No167 「あ!添付ファイル開いちゃった!」そのときすべきことは?
誰でも、怪しげなメールの添付ファイルを開いちゃいけないのは
よくわかっています。
開かないように注意することはもちろん大切なのですが、万一
開いてしまった時にはどうすればいいのでしょうか?
今回は、いざという時に取るべき手順について解説をします。
1. 思わず添付ファイルを開くとき
どんな方でも、忙しいとき、ふっと気を抜いたとき、他に気を
取られているときにはミスをします。
メールの添付ファイルでもそれが言えます。
普段なら、開かないように気を付けていても、うっかり開く場合が
あります。
もちろん、開いたからと言って必ずしもマルウェア(いわゆるウイ
ルス。詳細は文末参照)とは限りませんが、最悪のケースを考えて
おくべきです。
つまり、マルウェア感染のインシデント(事故)として行動をとる
ことになります。
2. 最初にすべきこと
最初に行うべきは、そのPC(パソコン)をネットワークから切り
離すことです。
マルウェアが動き始めるとネットワーク内のほかのマシンに感染を
広げよう(コピーを作ろう)とします。
感染を広げないためには、ネットワーク接続を切断した状態とする
ことが大切です。
ネットワークケーブルで接続している場合は、そのケーブルを抜く
だけでOKですが、無線で接続している場合は注意が必要です。
無線の場合は画面上で「切断」するだけではなく、無線機能をOFF
にしてください。
本当にネットワークが使えないことを確認するため、IEやChrome
などのブラウザを使って、Googleなどのページが表示できない
(エラーがでる)ことを確認しておくとより確実です。
次に、組織内のセキュリティ管理者に連絡をします。
特にセキュリティ管理者が決まっていない場合はネットワーク管理
者やIT機器の管理者でかまいません。
でももし、社内規定に反する行為の結果だったらどうしましょう?
黙ってこっそり対処という誘惑にかられますが、セキュリティ事故
ではこれは絶対にやってはいけない行動です。
素人が黙ってこっそり対処なんてできるはずがないんです。
むしろ被害を広げて、よりこっぴどく叱られるだけです。
ここは恥をしのんで、管理者への連絡を行ってください。
余談になりますが、報告を正確に短時間に行った場合には、多少の
ルール違反はお目こぼしがあっても構いません。
こういう運用は利用者が連絡しやすくなりますので、組織全体への
ダメージを軽減できます。
ネットワークからの切断、管理者への報告の二つは、感染の可能性
に気づいた時にスグに行ってください。
仮にマルウェア感染はなく誤報であったとしても問題はないから
です。
3. 次にすべきこと
まずは、落ち着いて冷静な対応をこころがけてください。
あわてたり動転していては正しい対応ができません。
そもそもあわてる必要などないからです。
まずは、コーヒーでも飲んで(お茶でもタバコでも)落ち着いて
行動がとれるように自分自身を律することが大切です。
さて、感染の可能性に気づいたら、その日は仕事にならないと
覚悟してください。
急ぎの業務がある場合は、関係者に連絡をし作業が遅れる
ことを伝えてください。
マルウェアの除去が確実に確認できるまでには、少なくとも
数時間はかかります。
その間、感染が疑われるPCは利用禁止です。それを踏まえて
業務調整を行ってください。
上述のセキュリティ管理者から指示があれば、それに従うのが
最優先です。
もしくは、組織にマルウェア感染時の対応マニュアルがあれば
それに従って作業を行ってください。
4. 慣れないことをするもんじゃない
ここまでで急いで対応しないといけない作業は実施済みです。
次は、感染が疑われるPC(パソコン)からマルウェアを除去する
作業に入ります。
ここで、慣れないことをすることになるわけですが、可能な限り
組織のルールに従って行動をしてください。ネットの情報をもとに、
個人の判断で行動をとることは非常に危険です。
例えば、「マルウェアの感染が疑われる場合は、マルウェア対策
ソフトのパターンファイルを最新にして再チェックをしましょう」
といった情報が見つかったりします。
ですが、せっかく最初にネットワークから切り離したのに、パターン
ファイルを更新のためにネットワークに再接続してはむしろ被害を
広げる可能性が高くなります。
また、「マルウェアの動作を検証するために検証サイトで動作確認
を行う」といった情報が見つかるかもしれません。
実際、マルウェアの動作検証用に隔離された状態でマルウェアを
動作させるサービスを提供しているプロ向けサイトがあります。
(any.runなど)
