ウェブシールドがarp-spoofingを検知する件について

[REDACTED]

個人ユーザーです。
Avastインターネットセキュリティを使用しています。

インターネットに接続開始した途端にAvastウェブシールド機能が

arp_spoofing
arp://〇〇-〇〇-〇〇-〇〇-〇〇-〇〇/ARP_Spoofing
\\.\GLOBALROOTSystem
ウェブシールド
接続を中止しました

と表示されることが、ここ1か月で数回ありました。

Arpスプーフィングとは、通信機器の偽装を行うことであることはネットで用語検索して分かりました。

技術的なことも調べていきたいのですが、
「arp://〇〇-〇〇-〇〇-〇〇-〇〇-〇〇/ARP_Spoofing」
とは何を示しているのでしょうか？
この部分から個人ユーザーで調べることができることはありますか？

また、この種類の検知ログはどこかに保管されますでしょうか？

もし分かりましたらば、
お教えください。

[NON]

こんばんは myuser1234 さん

arp_spoofing
arp://〇〇-〇〇-〇〇-〇〇-〇〇-〇〇/ARP_Spoofing
\\.\GLOBALROOTSystem
ウェブシールド
接続を中止しました

と表示されることが、ここ1か月で数回ありました。

このメッセージは初めて見ました。

「arp://〇〇-〇〇-〇〇-〇〇-〇〇-〇〇/ARP_Spoofing」
とは何を示しているのでしょうか？
この部分から個人ユーザーで調べることができることはありますか？

フォーマットから見ると、MACアドレスのように見えます。
警告が事実であれば(誤検知でないのであれば)、例えばWi-Fi のパスワードが弱いために無線LANのネットワークに侵入されているとか、ホテル等の共用ネットワークであれば同一回線上に不正なパケットを流しているユーザーがいるとか、そういったことが想定されます。
ただ、MACアドレスだけでは、大したことは調べられないかと思います。

また、この種類の検知ログはどこかに保管されますでしょうか？

ウェブシールドのログが記録されるかどうかは設定に依存しています。
以下の設定を確認し、ログが記録される設定になっているのであれば、下記ディレクトリに保存されているはずです。
Avast ユーザーインターフェース -> 設定 -> コンポーネント -> ウェブシールドの「カスタマイズ」 -> 報告・通知 -> 「ログファイルを作成する」が有効

ログファイルのパス

Code: [Select]

C:\ProgramData\AVAST Software\Avast\report

[REDACTED]

arp://〇〇-〇〇-〇〇-〇〇-〇〇-〇〇/ARP_Spoofingの〇〇を確認してみましたところ、
Macアドレスでした。ありがとうございます。
自分で調べられる範囲で確認していきたいと思います。
わからない点が再度出てきた際には、改めてスレッド立てたいと思います。


ログの保管についてですが、
設定は
「Avast ユーザーインターフェース -> 設定 -> コンポーネント -> ウェブシールドの「カスタマイズ」 -> 報告・通知 -> 「ログファイルを作成する」が有効」
になっていました。

「C:\ProgramData\AVAST Software\Avast\report」
のパスを確認しましたところ、
Avastフォルダまではたどり着きましたが、
なぜかreportフォルダがありませんでした。

原因として考えられるようなことはありますでしょうか？

追伸：ご案内頂いたAvast設定サイト、使わせて頂きます。

[NON]

「C:\ProgramData\AVAST Software\Avast\report」
のパスを確認しましたところ、
Avastフォルダまではたどり着きましたが、
なぜかreportフォルダがありませんでした。

原因として考えられるようなことはありますでしょうか？

C:\ProgramData は隠しフォルダです。C:\Program Files と間違えてはいないでしょうか？
隠しフォルダを表示するように設定を変更するか、直接パスを入力してアクセスしてみてください。

追伸：ご案内頂いたAvast設定サイト、使わせて頂きます。

こんな記事が欲しいとかのご希望があればどうぞ。

[REDACTED]

ログありました！！
ログ保管場所を「C:\Program Files」と間違えていました。

今後、ログも確認していきます。

arp-spoofingの件ですが、Avastの画面右上の 「問題と通知」を開くと、

「脅威を安全に処理しました。
はARP_Spoofingに感染していたため、接続を中止して安全を維持しました。」

上述のうち「はAPR」の「は」の前に何かファイル名が入りそうなのですが、上述の通りです。

と表示されています。そしてそのメッセージの右側に「OPEN CHEST」というボタンが表示されています。
このボタンをクリックするとウイルスチェスト画面に移動しますが、追加されたファイルはありません。

問題と通知に表示されているのみで、どのログファイルにも記録はされていませんでした。

[NON]

症状が発生したのはいつごろからでしょうか、2月12日のバージョン18.1.2326 のリリース以降でしょうか？
また、お使いのAvast のバージョンは何でしょうか。

2点確認をお願いします。

1. 「Wi-Fi の検査」機能で、同一ネットワーク上にある機器で、スキャンに応答するものの一覧を出すことができます。
この中で、記載のMACアドレスを持つ機器がいるかどうかご確認ください。

2. 今でもメッセージが出るのであれば、以下の設定を変更し、メッセージが出るか確認ください。
Avast ユーザーインターフェース -> 設定 -> トラブルシューティング -> 「エクスプロイト対策を有効にする」をオフ -> 再起動

[REDACTED]

最近Avast!をインストールしました。2月12日以降のことですので症状の発生も2月12日以降になります。

2点の確認について

1. 「Wi-Fi の検査」機能で、同一ネットワーク上にある機器で、スキャンに応答するものの一覧を出すことができます。
この中で、記載のMACアドレスを持つ機器がいるかどうかご確認ください。
→スキャンしました。記載のMACアドレスを持つ機器がいます。

2. 今でもメッセージが出るのであれば、以下の設定を変更し、メッセージが出るか確認ください。
Avast ユーザーインターフェース -> 設定 -> トラブルシューティング -> 「エクスプロイト対策を有効にする」をオフ -> 再起動
→3月5日と3月8日に症状が発生して以降、現在まで症状は発生しておりません。

[NON]

Wi-Fi の検査 で特に問題が見つからず、かつ再発が見られないのであれば、しばらく様子を見るでよいかと思います。
一時的な誤検知とか、定義ファイルのテストに当たっていた可能性も考えられますので。

現状では、類似事例が皆無なので、これ以上の推測は難しいです。
もし再発した場合には、スクリーンショットを撮っておいていただけると、例えば問い合わせをする際に使いやすいかと思います。