Scribble at 2024-07-18 09:10:05 Last modified: 2024-07-18 11:08:58

添付画像

従業員に怪しいメールが送られてきた場合、セキュリティ担当者は、できる範囲で構わないので、ウイルス感染の可能性を調査しよう。調査の際に心掛けてほしいのは、できるだけ証拠を残すこと。セキュリティベンダーに調査を依頼する際、証拠がないと、感染の原因や被害の内容を調べるのが困難になる。

ウイルス感染でも「初期化」は厳禁

リモート・ワークで社員が遠方(それこそ海外とか)にいるとか、パソコンを調査のために放置すると代替のマシンがなくて業務が止まるとか、いやそもそも僕も含めて私物のパソコンで作業してる人だって多いわけで、2016年の記事だとはいえ、これはいかにも現実離れしたアドバイスだ。この当時でも、ネットワークから遮断したまま誰かが調べに行ったり、あるいは会社まで送付してもらうなんていう手続きで済むわけがないということくらい想像できたろうと思う。

つまり、このラックというセキュリティ会社の人物は、大企業のオフィスで発生したというケースしか思い描いていないのである。情報セキュリティのプロとしては、いかに大企業の情シスしか読んでいないであろうオンライン・メディアに掲載する記事だからといって、この迂闊さはやや深刻な大企業病だ。しかも、次のページは会員登録しないと読めないようだが、「最後はベンダーに頼む」などと書かれている。「ベンダー」? 何の? どうしてパソコンのトラブルで、ソフトウェア・ベンダーの東洋情報システムや日本ユニシスなどにデジタル・フォレンジックスの調査を依頼する必要があるのだろう。それこそ、この記事の著者が所属するラックのようなセキュリティ会社にデジタル・フォレンジックスを依頼するからこそ、初期化せずにパソコンを放置するのではなかったのか。それを機器のウイルス感染とは関係のないベンダーに丸投げするとは、いったいこの富田一成という人物は大企業の特殊な取引関係でしかものを考えていないのだろうか。

まず、ネットワークから遮断するのは当然だが、いまどき社内でも無線 LAN を使う場合があるわけで(フリーアドレスのオフィスなどは特にそうだ)、パソコン側から遮断することは必ずしも簡単ではない(デスクトップでも無線 LAN が有効になっていることすらある)。そういう具体的なケースを想定した手順を書かない限り、「ネットワークから切る」なんて言っても誰も動いてはくれない。特に相手がリモート・ワークしている場合は、電話で相手しても限界はあるのだから、やはり日頃からの社内研修などで、あるていどは自力で作業できるように伝えておくことが重要だ。ましてや、私物のコンピュータだとこっちは相手がどういう環境で使っているのかも分からないことがある。

次に、私物だろうと貸与物だろうと、重要なデータを DVD-R などに記録する。弊社の場合は業務で使うファイルは Dropbox に置く前提なので、特に会社から貸与したノート・パソコンには消えると取り返しようがないファイルなんて無いはずだ(Dropbox から回復すると多少は手戻りがあるくらいだろう)。私物だと巨大な動画ファイルが入っていたりするので時間はかかるかもしれないが、それは自分が使い慣れた私物のパソコンをリモート・ワークで使っているという便益を受けているのだから、その快適さには一定の責任が伴うわけで、データの待避や記録が面倒でも、その面倒さはこれまで自分のパソコンで気楽に仕事ができていた代償である。なん百ギガバイトであろうと、必要で大切なデータはさっさと待避することだ。僕も自宅のマシンを業務に使っているが、データは全て NAS や外付けの HDD に一定の時間ごとにコピーしている(僕はミラーリングは好まない)ので、何かあれば即座にパソコンを初期化できる。

そして、そのうえでパソコンをフォーマットする(初期化、工場出荷状態に戻す)。正直、中小企業で「フォレンジックス」が必要なのは、それこそ会社中のマシンが社内 LAN などで影響を受けたような場合だけだろう。もちろん、そういう場合は会社のルータを止めて全てのマシンを孤立させる必要があるし、たいていの中小企業では僕のような専任の実務家なんていないわけだから、出入りの事務機屋とかセキュリティの会社に相談する他にないだろう。

でも、実際にはそんなことをしている中小企業は多くないと思う。なぜなら、いまどきのウイルスというものは、感染していることすら表面的には分からないように動作するものだからである。よく、素人向けのオンライン記事などで、ウイルスに感染した兆候として、

・パソコンの動作が重い

・ファイルにアクセスできない(ランサムウェアならそうだろう)

などといったことが書かれているが、まずパソコンの動作が重くなるほど負荷をかけるウイルスなんて、いまや殆どないと思う。つまり、感染していることがそもそもわからないのである。たいていは感染してから潜伏期間をへて被害が出始めて、相当な範囲で被害が広がってから、やっと気づくといったところだろうし、いや大半の中小企業ではセキュリティ・ソフトも入れていないところが多いわけで、シグネチャやデータベースが更新されて気づくような機会がないという可能性も多い。

  1. もっと新しいノート <<
  2. >> もっと古いノート

冒頭に戻る


※ 以下の SNS 共有ボタンは JavaScript を使っておらず、ボタンを押すまでは SNS サイトと全く通信しません。

Twitter Facebook