様
ご返信ありがとうございます。たしかに、ファイル共有機能はいつも使うわけではないので、切っておいた方が安全ですね。ただ、部屋のメンバー全員がコンピュータの使い方に詳しいわけでも関心があるわけでもないので、使いたいときに簡単に使えるようにしておく必要がありそうです。Automatorでスクリプトができるかな？
その時に稼働していたアプリですが、ログは後から見るのと、数台のパソコンで何がその時に動いていたかを把握するのは困難ですので、残念ながら正確なことは分かりません。ただ業務用のソフトが中心ですので、インターネットを使うソフトウェアは基本的にはウェブブラウザしか使いません。メールソフトを使うのも今私が使っているiMacG5一台です。
プリンタはCanonLBP1310にNetHawkのN-111RFを積んでいます。ドライバはCanonのLIPS IVの最新ドライバ5.80です。HPの技術についてはよく分かりません。
ポート番号は、送り側のポートは同じ番号を10回弱使ってから一つ変えてまた10回弱試し、また一つ変わるようです。もしかしたらパターンはその都度違うかもしれません。先に挙げた例では数回で別の番号に変え、使う番号はいくつかに限定されていました。一方受け側（自分のコンピュータ）のポートはOfficeで使われているポートのいくつかに限定されていました。この件に関してはOfficeが不正コピーをチェックしているという線で間違いありません。
アップルのサーバの番号が表示されていた時間帯は、ディスカッションボードで丁度色々事前の調べをしていた頃です。またパソコンはiMacG5とiBookがあります。
今のところは、はにさんからのご指摘を受けて調べた限り、最初に挙げた3パターンのアクセスはそう問題になるアクセスではないように思っています。
ところで、ちょっと別の問題なのですが、ログの中にまた不思議なのを見つけてしまいました。どう考えても別のコンピュータのログが紛れ込んでいるのです。
Nov 7 18:33:35 XX ipfw: 12190 Deny TCP 10.0.1.4:1927 203.211.181.66:80 in via en1
この中で10.0.1.4は同じ無線ラン内にあるWinXP SP2のIPです。203.211.181.66はNTT関係会社が管理するあるホームページのWebサーバです。en1経由ですので内部ネットワークで使っているAirMac経由のアクセスの記録です。しかしこのログは10.0.1.5がIPのこのパソコンに関する記述ではないですよね？　ここで挙げたWebサーバだけでなく、いくつかのサーバについてこういうのが時々紛れています。うーん、フシギ。

> 別のコンピュータのログが紛れ込んでいるのです
これはおかしくも何ともありません。同じ無線ランアクセスポイントに繋いでるものは紛れ込むかも知れません。無線ランの場合どうなるのかよく知りませんが、有線でははっきりしています。
ハブが昔のタイプのいわゆるダムハブというタイプのものだと、同じハブに接続しているマシンのパケットはそのマシン宛のパケットでなくても拾えます(ネットワークインターフェースも promiscuous モードというモードにします)。スイッチングハブだとハブがパケットの行き先を制御しますので、こういうことはできません。このため、ダムハブに繋いでいる場合には盗聴は簡単に出来てしまいます。スイッチングハブの場合でも、高級なものはミラーポートを設定できます。ミラーポートを設定しておけば、やはり他ホスト宛のパケットを拾うことが出来ます。もちろんこれは盗聴のためではなくて、機器の保守やネットワークの管理のために用意されている機能です。こういう機能を利用すれば、ネットワークに一台のパケット監視用のコンピュータを用意するだけでネットワーク全体に接続されているホスト全部のウィルスやワームの活動を監視できます（ネットワークにパケットを出すものだけですが）。
無線の場合、ホスト１台毎に異なる暗号化をするわけではないので、同じアクセスポイントに繋いでいる限り、他ホスト宛のも拾ってしまうのではないでしょうか。ダムハブと同じ状態になっていると思っていいのでは？

はに様
なーるほど！　AirMac（という無線ラン全体？）の仕様によるものですか。意外なところに落とし穴があるものですね。この部屋の場合は内部のネットワークですから問題ありませんが、これは公衆無線ランだと結構こわいことかもしれませんね。同じアクセスポイントにつないでいる限りは暗号化も必ずしもあてにはならないのかも？

●一番目のログ
波状型ポートスキャンです。通常はMalwareまたは任意のリモートコード埋め込みを前提とした偵察スキャンです。Firewallのしきい値を超える無効パケットがくるため、Apple Firewallがこれらを破棄（Deny）しています。

