連載
» 2007年10月30日 19時02分 公開

研修で教えてくれない!:第21回「情シスに報告だ!!」

「お前、何か隠してるだろ?」「……ごめんなさい! さっきからPCの調子がおかしくて」――。

[山賀正人,ITmedia]

 大手総合商社のメデア商事。営業部3課の新人・小林ケンタはPCを前に必死で何かしているようだ。その切迫した様子に、課の先輩・高柳ワタルが心配になって近づいてきた。

高柳 何だか血走ってる感じがするけど、どうしたんだ?

小林 えっ、あっ、いや、何でもないんですけど……。

 あまりの狼狽振りに、小林に何かあったのは明らかだ。

高柳 お前、何か隠してるだろ? 隠さず正直に言え。

小林 ……申し訳ありません。さっきからPCの調子がおかしくて……。

高柳 おかしいって、どうおかしいんだ?

小林 異常に重くって、[Ctrl]+[Alt]+[Del]もきかなくて……。

高柳 ちょっと見せてみろ。

 高柳は小林のマウスをいじってみた。確かにほぼフリーズしている状態である。

高柳 何があったんだ?

小林 お客様からのメールに添付されていたファイルを開いたら、こんなことになっちゃって……。ちゃんとウイルス検知ソフトでチェックしたんですけど……(泣)。

高柳 う〜ん、必ずしもウイルス検知ソフトが100%検知できるとは限らないからな……。取りあえずLANケーブルを抜いて、情シス(情報システム部)に連絡しよう。

 今回の場合、ファイルを開いたとたんに異常な動作を起こしたことから、何らかのマルウェアに感染した可能性が極めて高い。その場合、2次感染を防ぐために、LANケーブルを抜いて、ネットワーク接続を物理的に切断する。また、無線LANを使用している場合は、PC側の無線LANのハードウェアスイッチを切る、もしくは無線LANのPCカードを抜く。感染したPC本体の被害が拡大する可能性もあるが、このような場合は2次感染を防ぐことを優先すべきである。

 以降は各企業・組織のセキュリティポリシーにもよるが、感染したPCの電源は落とさないでおこう。PCの電源を切ってしまうと、メモリのみに感染したマルウェアの場合は、感染の痕跡がすべて消えてしまう可能性があるからだ。


 その後、情報システム部の調査で、確かに小林のPCはマルウェアに感染していたことが分かった。被害が社内に広がらなかったのは“普通の感染”ではなかったからだ。既存のアプリケーションなどとの相性の問題で、マルウェア自体が異常動作を起こしていたのである。その結果、小林のPCがフリーズ状態になっていたというわけだ。つまりマルウェアが本来のマルウェアとしては動作せず、そのため2次被害を生まなかったのだ。

高柳 取りあえず、不幸中の幸いだな。

小林 一時は本当に生きた心地がしませんでしたが、これでひと安心です。

高柳 それにしても今回はたまたま運が良かったが、今回のお前の行動はちょっとまずいぞ。

小林 お客様のメールだからと安心して開いてしまったのは反省しています……。

高柳 それも問題と言えば問題だが、さほど深刻じゃない。ちゃんとウイルスチェックはしたんだろ?

小林 はい。

高柳 今回はお客様のメールを騙ったメールだったわけだし、ウイルス検知ソフトでも検知できなかったんだから、感染してしまったこと自体は仕方がないことだし、それを責めるつもりはないよ。俺が問題にしているのは、その後の行動だ。異常に気が付きながら、1人で何とかしようとして隠しただろ?

小林 !!

 ボットと呼ばれるウイルスをはじめ、近年のマルウェアは、日々「バージョンアップ」する。そのため、ウイルス検知ソフトの更新が追いつかないケースは少なくない。また未知(未修正)の脆弱性を悪用する、いわゆる“ゼロデイ攻撃”も増えてきており、これまで以上に「100%の安全」は存在しないという前提での「心構え」が必要なのだ。

 ここで重要なのは、異常に気付いた場合「いかに速やかに対応し、2次被害をはじめとする被害拡大を最小限に防ぐか」ということ。そしてそのためには、非常時の対応手順をあらかじめ明確にしておく必要があるのだ。

 具体的には、今回のようにLANケーブルを抜くなどして、ネットワーク接続を切断した後、情シスに連絡する手順(電話番号など)や連絡すべき項目をチェックリストにしておこう。

「PCが変だな?」と思ったときのチェックリスト
チェック項目 備考
ネットワーク接続を切断する LANケーブルを抜く。無線LAN搭載PCの場合は、無線LANをハードウェアスイッチで無効にする。PCカードを使って接続している場合はPCカードを抜く
電源は落とさない PCの電源は落とさないでおこう。PCの電源を切ってしまうと、メモリのみに感染したマルウェアの場合は、感染の痕跡が全て消えてしまう可能性があるからだ
情報システム部に連絡 【平時】
情報システム部への連絡先をチェック(担当者氏名、携帯電話、メール)

【緊急時】
異常に気付いたのはいつか?
異常の原因と思われる操作をしたのはいつか?
どんな現象が起こったのか?
どんな操作をしたときか?
メールやWebサイトへのアクセスがきっかけとなったと考えられるか?

高柳 こうした対応手順はメモして目の前に貼っておくといいだろう。

著者紹介 山賀正人(やまが・まさひと)

セキュリティ関連の話題を中心に執筆中のフリーライター。翻訳(英語、韓国語)やプログラミング、システム構築等コンサルなど活動は多岐に渡る。JPCERT/CC専門委員。Webサイトはこちら


Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