こんばんは。
幹事を引き受けてくださるかたがあり、良い企画をしてくれて、昨日火曜日の夜19時半から貸会議室で開かれた勉強会に参加しました。
通信制の大学で授業を担当されていた、権威ある先生が参加されているので、十数名の参加者は真剣だ。
テーマは最近ニュースで聞く、ランサムウェアについて、インシデント(ウイルス感染発覚)時の対応や、予防策について話し合った。
私は仕事で会社を出るのが遅くなったことに加え、夜目に通り名やビルなど読み取れなくて、どちらに行けばいいのか分からず、到着がさらに遅れてしまった。どうも地図が読めてないかもしれない。最近こういうことが多い。我ながら情けない。もっと早く出るようにしなければ。
さてランサムウェアとは、ご存知のとおり、パソコンに入り込んで悪さをするウィルスだ。パソコンのデータを暗号化して所有者のコントロールが効かなくなってしまう。
暗号化されたデータは見ることも更新することもできなくなってしまう。
暗号化を解く、つまり、復号するということだが、それにはパスワードを入れなければならない。「このデータは暗号化した。データを元に戻して欲しければ、お金を振り込め」という表示をするようにプログラムされており、もし私がそんな目に会えば、お金を振り込んでしまうだろう。
勉強会のテーマは、そのランサムウェアが、とある製造メーカーの製造部の端末(パソコン)で感染していることが分かったが、その時どう対応するべきか。予防策は何か。
グループに分かれて話し合ったことを発表し合う。
まずランケーブルを抜く、との答えでは、先生は「本当にいいのか?」と言った。
お金を払ってもらうことが目的なので、ランケーブルが抜かれた時、お金を払わないことへの報復としてパソコンの中のデータを破壊するように設計されていたらどうなるのかを考えるべきだということだった。
外部からのネットワークを遮断、という発言では、それはかなり極端な手だという感想だった。感染経路はメールに添付されたデータであり、被害の拡大を防ぐためにもう外からくるもの一切を拒む、というのが発言者の意図なのだが、会社の他の機能もすべて止まってしまう。会社は業務優先だから、それは良策とは言えない。
それに外部からの情報を遮断するより、そのウィルスが働くことでどこかへデータを転送しようとするかもしれない。他の端末へウィルスを感染させようとするかもしれない。それを防ぐためには外部というより内部のネットワークをコントロールするほうが適切だ。
組織なので、IT管理の組織があるはずだ。そこへの連絡はどうするか。
具体的なことが全員へ伝えられるように、どんな現象があり、何に注意すればいいのか、状態の確認をするのが先決だ。
それには「検体」を取ること。ウイルスはなんという名前のデータなのかが分からなければ、そのウィルスがどの端末、どのサーバに存在するのかを検索できないから。
それに会社全体に対して、どんな手段で伝えるのかというポイントでは、メールだけでなく、電話のほうが有効な場合があるという話も出た。
メールでは余計に有害なデータを拡散する遠因となるかもしれない。
今回の想定ケースではメールに添付されているから、メールサーバに残っているか(その会社のネットワークの状態による)、送られてきたメールを見ればいいのだが、検体(ウィルス)を得たら、どんな動きをするものなのか、「サンドボックス」と呼ばれる環境(仮想)で実際に動かして(ラン)みると、何をしようとするか、例えばランサムウェアの場合はどんな形式で暗号化しようとするか、自爆しようとするか、データを抜き取ろうとするのか、どこへアクセスしようとするか、分かるのだ。
敵の正体を知る手がかりにもなるかもしれない。
業務優先、つまり利益優先。会社ではその対応は、利益を守るためのリスクを常に考えなくてはならない。
(2/2)に続く。
※コメント投稿者のブログIDはブログ作成者のみに通知されます