こんにちは、キューブ・エス中村です。

 

実はこのような仕事をしている中で、

お客様からお聞きする一言があります。

特に昨今のウイルスが流行したタイミングでは必ずと言って

お聞きする一言なのですが。

「ウイルスにもしもかかってしまった場合はどうすればいいのか」

 

ウイルスにかからないようにするには？と言う観点が多い中

尤もなご質問だと思います。

我々も正直頭の痛いご質問です。

 

これら、3つの観点でお話をさせて頂きます。

 

■ウイルスにかかったと解ったその瞬間に行なうべき事

これは流石に常識として知られていますが、

ウイルスにかかったコンピュータの挙動としては

次の犠牲者を増やそうとする事が多いです。

コンピュータ内にあるメールアドレスデータを探しては

それらに勝手にメールを送信したり、

WannaCry等の場合はCIFSを使用して、

ネットワーク的に隣接するコンピュータに感染したりします。

 

なので、真っ先にすべきことは迷わずLANケーブルを抜いてください。

Wi-Fi接続PCの場合はWi-Fiを無効化する事です。

 

通信経路的にコンピュータが隔絶されれば他のコンピュータへの感染が防止できます。

また御社が攻撃者にコンピュータリソースを寄与する事も防げます。

 

■ウイルスにかかったコンピュータをどうするか

本来は望ましいのは、原因の究明が終わった段階で、

ユーザ情報も含めて、コンピュータ自体の初期化、OSのクリーンインストールを

行なうのが望ましいでしょう。

なぜならば、ウイルスの影響を受けたファイルがどこに存在しているかを

全て把握するのは非常に難しいからです。

一度感染した場合、このファイルを削除したから安全と言える状態はほぼ無いと考えて下さい。

 

さて、どうしても何らかの事情でコンピュータを現役に戻す必要がある場合はどうでしょうか

 

この場合は新種のウイルスである可能性を考慮し、1週間程度コンピュータは休眠させます。

その後、パターンのみがダウンロードできる検閲ネットワークを準備し、

※例えばTrendmicroのパターンダウンロードに必要なIPアドレス、ポート以外に対して

アクセスした場合はアクセスを拒否するネットワーク

これに接続の後、最新パターンにアップグレードしたウイルス対策ソフトで

コンピュータ内の全件検索を行ない、嫌疑のあったファイルは全て削除します。

 

そしてこの後、何が原因で感染したかを明確にしたうえで

※明確になってないと再発・ネットワーク内の他のコンピュータを危険に晒す

明確になった場合のみ、その原因を排除（例えば原因となったメールをクライアント・サーバから削除）した上でならば

通常ネットワーク内に復帰させても問題無いと言えるかと思います。

但し再度怪しい挙動が発生した際は、対応の為、再度ネットワークを抜くところから

実施する必要がある事も付け加えます。

 

■ウイルスがランサムウェアだった場合、支払いに応じるべきか

これは諸説ありますが、多くのランサムウェアにあるテスト復元が

正常にできる場合、そしてテスト復元だけで重要ファイルがもとに戻しきれ無い場合は

支払いに応じるのも一つの手かもしれません。

但し、じゃないと業務継続に影響がある場合限定です。

 

また、これで複合できたとしても上記通り、

一度暗号化されたり、感染したファイルが安全とは思わないでください。

 

■支払わない場合、ランサムウェアにかかった場合はどうすれば良いのか？

一度感染したコンピュータは安全ではないとするのであればどうすれば良いのか。

一番簡単な方法は感染前まで時を戻す事。

つまりバックアップから感染前の状態に戻す必要があります。

 

なので、実はウイルス対策としてバックアップを定期的に取得する事は非常に有効です。

 

なので、ファイルサーバや個々が重要なデータを持つコンピュータの場合は

是非とも定期的、且つ世代的なバックアップを取得できる様にして下さい。

時限的な発症をするタイプのウイルスではない場合、

ランサムウェアに感染していないOSバックアップが残っていれば

復旧作業としてバックアップは非常に有効です。

 

---

尚、これ等の挙動を自動的にやってくれる

ウイルス対策ソフトも今は存在します。

そもそも、ウイルス検知時に自動的にネットワークを

遮断したりするソリューションも存在します。

一度ご連絡頂ければ、御社最適なご提案をお約束致しますので

どうぞお気軽にご連絡下さいませ。