「見えない」攻撃には事後対策を――Webからの脅威に早期対処したJSS(1/2 ページ)

JTB情報システム(JSS)は、2006年12月末に大規模なウイルス感染を体験。同社の事例からは、最新のWeb経由の脅威に企業がどう対抗するべきかのポイントが学び取れる。

» 2007年11月26日 18時07分 公開
[ITmedia]

 「二度とウイルス感染したくないというのが、正直な気持ち。しかし、今後Webからの脅威はさらに悪質化し、通常業務の中で知らぬ間に感染が広がってしまうのだろう」。11月26日にトレンドマイクロが開催した事例セミナーにおいて、JTB情報システム(以下、JSS)の執行役員グループIT推進室長の野々垣典男氏はWebからの脅威について、こう述べた。

画像 JTB情報システム 執行役員グループIT推進室長の野々垣典男氏

次々と現れる症状に「これまでとは違う」気配を感じる

 2006年12月末、JTB本社ビルは800台ものPCがウイルス感染するというセキュリティインシデントに見舞われた。最初の兆候は、12月20日の13時過ぎだったという。OutlookやOffice製品が正常に起動しないとの連絡があり、JTBの情報システム全般を担当するJSSは調査を実施、ウイルス感染を確認した。「当初は局所的なものと思い、LANケーブルを外して感染を予防したり、特定のファイルを削除するといった従来の対策を施した。「過去のNimda(ウイルス)などへの対処手順を適用すれば、それで終わると思った」(野々垣氏)。

 しかし、感染は止まらなかった。パターン化された対応を実施しても、症状は悪化するばかりだった。「今までとは違う、しつこさが感じられた」と話す野々垣氏たちは12月21日、早速社内に対策本部を設置、12月22日の金曜日には週末の集中対処体制に向けた人員の確保を行った。同時に、同社ですでに導入していたウイルス対策製品ベンダーのトレンドマイクロに支援を依頼し、迅速かつ確実なワクチンの提供も要請したという。

画像 JSSのインシデント対策手順

 23日の土曜朝には、120人のJSS社員がJTB本社ビルに集結した。そして、感染フロアごとの普及を図るチーム、トレンドマイクロとの連携窓口となって検体の提供などを行う技術サポートチーム、状況を把握し対策本部メンバーへの指示などを処理する事務局の3つのチームに分かれ、復旧作業に取りかかった。

 復旧チームは、フロアごとのPCでトレンドマイクロから提供された駆除ツールを実行し、1つでもウイルスが除去できないものには感染ウイルス名や内容などを明記した「カルテ」を添付し、本体を1カ所に集めた。治療に時間のかかるものと、すぐに治療できるものとに優先順位をつけることを「トリアージ(Triage)」という。JSSは軽症のPCから先に対応し、重症のPCを後でまとめて集中治療するというトリアージ方式で対策を実施した。対策方法や検体の提供などは、トレンドマイクロの24時間サポートとの連携にて随時行われた。

 こうして25日に通常業務を迎えるころには、75%のPCが復旧していた。なお、社員にはネットワーク接続の前にウイルススキャンを実行し、安全を確認してからLAN接続するよう書面で通達した。

 未復旧のPCについては、「OSの再起動を繰り返す」「突然IEが起動して中国語のサイトを表示する」「その他の症状」に症状を分類し、それぞれに適したパターンファイルをトレンドマイクロが作成、駆除を行った。「日中はトレンドマイクロ日本サポート本部と、深夜はニュージャージーのサポート本部と、まさに24時間体制で連絡が取れ、緊密な連携が行えたのも全面復旧の鍵の1つ」と野々垣氏は話す。

       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