企業のウイルス被害
Zeptoに注意!社内ネットワークを荒らす極悪ウイルス
年に数回仕組まれたかのように感染被害報告のあるコンピューターウイルス。
今回はランサムウェア(身代金ウイルス)「Zepto」の被害について紹介。
2016.11.24
コンピューターウイルスに感染しない方法は何が大事だと思いますか?
不幸は突然やってくる!
社内ネットワークが感染突然鳴った電話の見知らぬ番号に出て話を聞くと、「社内でウイルス感染し、どう対応していいか分からない、一刻も早く助けに来てください」と担当者の悲痛な声が聞かれた。
すぐに駆けつけたいが、その企業は山手線の反対側。至急駆けつけても1時間弱はかかる。当面の対応として、「最新のウイルスソフトで全PCをスキャンして下さい」と言ったものの、全部で数百台あるPCを即座にスキャン出来る体制でもない。
駆け付けた時には感染源として疑わしいPCだけがネットワークから遮断された状態で、その他はそのまま稼動中であった。
怖いよウイルス…。大事なデータバックアップしておかないとね!
バックアップもしてない時に限ってパソコンはクラッシュしたりもするしね。
既に被害規模は大きかった!身代金ウイルスの恐怖
到着時にはすでに、Zeptoウイルス特有の共有ファイルを暗号化して書き換えられてしまうという最悪の事態で、すでにサーバーにあった数ギガバイトのファイルが暗号化され、拡張子がZeptoになっていた。
このZeptoウイルスはランサムウェア(身代金ウイルス)と呼ばれるもので、PC内のファイルを暗号化し、その暗号化を解く代わりに身代金を要求するという、非常に悪質なウイルスだ。
PC内のファイル名が意味不明のアルファベットの文字列に変わり、白紙を表すようなアイコンに変わってしまった場合は要注意。大抵そのファイルと同じ場所にHTMLファイルが作られていて、開いてみると、
「あなたのPCのファイルを暗号化し、使用不可能にした。復元して欲しいならば、指定の方法で入金しろ!」
という主旨の脅迫文が記載されている場合が多い。実際にこの企業のPCにも、拡張子がZeptoになっているファイルのすぐそばに、身代金を要求する文面が載せられたHTMLファイルがつくられていた。
暗号化されたファイルを使用するためには、暗号を解き復元処理を行わなければならないが、新種の場合は復元するソフトも対応できないことも多く、甚大な肥大を及ぼしやすいウイルスのひとつだ。
今回の場合も、各ウイルスソフトのベンダーからは最新の定義ファイルやパッチが提供されていたが、それでも今回のZeptoウイルスの情報は当時は極めて少なく復元は簡単なものではなかった。
Zepto感染の原因は?
今回のケースで考えられる感染の原因としては、
・ウイルスソフトそのものがインストールされていない。
・メールサーバー側に対策がなされていなかった。
・使用者が不用意にメールに添付されたファイルを開いた。
・業務に関係のないWEBサイトを閲覧し、不正なプログラムを実行してしまった。
などが挙げられる。
Zeptoなどの身代金ウイルスは、主にメールの添付ファイルに仕込まれていることが多く、添付ファイルをクリックすることで感染してしまうケースが後を絶たない。
ウイルス駆除ソフトはPCに疑わしいプログラムをインストールさせないように警告をしてくれるが、ユーザーがインストールを許可してしまえばウイルス駆除ソフトを入れていても感染してしまう。知らない人物からのメールや添付ファイルは絶対に開かないようにしたい。
近年では、英語の怪しいメールではなく、日本語の件名・本文で、大手プロバイダや銀行、宅配業者や各業界の下請け業者を装うケースも出てきている。入金確認や宿泊予約の確認、宅配便の到着予定など多岐にわたるテンプレートを使用して攻撃を行っているため、多くの人がZeptoの餌食になってしまうようだ。
僕のパソコンはMacだから大丈夫!
Macでもウイルスはいるから、そんな考えじゃダメでしょ!
最悪の事態を想定し、不断の危機管理を
今回のケースは個人が単体で使用するPCではなく、企業が業務で使用するPCだ。当然ウイルスソフトは最低限やっておかなければならない防御対策だったはずだが、システム管理者が野放しにしていたという事もあり、最悪の事態を招いてしまった。
一般的に感染後の対応策としては、PCを社内ネットワークから遮断して最新定義のウイルスソフトでスキャンをかけるのが良いのだが、今回の場合は社内ネットワークが一つしかなくPC単体でインターネットに接続する術がなかった。
感染後の対応策は、ネットワーク環境によって対策や措置が変わってくるため、自然災害同様に事前の対応案などは企業内で手順等をまとめておく必要がある。
新種の場合はウイルス対策ソフトで必ず防げるとも限らないのでなおさらだ。
安易な処置で被害が拡大するケースも・・・
今回のケースでは、感染が拡大した後に出来ていなかったセキュリティ対策を行うという完全に後手を踏むことになってしまった。
たしかにできていなかったセキュリティ対策を行うのは重要だが、感染直後に対策を行う場合、ウイルスに精通していない人が手を施すことで、救えるファイルも救えなくなってしまうケースがあるため注意が必要だ。特にRAIDなどの構成でサーバーが被害に合った場合は、へんにいじってしまうことで復元が難しくなる。そもそもRAIDが何かわからないという方は、感染後は絶対に自分で何とかしようと思わず、外部に依頼したほうが無難だ。
外部に依頼すればそれなりの費用は必要となるが、取り返しのつかない状況を免れる事もあるので、社内に精通した人がいない場合は、専門業者に相談するのが得策だ。
ウイルス被害は決して他人ごとではない。繰り返しにはなるが、事前の対策が何より重要だということをしっかりと認識し、不幸が訪れた時に被害を最小限に抑えるようにしたいものだ。
