第21回「情シスに報告だ!!」
「お前、何か隠してるだろ?」「……ごめんなさい! さっきからPCの調子がおかしくて」――。
2007年10月30日 19時02分 更新
研修で教えてくれない!:
http://www.itmedia.co.jp/bizid/articles/0710/30/news098.html
バックナンバー
第22回「デジカメ画像のExif情報を消す方法」
第21回「情シスに報告だ!!」
第20回「メールにファイルを添付するときの“作法”」
第19回「データ別送付方法」
第18回「PGP? S/MIME? 電子署名の違いを学ぶ」
第17回「メールにファイル添付を忘れないためのテクニック」
第16回「Wordファイル作成者が丸見え──メタデータも削除した?」
第15回「外出先でもご用心」
第14回「“プリントアウトしっぱなし”対策を考える」
第13回「“やましい”と思われてもケータイをロックするべき?」
第12回「グループ共有パスワードの管理、どうしてる?」
第11回「USBメモリの安全な使い方」
第10回「転送のはずが返信に──起こりがちな“メール誤返信”の対策」
第9回「出張で教えておきたい連絡先、覚えておきたい連絡先」
第8回「ブログやSNS、不用意に会社のことを書いてませんか」
第7回「情報漏えい事故発生、そのとき」
第6回「情報漏えい防止は日常の生活習慣から」
概論編「なぜセキュリティ対策する必要があるのか」を再考する
第5回「使いたいソフトを勝手にインストールしてはダメ?」
第4回「セキュリティポリシーは何のため?」
大手総合商社のメデア商事。営業部3課の新人・小林ケンタはPCを前に必死で何かしているようだ。その切迫した様子に、課の先輩・高柳ワタルが心配になって近づいてきた。
高柳 何だか血走ってる感じがするけど、どうしたんだ?
小林 えっ、あっ、いや、何でもないんですけど……。
あまりの狼狽振りに、小林に何かあったのは明らかだ。
高柳 お前、何か隠してるだろ? 隠さず正直に言え。
小林 ……申し訳ありません。さっきからPCの調子がおかしくて……。
高柳 おかしいって、どうおかしいんだ?
小林 異常に重くって、[Ctrl]+[Alt]+[Del]もきかなくて……。
高柳 ちょっと見せてみろ。
高柳は小林のマウスをいじってみた。確かにほぼフリーズしている状態である。
高柳 何があったんだ?
小林 お客様からのメールに添付されていたファイルを開いたら、こんなことになっちゃって……。ちゃんとウイルス検知ソフトでチェックしたんですけど……(泣)。
高柳 う~ん、必ずしもウイルス検知ソフトが100%検知できるとは限らないからな……。取りあえずLANケーブルを抜いて、情シス(情報システム部)に連絡しよう。
今回の場合、ファイルを開いたとたんに異常な動作を起こしたことから、何らかのマルウェアに感染した可能性が極めて高い。その場合、2次感染を防ぐために、LANケーブルを抜いて、ネットワーク接続を物理的に切断する。また、無線LANを使用している場合は、PC側の無線LANのハードウェアスイッチを切る、もしくは無線LANのPCカードを抜く。感染したPC本体の被害が拡大する可能性もあるが、このような場合は2次感染を防ぐことを優先すべきである。
以降は各企業・組織のセキュリティポリシーにもよるが、感染したPCの電源は落とさないでおこう。PCの電源を切ってしまうと、メモリのみに感染したマルウェアの場合は、感染の痕跡がすべて消えてしまう可能性があるからだ。
その後、情報システム部の調査で、確かに小林のPCはマルウェアに感染していたことが分かった。被害が社内に広がらなかったのは“普通の感染”ではなかったからだ。既存のアプリケーションなどとの相性の問題で、マルウェア自体が異常動作を起こしていたのである。その結果、小林のPCがフリーズ状態になっていたというわけだ。つまりマルウェアが本来のマルウェアとしては動作せず、そのため2次被害を生まなかったのだ。
高柳 取りあえず、不幸中の幸いだな。
小林 一時は本当に生きた心地がしませんでしたが、これでひと安心です。
高柳 それにしても今回はたまたま運が良かったが、今回のお前の行動はちょっとまずいぞ。
小林 お客様のメールだからと安心して開いてしまったのは反省しています……。
高柳 それも問題と言えば問題だが、さほど深刻じゃない。ちゃんとウイルスチェックはしたんだろ?
小林 はい。
高柳 今回はお客様のメールを騙ったメールだったわけだし、ウイルス検知ソフトでも検知できなかったんだから、感染してしまったこと自体は仕方がないことだし、それを責めるつもりはないよ。俺が問題にしているのは、その後の行動だ。異常に気が付きながら、1人で何とかしようとして隠しただろ?
小林 !!
ボットと呼ばれるウイルスをはじめ、近年のマルウェアは、日々「バージョンアップ」する。そのため、ウイルス検知ソフトの更新が追いつかないケースは少なくない。また未知(未修正)の脆弱性を悪用する、いわゆる“ゼロデイ攻撃”も増えてきており、これまで以上に「100%の安全」は存在しないという前提での「心構え」が必要なのだ。
ここで重要なのは、異常に気付いた場合「いかに速やかに対応し、2次被害をはじめとする被害拡大を最小限に防ぐか」ということ。そしてそのためには、非常時の対応手順をあらかじめ明確にしておく必要があるのだ。
具体的には、今回のようにLANケーブルを抜くなどして、ネットワーク接続を切断した後、情シスに連絡する手順(電話番号など)や連絡すべき項目をチェックリストにしておこう。
「PCが変だな?」と思ったときのチェックリスト チェック項目 備考
ネットワーク接続を切断する LANケーブルを抜く。無線LAN搭載PCの場合は、無線LANをハードウェアスイッチで無効にする。PCカードを使って接続している場合はPCカードを抜く
電源は落とさない PCの電源は落とさないでおこう。PCの電源を切ってしまうと、メモリのみに感染したマルウェアの場合は、感染の痕跡が全て消えてしまう可能性があるからだ
情報システム部に連絡 【平時】
情報システム部への連絡先をチェック(担当者氏名、携帯電話、メール)
【緊急時】
異常に気付いたのはいつか?
異常の原因と思われる操作をしたのはいつか?
どんな現象が起こったのか?
どんな操作をしたときか?
メールやWebサイトへのアクセスがきっかけとなったと考えられるか?
高柳 こうした対応手順はメモして目の前に貼っておくといいだろう。
