補遺編2 本来、セキュリティ対策はどうあるべきだったかにわか管理者奮闘記(8)(1/4 ページ)

» 2004年10月01日 00時00分 公開

 補遺編1では、本編第1回「それはある日突然に……」から第3回「突然、メールが届かなくなってしまった」までに沿った形で問題点を指摘し、どうあるべきであったかについて触れてきた。では、前任者がきちんと対策方法を制定し、ドキュメントを整備するといった形で中村君に業務を引き継いでいたとしたら、「奮闘記」はどのようになっていたか、ちょっと考えてみよう。

中村君、アナザーストーリー?

 中村君は社員100人ちょっとの小さな会社に、今年入社したばかりの新入社員だ。学生時代には高速な環境で3Dがぐりぐり動くゲームをするためだけにパソコンをいじり倒していた。おかげで少し使い慣れたところを見せただけでパソコンに詳しい人間と見なされてしまった。そして、ひょんなことから親しくなった実力派営業部長の「策略」にはまり、情報システムの面倒を見なければならなくなった。しかも、ある日突然に……。

 しかも中村君にとって最大の不幸は、本来、業務の内容や手順などを教えてもらうべき唯一の先輩が体調を崩してすでに入院してしまっていたということだ。しかも、中村君はシステムのお守りをすることなんて考えたこともなかったし、経験も全くない。当然、右も左も分からない。そのうえ、中村君の準備ができていないうちにワーム騒ぎが起きてしまった。「何だか分からないが再起動を繰り返したり、とにかく使えないんだ!」。社員の悲鳴ばかりが聞こえてくる。

準備され、整備されていた緊急対策手順

 しかし、中村君は慌てずに済んだ。それというのも、病に倒れた先輩の小野さんが「トラブルシューティング手順」というありがたいドキュメントを残しておいてくれたからだ。小野さんにはどうやら予知能力でも備わっていたらしく、その文書の中には「ワームが発生したら」というセクションがバッチリ存在していた。

「ワームが発生したら」 〜慌てず騒がずゆっくり冷静に!〜

 

0.ワームとは

 ワームの種類や感染手法にはさまざまなものがあるが、その中で脅威となるワームとは強力に感染しようとするものだけだ。しかし、ワームには動作が表に出てくるもの(OSが再起動を繰り返す、いろいろな動作が急激に遅くなる、動かなくなるなど)と、特に表立った症状を出さないものがある。

 表立った症状が出てくるものの場合は「ワームだ」と分かってからのトラブルシューティングになる。しかし、表立った症状が出てこない場合は「ネットワーク全体が重くなる」「ファイアウォールが重くなる」「サーバが重くなる」などの一般的な障害から類推していかなければならない。ネットワークトラブルの場合は、機器やケーブルなどのトラブルだけではなく、ワームによる障害なども疑ってかからなければならないことになる。

1.まずは感染拡大を防ごう

 とにかく感染拡大を防ぐことが重要になる。発生したワームに対し、ほとんどのパソコンに耐性がないかもしれない。ウイルス対策ソフトはパターン更新が間に合わない場合もあるため、過信してはいけない。

1-1 感染したパソコンの特定

 感染したパソコンが再起動を繰り返したり、非常に動作が重たくなったりするなど、目に見える症状があるものであれば対応は簡単だ。まず、そのパソコンを隔離する(1-3へ)。ただし、感染したパソコンがそれだけかどうかを慎重に、かつ、徹底的に調べなければならない。

 感染したパソコンは何も操作していないにもかかわらず、さらなる感染を狙って爆発的にネットワークにパケットを送信する(逆に、爆発的に感染を拡大しようとしないワームはあまり危険ではない)。そのようなパソコンを探り当てるにはネットワーク機器で通信量を調べ上げること。当社においては、日常的には通信量は少ない(図1)。通信量のグラフが大きく上回っている場合はその機器の付近のパソコンが怪しい(図2)。

図1 トラフィックをグラフ化するツールMRTGで作った平常時のグラフ 図1 トラフィックをグラフ化するツールMRTGで作った平常時のグラフ
図2 トラフィックをグラフ化するツールMRTGで作った異常時のグラフ 図2 トラフィックをグラフ化するツールMRTGで作った異常時のグラフ