●二番目のログ
CanonLBP1310用のネットワークドライバNetHawk N-111RFの振る舞いを調査してください。これはMac OS X 10.4.xに完全互換ではありませんので、プリンタドライバがバックグランドで稼動しているときなどにMac OS X 側のFirewallが反応しているかもしれません。（UDP自体、少し腑に落ちませんが．．．）手順について（必要なら取説ご参照）：
１．プリンタ設定内容を印刷（事前にオンラインボタンをオフラインに変更）
２．TCP/IP、Netware、AppleTalk、SMB、SNMT、ARP/ping、BootPなどのEnable/Disable状態を確認。
３．TCP/IP以外のプロトコルを一つずつ無効にしてはプリンタを稼動させ、Mac OS X側のFirewall反応を見る。
４．ログが依然として出る場合は、Mac OS X 10.4.8側のシステム設定「共有」のAdvanced（日本語相当わかりません／？マーク左上）を空けて、UDP検知を無効にして再現性検証します。
以上で答えが出ない場合はキャノンのNetHawk担当またはアップル日本へご相談ください。但し、プリンタが原因であれば、このFirewall反応は無視できるレベルと判定します。
●三番目のログ
「discussions.info.apple.co.jp」へアクセスするとFirewallが斯様に反応する場合があります。Windowsマシンでアクセスすると、本来はNetwork向けサブシステムWindows Logon（winlogon.exe）のコンポーネントsvchost.exeが応対すべきなのに、Discussionsサーバに限り、システムとの通信を要求します。私はこれらが嫌でWindows/Mac機ともにこれらの回避を講じています。接続中のログということですので無視できるレベルです。但し、接続が終了したにも係わらず当該サーバからパケットが飛んでくる場合は、事情／シナリオは異なります。
●Nov 7 18:33:35 XX ipfw: 12190 Deny TCP 10.0.1.4:1927 　203.211.181.66:80 in via en1
この無効なIPパケット受信時間が203.211.181.66へのアクセスが済んだ後であれば、W32.Spybot.FCDワームの亜種をそちらのLAN上のWindows端末へ埋め込もうとした疑いがあります。呼称はベンダーにより異なりますが、W32.Spybot.XXXというワームは多いです。根拠は次のとおりです。一方、当該Webサイトへのアクセス中のインシデントであれば、必要に応じて先方のネットワーク責任者へメールで調査依頼をすればよいでしょう。
１．私は特定テストのため、203.211.181.66へ１８時３０分ごろ２つの異なるＯＳプラットフォーム端末からアクセス（日本国内および海外のノードから）しましたが、Apple ipfwおよびWindows Firewallの版の反応はなかった。着信パケットはセッション数が多く冗長であるが正常。
２．TCP/1927番はこの種のワーム感染に利用されるポート。
３．一番目および三番目のログのシナリオも考慮。
４．DNSクエリなどに代表されるフットプリンティングーー＞ポートスキャンによる偵察ーー＞列挙ーー＞攻撃という手口に酷似。但し、フットプリンティングと列挙のない場合も多い。
５．ネットワークを意識したW32.Spybot.FCDワームの亜種、IRC 系ボット、TCP/29番やUDP/69番ポートに偽のFTPサーバをつくりKIBUV.Bワーム（IRCやFTPサーバを介して広がる自己増殖型ワーム）を稼動させられるという被害が最近３ヶ月間で連日のように急増／拡散している。
W32.Spybot.FCDワームとは：
ネットワークを意識したワームでセキュリティ上の脆弱性のある端末が狙われる。不用意に空けられたポートを介して埋め込まれる。目的は第三者ホストやネットワーク（１６ビット）への小規模なDoS攻撃、不正なポートスキャン、キーボードに打ち込む入力情報を悪意ある仕掛け人へ転送。バックドア（例：UDP/69番ポート）を仕掛けられる場合がある。２つのMalwareは目的が共通しています。
参考Webサイト例：
http://www.symantec.com/security_response/writeup.jsp?docid=2004-101912-5125-99
注：Mac OS XはこれらのMalwareの影響を受けません。但し、ポートスキャン攻撃はＯＳを選びません。
Windows機使用中のお部屋の同僚の方々にはセキュリティの監査実行を提案されるとよいでしょう。「Microsoft Baseline Security Analyzer」や内部プロセス監査ツールなどで検証も一考です。具体的な方法がわかりにくい場合はお申し出ください。また、「管理ツール」内の不要なサービス（ローカル）を可能な限り無効にすること、ローカルセキュリティポリシーの構築をすることにより、攻撃目標から除外される傾向があります（ポートスキャンは別問題）。いずれも難しくはありません。
補

安食達蔵様
いろいろと可能性をご検討していただきまして、大変ありがとうございます。
Officeの不正コピー検知のアクセスについては、ある方法で（済みませんが不法行為を教唆してしまう可能性があるので書けません）実際に問題のポートを使いながら稼働していることを確認しました。やはり最初のログは問題ないという結論です。
2番目のログも多分問題ないと思いますが、自分で調べるよりもCanonにどういう挙動があるのか聞いてみた方が早そうです。今度聞いてみます。
関係ないコンピュータのログに関する件ですが、件のWinXP SP2機をウイルスチェックしてみました（時間かかった、、、）。結果シロで、ワームは棲んでいないようです。
全く、不心得者が世の中にいるせいで、ビクビクしながら本来無用な時間を使わなければならないという、残念な状況に嘆息します。一方で、初心者にもわかりやすく適切な方法をアドバイスしてくださるはに様や、わずかな可能性も考慮して調査までしてくださる安食様のような方々の存在に助けられ、大変感謝しております。どうもありがとうございました。