情報セキュリティ関係に詳しい人が通りかかったら、伺ってみたいことがあるんですが
2014年 03月 02日
仮に、ということで。
PC関係を外部の業者Aにほぼ丸投げで任せている会社Bの支店のPCで、バナー広告が突如PC画面に大量出現し消せないという現象が発生。
こりゃウイルスじゃないの!?ということでBの支店の従業員が業者Aに連絡し対応を乞うたところ、業者AはBに対して問題のPCにリモートアクセスして状況を調査すると返答。
AはBに対し、問題のPCをインターネットから切り離す・会社内の他のPCとのネットワークから切り離すなどの指示はせず。
業者Aは会社Bの問題のPCにリモートアクセスして状況を調査。なんとウイルス対策ソフトがPCに入っていないことを発見(これまでも、業者Aは会社Bの問題のPCにリモートアクセスして諸々の対応をしていたのだが・・ウイルス対策ソフトの不在の指摘はなかった)。
問題のPCにウイルス対策ソフトをインストールし、スキャンしたところ20数個のウイルスが隔離・削除され、PC画面からバナー広告が消えた、と業者Aは会社Bに報告。ウイルスがどんなタイプのものかといった報告はなし。
翌日、問題のPCからバナー広告は消えているが、ウイルス対策ソフトが、「マルウエアを発見した、削除するか?」という警告メッセージを出している。
翌々日、Bの従業員Cがウイルス対策ソフトの検出された脅威の項目というログを見ると、問題解消との報告後、誰もそのPCでインターネットを見ていないが、対策ソフトがウイルスを削除しつづけているようだ。
検出されたファイルの名前を見ると、システムボリュームインフォメーション、という文字が先頭のほうにある。
どうも復元ファイルにウイルスが残っている様子!
また、ウイルスの定義ファイルの更新にエラーが出続けていて、インストール後は一度も更新がされていないのに気付く。
また、コンピューターの検査のログを見ると、業者Aが会社Bに問題の事象が解決したと報告した後は、スキャンが施行されていない。報告後はフォローアップはしていない様子。
業者Aに連絡をとろうとするも担当者不在で連絡がつかず、Bの従業員Cはとりあえずシステムの復元を無効にする処置をしてみた。
という経緯を経て、
ウイルス対策ソフトのログをチェックしシステムの復元を無効にしてみた従業員Cは、
業者Aはもしや情報セキュリティ関係には疎いのかも・・・と危惧しています。
・ウイルス感染疑いのPCにリモートアクセスしてきた
・問題のPCをネットやLANから切り離す指示がなかった
・ウイルス対策ソフトで検出されたウイルスのほとんどがアドウエアだったからか、情報流出の可能性はないとAは説明しそのまま職場でそのPCは使われ続けているが、ウイルス対策ソフトが検出できないマルウエアも存在する可能性はあるわけで、ウイルス対策ソフト無しに&リモートアクセス可の状態で使用していたPCに対し「情報流出の可能性はない」とは言えないのでは?
・ウイルス削除・隔離する前の状態が復元されないようにする、とか、基本っぽいことを業者Aさんはしなかった・・・のかな・・。
・ウイルスの定義ファイルの更新はインストール後エラーが続いていて更新されておらず、最新の情報でスキャンされていない状態を放置してあった
というのが理由。
従業員Cは、心配しすぎなのでしょうか?
それともCの危惧は正しいもので、「そりゃ業者を変えたほうがいいよ!」なのでしょうか?
まあ、残念ながら従業員Cに業者を変える権利は全くないのですが。