「従来のウイルス対処法はもはや通用しない」,大規模感染を経験したJTBが現場の苦労を披露 - ITPro
多種多様なウイルスが一時に感染しアウトブレークした場合の事例紹介。
やはり感染源は中国のWebサイトですか……最近確かに多い(※1)ですしね。
一昔と違い、最近は短時間で大量の亜種が登場するので、感染してしまったとしてもアンチウイルスソフト側が検知しない(できない)(※2)ケースもあるという事を前提にした上で、対策を立てていく必要があるという事。
今回紹介されたJTB(対応はJSS)での事例は、まとめるとこんな感じ。
まずは現状確認(この事例ではPC版トリアージ(※3)を実施、感染しているPCと状況を全て把握)
被害拡大(特に"外"(※4)への被害)を防ぐため、ネットワークの全切断を実施(これで被害は現状以上には広まらなくなる)
業務停止による影響を最小限に抑えるため、週末をフルに使い集中的に復旧作業を実施(どうしても時間内で復旧できないPC(今回は約200台)は隔離(※5)、週明け後に対応とした)
週明け後への全ユーザへの連絡には「書面による通達」を実施、最終確認作業(スタンドアロンでの起動、検査ツール起動・確認)でウイルス感染が無い事を確認
アンチウイルスベンダ(この事例ではトレンドマイクロ)との連携で、時間内に復旧できなかったPCの復旧を実施(一部はリプレースという形で対応)
今回の事例での教訓はこんな感じ。
事前対策だけではもはや限界(常に未知のウイルスが感染する事を前提に準備を進める必要がある)
アンチウイルスベンダとの連携は必須
実際の対応には、情シスの迅速な対応が不可欠(その為に必要な権限の付与やワークフローの準備は予めやっておく必要がある)
時には業務を止めて集中的な対応をした方が損失が少なくなるというケースもある事から、特に最後の教訓は重要ではないかと思われます。
……まぁ実際にはなかなか難しいのですが。
---
(※1)過去には千葉大学病院でのアウトブレークも中国のWebサイト閲覧でウイルスに感染したというケースがある。
(※2)基本的に「定義ファイル」にそのウイルスの情報が無ければ検出はできない(これは現在のアンチウイルスソフトの仕組み上の限界でもある)。またビヘイビア法などの定義ファイルに依存しない検出方法もまだ発展途上の段階にある事から、検出できない場合もある事を念頭に置く必要がある。
(※3)災害などで大量の傷病者が発生した場合、手持ちのリソースで可能な限り多くの人を救う事を目的に、救命の優先順位を付ける事。今回のPC版トリアージの場合は、恐らくはトレンドマイクロ社提供の検査ツールを用い、「感染なし、容易に対応可能、対応困難」のレベル付けをしたものと思われる。
(※4)ここで言う"外"とは、Internetに接続している他のユーザの事。
(※5)「集中治療室」という表現で、物理的・ネットワーク的に完全に隔離した状態で対応している。
多種多様なウイルスが一時に感染しアウトブレークした場合の事例紹介。
やはり感染源は中国のWebサイトですか……最近確かに多い(※1)ですしね。
一昔と違い、最近は短時間で大量の亜種が登場するので、感染してしまったとしてもアンチウイルスソフト側が検知しない(できない)(※2)ケースもあるという事を前提にした上で、対策を立てていく必要があるという事。
今回紹介されたJTB(対応はJSS)での事例は、まとめるとこんな感じ。
今回の事例での教訓はこんな感じ。
時には業務を止めて集中的な対応をした方が損失が少なくなるというケースもある事から、特に最後の教訓は重要ではないかと思われます。
……まぁ実際にはなかなか難しいのですが。
---
(※1)過去には千葉大学病院でのアウトブレークも中国のWebサイト閲覧でウイルスに感染したというケースがある。
(※2)基本的に「定義ファイル」にそのウイルスの情報が無ければ検出はできない(これは現在のアンチウイルスソフトの仕組み上の限界でもある)。またビヘイビア法などの定義ファイルに依存しない検出方法もまだ発展途上の段階にある事から、検出できない場合もある事を念頭に置く必要がある。
(※3)災害などで大量の傷病者が発生した場合、手持ちのリソースで可能な限り多くの人を救う事を目的に、救命の優先順位を付ける事。今回のPC版トリアージの場合は、恐らくはトレンドマイクロ社提供の検査ツールを用い、「感染なし、容易に対応可能、対応困難」のレベル付けをしたものと思われる。
(※4)ここで言う"外"とは、Internetに接続している他のユーザの事。
(※5)「集中治療室」という表現で、物理的・ネットワーク的に完全に隔離した状態で対応している。
