クリスマス返上でインシデント対応

感染「後」の集中対処で未知のウイルスに対応したJTB

2007/11/26

 「地震への備えと同じように、BCP(事業継続計画)の一環としてウイルス感染を考えるべきだ」――。

 JTBでは2006年12月に社内PCへのウイルス感染が発覚し、最終的に約800台への対応を行うことになった。同社グループの情報システム開発、運用を担当するJTB情報システム(JSS)の執行役員、グループIT推進室長の野々垣典男氏は、一連のインシデント対応の経験を踏まえ、このように述べている。

 「ウイルス対策ソフトをはじめとする事前対策の導入は最低限必要だ。しかしそれでも、ウイルスに感染するときは感染する。そうした場合に備えたシミュレーションを行い、発生時の体制作りを行うことは企業の責任だと思う」(野々垣氏)

今までとは違う「しつこいウイルス」

 野々垣氏は、10月26日にトレンドマイクロが行ったプレス向けセミナーの席において、ウイルス感染の経緯と会社としての対応について語った。

 JTBは東京・天王洲に本社を置いている。この本社ビル内にはいくつかのグループ会社が同居しており、ネットワークを介して地方支店やほかのグループ会社、関連会社と接続している。

 JTBグループではウイルス感染が発覚する前も、「考え得る対応は取っていた」(野々垣氏)。具体的には、万一被害が生じても影響を最小限に抑えられるよう拠点ごとにネットワークを分割し、予約販売や会計といった基幹システムとも分離していた。また、ゲートウェイおよびクライアントやサーバなどのエンドポイントにトレンドマイクロのウイルス対策製品を導入していた。

 しかし2006年12月20日13時過ぎ、JTB本社ビルでウイルス感染が確認された。OSの再起動が繰り返されたり、Internet Explorerのスタートページが中国語のWebサイトに変更されたりといった不審な挙動を見せるPCが複数発見されたという。

jss01.jpg JTB情報システム 執行役員 グループIT推進室長の野々垣典男氏

 それでも「当初は数台の、局所レベルでの感染だろうと考えていた。そこで、Nimdaといった過去に対処したウイルスと同様に、ネットワークケーブルを抜いて疑わしいファイルの特定、削除を行うという対処手順を適用した」(野々垣氏)

 ところが翌21日、事態は悪化したことが明らかになった。疑わしいファイルをいったん削除しても感染は止まらず、感染が疑われるPCは約300台に上った。

 「従来はパターン通りの対応で駆除できていたが、今回は、業務で利用するアプリケーションが立ち上がらなくなるといったさまざまな症状が出てきた。『しつこいウイルスだな』という印象を受けた」(同氏)

 ことここにいたり、社内に対策本部を設置することを決定。迅速な「ワクチン」の提供を期待してトレンドマイクロに支援を要請するとともに、23日、24日の週末を使って集中対処することを決定した。

クリスマス返上の集中対処

 12月23日、24日はクリスマスの週末に当たっていた。中には予定を入れていた若い社員もいただろうが、非常事態であることを踏まえ、土日のどちらか、あるいは午前や午後のどちらかでも参加できるメンバーを募った。結果として、延べ120人体制で集中対処に当たったという。

 対処チームは大きく3つの部隊に分けられた。1つは「復旧チーム」で、7つの感染フロアごとにPCを調査し、症例に応じて対処の優先順位付けを行う「トリアージ」を実施した。この結果、復旧に時間がかかると判断された深刻なPCは、症例や元の所有者などの情報を記した「カルテ」とともに、「集中治療室」に送られた。これは、週明けにはできるだけ多くのPCを復旧させ、業務への影響を最小限に抑えるための措置だ。

 2つめの「技術サポートチーム」は、トレンドマイクロと連絡を取り合いながら検体の提供と駆除ツール作成のサポート、復旧チーム向けの手順書作成といった作業に当たった。また、全体の状況の把握や社内ユーザー向けの連絡は「事務局」が担った。

 一連の集中対処の結果、約800台が「PE_FUJACKS」「PE_LOOKED」「TSPY_LEGMIR」「TSPY_QQROB」といったトロイの木馬やスパイウェアに感染していたことが明らかになった。いずれもただ感染するだけで終わらず、インターネットからさらに別のマルウェアをダウンロードしたり、PC内の情報を外部に送信するといった動きを取るものだ。