 ファイアウォールのログもチェックする。内部のネットワークから発信されるパケットのログを調べれば、兆候があるかもしれない。ワームは手当たり次第にいろんなIPアドレスへ向けてパケットを送信することがある。そのあて先IPアドレスが社内ネットワークに存在しない場合、ファイアウォールを経由してネットワークの外に出ようとするからだ。ログを見れば発信元はすぐに分かる。

 同じようにルータのログもチェックしよう。ルータにも最近1時間程度の通信のログが残されている。通信量のグラフからセグメントが特定できたら、そのセグメントのルータ、スイッチなどのログを見れば感染したパソコンが特定できるだろう。

 もし、これらすべての記録が信用できない場合には、各パソコンをユーザー自身にチェックしてもらうこと(自力チェックの方法は、社員全員に配布してある「利用の手引き」に書かれているので、それに従ってもらうようにすればよい)。

 なお、WindowsをOSとして使用しているサーバは現在、全社で3台ある。チェック担当者を割り当てておき、それらのチェックも忘れずに確認すること。

1-2 非常手段

 ワームが多数同時発生してしまった場合には、個別隔離では追いつかないこともある。ワーム感染らしき特徴を示すパソコンが5台以上存在した場合には、その5台が属するセグメントのルータを含めて、ほかのネットワークから遮断すること。遮断の手順は以下のとおり。

(ここにルータの設定画面などが掲載されていて、各ルータの遮断方法が書かれている)

 感染特徴を示すすべてのパソコンの駆除作業と同時に、全パソコンの自力チェックを行ってもらうこと。駆除作業が終了し、全パソコンのチェックが終わったら、その時点でルータの遮断を解き、復旧する。

1-3 隔離

 隔離は簡単だ。ネットワーク接続を物理的に切断、すなわちケーブルを抜く。ただし、これにより業務に支障が発生するため、その範囲と代替手段(「○○課、第○グループはネットワークが使用できないため、追ってお知らせするまでは連絡は電話で行ってください」など)を通知すること。

2.原因を特定して、パソコンを洗浄する

 どのような動作特徴、機能を持つワームなのかを可能な限り速やかに調べて駆除、洗浄を行う必要がある。

2-1 原因特定

 原因の特定ができなければ駆除できない。しかし、原因は自力では分からないため、各ウイルス対策ソフトベンダのサイトをチェックする。ベンダのサイトは以下のURL。

シマンテック http://www.symantec.co.jp/region/jp/sarcj/index.html

トレンドマイクロ http://www.trendmicro.co.jp/vinfo/

マカフィー http://www.mcafeesecurity.com/japan/security/

 また、セキュリティ系のメーリングリストなどで情報が流れることもあるため、そちらもウオッチする。主なセキュリティ系メーリングリストは以下のとおり。

セキュリティホールmemo http://memo.st.ryukoku.ac.jp/

connect-24h http://cn24h.hawkeye.ac/connect24h.html

2-2 駆除

 駆除はベンダなどが提供するツールを用いる。上述のウイルス対策ソフトベンダ以外にも、駆除するツールを提供する可能性があるベンダは以下のとおり。

マイクロソフト http://www.microsoft.com/japan/security/default.mspx

LAC http://www.lac.co.jp/security/intelligence/index.html

eEye http://www.eeye.com/html/research/index.html

2-3 駆除できないとき

 駆除ツールを動かしても駆除できないこともある。その場合、そのパソコンは長期間利用不可能となるため、情報システム部が保有する代替機を利用してもらう。代替機は現在2台保有しているが、これ以上必要となる場合は共用してもらうこと。

 駆除できない場合はOSの再インストール、主要ソフトのインストールをしなければならない。注意点としては、「必ずハードディスクを初期化してインストールする」ことが挙げられる。

 また、再インストールの所要時間はおよそ半日。よって、1日は代替機、もしくは代替機との共用で業務をしてもらうことになる。代替機の利用については利用の手引きを参照してもらうこと。

 なお、OSの再インストール、主要ソフトのインストールの手順は、「社内機のセットアップ」を参照すること。


       1|2|3|4 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。