会社のルータのファイアウォールのログに時折記録されてたんだけど、運用上重大ではないと思って無視していた。
　
が、先日から複数のPCで「内部サーバには繋がるけど、外部に繋がらない」「pingは外部に通るけど、http他が通らない」という事象が発生。IPアドレスを変更すると普通にアクセスでき、IPアドレスを元に戻すと遮断される。ずっと放っておくと解消される時もあったり。
話を聞く限り、どうもルータのファイアウォールが遮断してるっぽい。試しにルータを再起動すると即解消されたので確かだろう。
　
ルータのログを見直すと、確かにその事象が発生する直前にそのホストからのSYNATTACKを受けた記録がある。
該当PCでウィルスその他のチェックをしても特に問題が見あたらないため、Windowsもしくは業務で使うアプリが攻撃と誤認される様な変な通信をしているっぽい。
ここ数日のログを見返すと、確かに攻撃と記録される発信元の社内PCは限られているので、なんらかのアプリ、なんらかの操作でそういう状況になるのだろうと思われるが、具体的にどのアプリが原因なのかまでは特定できてない。
　
応急処置として、ファイアウォールの内部側の設定を緩めに変更し（閾値を上げて感度を下げ）、関連するログの収集詳細度を上げておいた。次に同じトラブルが発生した場合は直ぐにログがメールで飛んでくるので、その時の発信元PCの状態を調べてみるしかない。
　
まあ、外に出て行く分には無視していてもかまわないんだけど、一応管理者として給料分の仕事はしないとなｗ
　
　
しかし・・・ルータやサーバやアンチウィルスソフトの管理をしていると、なんでこんな時間にこの人がログインしてるんだろうとか、仕事中になんちゅーURLに接続してんだよとか、なんかスゴく危険なメールを受け取ってるなとか、色々見えて困る・・・。実害無い分には黙殺するけどねｗｗｗ