 トレンドマイクロの駆除ツールによって既知のウイルスは駆除されたかもしれないが、その間にまた新たなウイルスが、誰も知らないうちに侵入している可能性は否定できない。しかし、「メールすら使えないのでは通常業務に大きな支障が生じる」(同氏)ことから、駆除ツールできれいになった約600台については安全であるという見極めを下し、業務を再開させた。その一方で、より深刻な症状が発生していた端末は集中治療室でじっくり修復作業を行った。

 「一番怖かったのは、1台でも漏れがあり、25日の月曜の朝になって再び再感染してしまわないかということだった。そのため、24日夜には総出で、社内の片隅にネットワークに接続された端末が残っていないかという最終確認を行った」(野々垣氏)

 エンドユーザーである社員にも、再感染を回避するため情報周知を徹底した。夜間通用口やオフィス玄関で書面を手渡し、「復旧したPCはすぐにネットワークに接続せず、いったんスタンドアロンでウイルススキャンを実施してから接続すること」「もし異常が確認されたら、すぐにネットワークケーブルを抜いて各フロアの担当者に連絡すること」を徹底させたという。

 残る未復旧の200台のPCについては、逐次トレンドマイクロから提供された駆除ツールやパターンファイルで復旧を行い、100台以上が修復できた。また、ちょうど更新時期が近付いていた端末については、新規PCとの入れ替えを行ったが、それらの対処には2007年初めまで、10日ほどを要したという。

 こうした「重体のPC」に感染していたマルウェアは、「よく考えられていた。ファイル名がランダムに付けられ、『このファイルを消してください』というパターン化された対応では対処できなかった。また、ファイルがWindows OSによってロックされており、Windows上では普通のやり方では消せなくなっているものもあった」(野々垣氏)という。

「感染したとき」を考えた対処が必要

 ウイルス感染への対応を振り返って野々垣氏は、脅威の姿は変化し、時間とともに進化しているために、画一的な対応だけでは対処が困難だと述べた。同時に、情報システム部門の主体的かつ迅速な対処も不可欠だという。

 「時間が経てば経つほど感染は拡大し、深刻になっていくため、怪しいと思ったらすぐに行動を開始すべき」(同氏)。合わせて、ベンダと連携しながら「感染したときにどうするか」を考えていくことも重要だとした。

 そもそも、今回のウイルス感染の原因はWebサイトの閲覧によるものだ。しかし「その社員が特殊な業務をしていたわけではなく、見てはいけないサイトを見たわけでもない。通常の業務をしている中で、たまたま感染してしまった。我々ユーザーからすると、感染したかどうかが分からないもの、気付かないものが増えているのではないか」(野々垣氏)。

jss02.jpg トレンドマイクロ 上級セキュリティエキスパート、黒木直樹氏

 トレンドマイクロの上級セキュリティエキスパート、黒木直樹氏によると、確かに攻撃の「見えない化」という傾向が見られるという。Webサイトに不正なコードを埋め込んだり、偽装サイトを活用したりして「ユーザーが気付かないうちに、裏側でいろいろな不正プログラムをダウンロードしている」(同氏)。

 また、連鎖的な攻撃も最近とみに目立つと黒木氏。1つの不正プログラムがトリガーとなって、次々に別のウイルスなどをダウンロードしてくるため、「1つ駆除したからといって安心できない」(黒木氏)と言う。

 こうした状況を踏まえると、これから先、ウイルスに感染しないと言い切ることはできない。事前に考えられる対策をしっかり取ることも必要だが、同時に、感染したときにどうするかを考え、ウイルス発生に備えた人員や体制、ベンダとの契約などを準備しておくことが必要だと野々垣氏は述べている。

(@IT 高橋睦美)

情報をお寄せください:

アイティメディアの提供サービス

キャリアアップ


- PR -
ソリューションFLASH

「ITmedia マーケティング」新着記事

広告収入稼ぎの低品質サイト「MFA」を排除するため、マーケターにできることとは?
MFA(Made For Advertising)サイトの本質的な問題点とは何か。マーケターはMFA排除のた...

“なんちゃってマック”で「チキンビッグマック」体験etc. 米マクドナルドのマルチチャネル過ぎるキャンペーン
McDonald’sは米国での「チキンビッグマック」新発売に当たり、若年層とのつながりを強化...

これからのB2Bマーケティングに必須の「MOps」の役割とは? 旭化成エレクトロニクスに聞く
市場環境が刻々と変化する中で、顧客ニーズを捉えるために新しいマーケティング手法やツ...