標的型メールは見抜くことが難しい。は誤りです

怪しいファイルを開いてしまった!と気づいたら、どうするのが正解か?

怪しいメールは開くな!とは、よく言われる話ですが、そうは言っても、つい、うっかり開いてしまう。ということはありがちです。

また、セキュリティに関する知識が乏しかったがゆえに、何らの不審感も感じないまま開いてしまうというケースもあるかと思います。

しかし、ファイルを開いてしまった後の挙動がおかしい、例えば、何も表示されないとか、全く業務と関係ない内容が表示された等、「あれ?」と感じることが起きたことから、「もしかして、開いちゃいけないファイルを開いちゃった?」と気づくことがあったら、どうするのが正解でしょうか?

よく言われるのは、

・ネットワークケーブルを切り離す。
・ウィルス対策ソフトによる完全スキャンを行う。
・上司に報告する。

といった対処ですが、果たしてこれらの対処は本当に正解と言えるのかどうか?について、考えてみたことはあるでしょうか?

まず、「ウィルス対策ソフトによる完全スキャン」は間違い

何か怪しい。と思ったら、ウィルス対策ソフトで完全スキャンをすべき。というのは、昔からよく言われていることですが、ウィルス対策ソフトを導入しているなら、リアルタイムスキャンを行っていると思いますので、開いてしまったファイルが本当にウィルスなら、警告も何も出ない時点で、ウィルス対策ソフトは、そのウィルスを検知できていなかった。ということになります。

ウィルス対策ソフトが検知できないウィルスを開いてしまっているのですから、完全スキャンをしたところで検知できるはずありません。

完全スキャンを行って何も検出されなかったら、恐らく大抵の人は安心してしまう事でしょう。しかし、実際には感染してしまっているのですから、これではみすみす被害の拡大を進めてしまうようなものです。

怪しいファイルを開いてしまったからといって、安易にウィルス対策ソフトによる完全スキャンを行うのは正解ではありません。

ネットワークケーブルを切り離すのは正解?

ウィルスによっては、ネットワークを通じて他のパソコンに感染を広げたり、パソコン内のデータを外部に送るなどすることから、被害の拡大を防ぐため、パソコンに繋がっているネットワークケーブルを抜くなどして、対象のパソコンをネットワークから切り離せ。という事もよく言われます。

実際に、従業員にそのように指示を出している組織も多い事でしょう。しかし、これは本当に正解でしょうか?

ウィルスの中には、自身が検知されているかどうかを監視し、外部との通信ができなくなったら自身の行動がバレたと判断して、証拠隠滅のために自分自身を削除する。といった挙動をするものもあるそうです。

こうしたウィルスに感染した場合、ネットワークケーブルを抜いたらウィルス自身が消えてしまうことになるので、後で調査しても何も見つからず、実際に何があったのかわからない。ということになります。

ウィルスの正体がわからなければ、他のパソコンに被害を及ぼしたのかどうか、また、及ぼしたのであれば、具体的にどのような被害を及ぼしているのか?を調べる手がかりを失うことになってしまうので、影響範囲を特定することが困難になってしまいます。

何が起こったのか?が皆目わからない状態では、もう、安全です。と言ったところで、「その根拠は?」と突っ込まれたら返す言葉もなく、途方に暮れてしまうのは目に見えています。

また、業務によっては、そのパソコンをネットワークから切り離してしまったら業務が立ち行かなくなり、顧客に迷惑をかけてしまったり、大きな損失に繋がってしまう。ということもあるでしょう。

それでも、ネットワークからパソコンを切り離すことは正解。と言えるでしょうか?
もし、ウィルスに感染したかも。というのが、従業員の勘違いだったとしたら・・・?

上司に報告する。も、一見正しいように思えますが・・・

何かあったら、とにかく上長に報告せよ。というのもよく言われることです。もちろん、黙って何も言わないでいるよりはマシではあると思いますが、これも一考の余地はあると言えます。

まず、報告された上長自身が、自分が何をすべきか、ちゃんとわかっているかどうか?

上長自身が何もわかっていなければ、当然、その上長なり、適当と思われる部署に問い合わせをするといったことになるでしょうが、上長が報告を行った先がまた、何をすべきかちゃんとわかっていなかったらどうなるでしょうか?

本当にウィルスに感染しているのなら、短時間のうちに対処をしなければ被害が拡大してしまう恐れがありますが、大事な報告がタライ回しのような状態になったら、適切な対処が行われるまでにかなりの時間を浪費してしまうかもしれません。

普段の業務に戻すまでのプロセスをきちんと考える

翻って、ネットワークケーブルを切り離すのは、対処として正解。だとして、ネットワークケーブルを切り離した後はどうするのか?について考えたことはあるでしょうか?

フォレンジックをして調査をする。などと言うのは簡単ですが、その費用が一体幾らかかるのか?についてきちんと見積もっていて、そのための予算も確保しているでしょうか?

ウィルス感染について調査する。などと一口に言っても、そう簡単な事ではありません。

従業員の勘違いで、ウィルスに感染などしていないケースだってありえます。当然、パソコンが使えない間は業務も止まることになります。

専門家に調査を依頼するような予算も無い、といって、社内にはウィルスに関する知識を持った従業員もいない。という状況で、ネットワークから切り離されたパソコンだけが目の前にある。

もし、こんな状況だったら、果たしてどうすればよいのでしょうか?

個人のパソコンなら、ネットワークケーブルを抜く。でも良いかもしれませんが、業務で使用しているパソコンの場合は、どうするのが適切なのか?

業務で使用している以上、停止している時間は損失に繋がることを考えれば、可能な限り早く、通常業務に戻すことが先決でしょう。

そのために、もしもの時は具体的にどうすべきなのか?は、対処にかかる費用や時間の問題も含めて、会社全体でしっかり考えておくべきです。

ケースによって対処方法は異なるでしょうし、場合によっては、割り切ってしまう。という考え方もあるかもしれません。

次に何をするのか?が具体的に明確になっていないのに、

・ネットワークから切り離せ。
・上長に報告せよ。

と言っているだけだとしたら、イザという時に慌てふためくか、途方に暮れるだけ。ということになってしまうかもしれませんよ。

←前の記事へ(
→次の記事へ(
サブコンテンツ