第21回「情シスに報告だ!!」:研修で教えてくれない!
「お前、何か隠してるだろ?」「……ごめんなさい! さっきからPCの調子がおかしくて」――。
大手総合商社のメデア商事。営業部3課の新人・小林ケンタはPCを前に必死で何かしているようだ。その切迫した様子に、課の先輩・高柳ワタルが心配になって近づいてきた。
高柳 何だか血走ってる感じがするけど、どうしたんだ?
小林 えっ、あっ、いや、何でもないんですけど……。
あまりの狼狽振りに、小林に何かあったのは明らかだ。
高柳 お前、何か隠してるだろ? 隠さず正直に言え。
小林 ……申し訳ありません。さっきからPCの調子がおかしくて……。
高柳 おかしいって、どうおかしいんだ?
小林 異常に重くって、[Ctrl]+[Alt]+[Del]もきかなくて……。
高柳 ちょっと見せてみろ。
高柳は小林のマウスをいじってみた。確かにほぼフリーズしている状態である。
高柳 何があったんだ?
小林 お客様からのメールに添付されていたファイルを開いたら、こんなことになっちゃって……。ちゃんとウイルス検知ソフトでチェックしたんですけど……(泣)。
高柳 う〜ん、必ずしもウイルス検知ソフトが100%検知できるとは限らないからな……。取りあえずLANケーブルを抜いて、情シス(情報システム部)に連絡しよう。
今回の場合、ファイルを開いたとたんに異常な動作を起こしたことから、何らかのマルウェアに感染した可能性が極めて高い。その場合、2次感染を防ぐために、LANケーブルを抜いて、ネットワーク接続を物理的に切断する。また、無線LANを使用している場合は、PC側の無線LANのハードウェアスイッチを切る、もしくは無線LANのPCカードを抜く。感染したPC本体の被害が拡大する可能性もあるが、このような場合は2次感染を防ぐことを優先すべきである。
以降は各企業・組織のセキュリティポリシーにもよるが、感染したPCの電源は落とさないでおこう。PCの電源を切ってしまうと、メモリのみに感染したマルウェアの場合は、感染の痕跡がすべて消えてしまう可能性があるからだ。
その後、情報システム部の調査で、確かに小林のPCはマルウェアに感染していたことが分かった。被害が社内に広がらなかったのは“普通の感染”ではなかったからだ。既存のアプリケーションなどとの相性の問題で、マルウェア自体が異常動作を起こしていたのである。その結果、小林のPCがフリーズ状態になっていたというわけだ。つまりマルウェアが本来のマルウェアとしては動作せず、そのため2次被害を生まなかったのだ。
高柳 取りあえず、不幸中の幸いだな。
小林 一時は本当に生きた心地がしませんでしたが、これでひと安心です。
高柳 それにしても今回はたまたま運が良かったが、今回のお前の行動はちょっとまずいぞ。
小林 お客様のメールだからと安心して開いてしまったのは反省しています……。
高柳 それも問題と言えば問題だが、さほど深刻じゃない。ちゃんとウイルスチェックはしたんだろ?
小林 はい。
高柳 今回はお客様のメールを騙ったメールだったわけだし、ウイルス検知ソフトでも検知できなかったんだから、感染してしまったこと自体は仕方がないことだし、それを責めるつもりはないよ。俺が問題にしているのは、その後の行動だ。異常に気が付きながら、1人で何とかしようとして隠しただろ?
小林 !!
ボットと呼ばれるウイルスをはじめ、近年のマルウェアは、日々「バージョンアップ」する。そのため、ウイルス検知ソフトの更新が追いつかないケースは少なくない。また未知(未修正)の脆弱性を悪用する、いわゆる“ゼロデイ攻撃”も増えてきており、これまで以上に「100%の安全」は存在しないという前提での「心構え」が必要なのだ。
ここで重要なのは、異常に気付いた場合「いかに速やかに対応し、2次被害をはじめとする被害拡大を最小限に防ぐか」ということ。そしてそのためには、非常時の対応手順をあらかじめ明確にしておく必要があるのだ。
具体的には、今回のようにLANケーブルを抜くなどして、ネットワーク接続を切断した後、情シスに連絡する手順(電話番号など)や連絡すべき項目をチェックリストにしておこう。
| チェック項目 | 備考 |
|---|---|
| ネットワーク接続を切断する | LANケーブルを抜く。無線LAN搭載PCの場合は、無線LANをハードウェアスイッチで無効にする。PCカードを使って接続している場合はPCカードを抜く |
| 電源は落とさない | PCの電源は落とさないでおこう。PCの電源を切ってしまうと、メモリのみに感染したマルウェアの場合は、感染の痕跡が全て消えてしまう可能性があるからだ |
| 情報システム部に連絡 | 【平時】 情報システム部への連絡先をチェック(担当者氏名、携帯電話、メール) 【緊急時】 異常に気付いたのはいつか? 異常の原因と思われる操作をしたのはいつか? どんな現象が起こったのか? どんな操作をしたときか? メールやWebサイトへのアクセスがきっかけとなったと考えられるか? |
高柳 こうした対応手順はメモして目の前に貼っておくといいだろう。
著者紹介 山賀正人(やまが・まさひと)
セキュリティ関連の話題を中心に執筆中のフリーライター。翻訳(英語、韓国語)やプログラミング、システム構築等コンサルなど活動は多岐に渡る。JPCERT/CC専門委員。Webサイトはこちら。
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 生成AIは検索エンジンではない 当たり前のようで、意識すると変わること
- VPNやSSHを狙ったブルートフォース攻撃が増加中 対象となる製品は?
- 大田区役所、2023年に発生したシステム障害の全貌を報告 NECとの和解の経緯
- “脱Windows”が無理なら挑まざるを得ない「Windows 11移行」実践ガイド
- ランサムウェアに通用しない“名ばかりバックアップ”になっていませんか?
- 標的型メール訓練あるある「全然定着しない」をHENNGEはどう解消するのか?
- HOYAに1000万ドル要求か サイバー犯罪グループの関与を仏メディアが報道
- 爆売れだった「ノートPC」が早くも旧世代の現実
- 「Gemini」でBigQuery、Lookerはどう変わる? 新機能の詳細と利用方法
- 攻撃者が日本で最も悪用しているアプリは何か? 最新調査から見えた傾向
ITmediaはアイティメディア株式会社の登録商標です。