こういったサイトを一般の方は利用しないでください。
プロ向けだから素人お断り、というわけではありません。
使い方を間違うと組織内の秘密情報を漏洩させる可能性があるため
です。
このテのサイトは研究者たちの情報共有の場なので、発見したマル
ウェアは互いにダウンロードできます。
これはあなたがマルウェアかな?と思って検証したファイルも同様
で、他の人にダウンロードされる可能性があります。
もし、そのファイルに組織内の秘密情報を含む場合、自ら情報漏洩
をすることになり、組織の懲罰対象になりかねません。
どうしても外部の組織にチェックをしてほしいのであれば、購入済
のマルウェア対策ソフトのサポートデスクに連絡をして、確認して
もらってください。
余談となりますが、Windows10やWindows8では基本的なマルウェア
対策ソフトが標準でついてきますから、わざわざ有料のマルウェア
対策ソフトはいらない、という意見もあります。
ですがWindowsの提供元では専業メーカのような手厚いサポートは
期待できません。ですから、サポートを期待して有償のマルウェア
対策ソフトを導入するのは良い対策だと筆者は思います。
ネットでの情報検索は非常に便利で有用ですが、マルウェア感染の
ような危険な状態にある時には、ネット情報に踊らされることなく
組織内のルールに従ってください。
「慣れないことをするもんじゃない」なのです。
5. マルウェアの除去
次に行うべきは、感染が疑われるPCからマルウェアを除去する
作業です。
マルウェア対策ソフトが警告を出した場合は比較的簡単です。
この場合はマルウェア対策ソフトの機能でマルウェア除去が行え
るはずです。
ただし、これだけではまだ安心できません。
マルウェアが動作することでPC内のほかの場所にもコピーを
作っているかもしれないからです。
どこにコピーができているかわかりませんから、PC内のすべて
のファイルを確認が必要です。
マルウェア対策ソフトの「フルスキャン」機能を使いましょう。
PC内のすべての場所をチェックしてくれます。
これ問題が見つかればそれも除去し、見つからなくなるまで繰り
返します。
新たなマルウェアが見つからなければ、ひとまず安心です。
PCを再起動して、ネットワークに再接続します。
その後マルウェア対策ソフトのアップデートを行い、もう一度
フルスキャンを行います。
ここでしつこくフルスキャンするのは、最新の状態にしても
マルウェアが見つからないことを確認するためです。
これで、ようやく除去作業が完了となります。
6. マルウェア対策ソフトで検出できない場合
怪しげなファイルを間違って開いたが、マルウェア対策ソフト
が何も検出しなかった場合はどうすればよいのでしょうか?
新種のマルウェアに遭遇した可能性が十分にありますから、その
まま使い続けるというのはいけません。
この場合も利用者としてはセキュリティ管理者の指示に従うのが
最も正しい行動です。
セキュリティ管理者自身が経験がなく、明快な指示がもらえない
場合はどうすればよいでしょうか?
そんなのはセキュリティ管理者の職務放棄でけしからん話ですが、
指示が出ないのなら仕方がありません。
マルウェア対策ソフトのサポートデスクの指示を仰いでください。
おそらくは、対象となるファイルをマルウェア対策ソフトのメーカ
に送付して調査をしてもらうことになります。
調査依頼の回答を受け取るまでの数日はPCが使えません。
こんな時のために予備機(日常的には使わないPC)を購入して
おくことは有効なリスク対策となります。
7. 最後は完了報告
最後に組織内のセキュリティ管理者に完了報告をします。
この時に行った作業手順をできるだけ細かく報告書に書いておいて
ください。
こういった報告書の情報は組織のルール改善や手順書の改善に必須
の情報ですので、面倒がらずに書くようにしてください。
完了報告を上げることで、利用者としての対応がようやく終わりと
なります。
さて、今回は利用者として取るべき対応についてのみ書きましたが、
組織としての事故発生時のルールだとか、手順書など、セキュリティ
管理者が率先して定めるものがいろいろとあります。
次回はセキュリティ管理者の視点で、どういった準備をしておく
べきかについて解説を行います。
次回もお楽しみに。
このNoteは私が主宰するメルマガ「がんばりすぎないセキュリティ」からの転載です。
誰もが気になるセキュリティに関連するトピックを毎週月曜日の早朝に配信しています。
無料ですので、是非ご登録ください。
https://www.mag2.com/m/0001678731.html
この記事が気に入ったらサポートをしてみませんか?