スキャン時の挙動

先日、私が所属している組織の職員が、Avastをウェブ広告から誤ってDLしてインストールの上実行しまして、その直後に、組織のネットワークに配置されているUTMから、管理コンソールへのログイン試行+失敗が複数回立て続けに起こっているというアラートが飛びました。
UTMの管理コンソールには内部ネットワークからしか接続できず、かつ、内部ネットワークにはVPNの設定もないため、内部の端末で変なプロセスが動いているのか?とちょっとした騒ぎになったのですが、ssh接続を試行している端末を特定したところ、当該試行の直前にAvastの無料版をインストールの上、実行していたことが判明した次第です。

Webで検索したところ、ネットワーク機器の弱い又はデフォルトのパスワードを検知するAvast ネットワーク インスペクターなる機能が含まれているようで、
https://support.avast.com/ja-jp/article/weak-default-password/#pc
イニシャルのスキャンの際に、ネットワーク機器に対してID admin/root で初期パスワードなしといった形のログインを試行したのではないかと疑っているのですが、このあたりの資料が見つかりません。
実際にAvastの無料プログラムの初期スキャンにおいてこのような挙動があるのか、ご存知の方がいらっしゃったら情報共有いただけないでしょうか。

こんばんは Toshio-1040 さん

ドキュメントとして明示してあるものは、FAQ記事以外では私の知る限りありませんが、ネットワーク・インスペクターにおいては、記載されたような動作をすることは事実かと思います。
過去事例より、ネットワーク・インスペクターを明示的に実行した場合のほか、「スマートスキャン」を実行した場合でも、同等のスキャンが行われます。

(過去事例)
「Login incorrect」のログが飛んでくる
https://forum.avast.com/index.php?topic=239888.0
※このころは、旧称の「Wi-Fi の検査」でした

ネットワーク・インスペクターにおいては、このほかにもDNSハイジャックの検査(著名なWebサイトのドメイン多数に対してDNSの名前解決を行う)、Wi-Fi のパスワードの検査(Wi-Fi 接続の場合)、PCのファイル共有/RDP等の検査(ポートスキャン相当)が行われている認識です。
完全な一覧はありませんが、下記FAQ記事にある程度の内容が記載されているようです。

ネットワークインスペクター - よくある質問
ネットワークインスペクターはどのような問題や脆弱性を検出しますか?
https://support.avast.com/ja-jp/article/network-inspector-faq/#pc

NONさま

過去事例等についてご教示いただき、まことにありがとうございました。非常に参考になりました。

また何かありましたらお越しください :slight_smile: