PR

三輪 信雄氏 ラック 常務 コンピュータセキュリティ研究所長
嶋倉 茜氏 ラック コンピュータセキュリティ研究所 研究員

表1 主なウイルス対策ソフト・ベンダーのウイルス駆除ツールのダウンロード・ページと,関連組織のセキュリティ情報ページのURL
写真1 マイクロソフトのセキュリティ情報ページ
 マイクロソフト製のOSやWebブラウザなど関連製品のセキュリティ情報を掲載している。URLは表1を参照。

感染後は2次感染の防御が最優先

 さて,どんなに防御策を講じても社内のマシンが感染する可能性はゼロにはならない。最後に,ワームに感染した端末を発見した際に,取るべき対処法について挙げよう。

 ワームの感染力は強い。ワームの侵入検知後,30分間で社内の未対策マシンすべてに感染が広がった例もある。まず最初にやるべきことは,(1)感染したマシンをネットワークから切り離すことだ。2次感染,3次感染を防ぐ上でこれが最も急ぐべき対策になる。

 次に,(2)IDSなどを使って,外部へのアタックの有無を調べる。ワームに感染した端末をどれだけ早くネットワークから切り離したとしても,外部への攻撃がなかったという確証は得られない。2次感染を防ぐためにも,必ず確認するようにしていただきたい。

 それから,(3)社内ネットワークの被害規模を把握する。すでに2次感染が起こっていた場合,感染したマシンをすべて隔離しないと意味がないからだ。

 ワームに感染してしまったマシンへの対処は,新たな感染の可能性がゼロであることを確かめてからになる。Nimdaなど,大きな被害を与えたワームの場合,ウイルス対策ソフトのベンダー各社がツールを無償で提供していることが多い(表1[拡大表示])。感染したマシンへの対策には,それらを使うことをお勧めする。ツールの情報は,ワームの攻撃対象となったソフトのベンダーが紹介していることも多い。もちろん,普段からこうしたベンダーのセキュリティに関する情報をチェックしておくことが重要なのは言うまでもない(写真1[拡大表示])。また,ワームを完全に駆除するには,できることならOSを再インストールすることが望ましい。

 以上が,社内ネットワークをワームから守るための方法になる。これらを参考に,よりワームに強い,ひいては不正アクセスに強い社内ネットワークを構築していただきたい。