写真●大規模ウイルス感染事例を紹介したJTB情報システム執行役員グループIT推進室長の野々垣典男氏
写真●大規模ウイルス感染事例を紹介したJTB情報システム執行役員グループIT推進室長の野々垣典男氏
[画像のクリックで拡大表示]

 トレンドマイクロは11月26日,報道陣向けの「“Webからの脅威”インシデント対応事例セミナー」を開催。同セミナーにおいて,JTBの情報システム子会社であるJTB情報システム(JSS)執行役員グループIT推進室長の野々垣典男氏(写真)が講演し,昨年12月にJTB本社ビルで発生した大規模なウイルス感染について,その被害と対応状況を詳細に語った。

 東京・天王洲アイルにあるJTB本社で,最初にウイルス感染を確認したのは2006年12月20日の午後1時過ぎのこと。「海外事業を担当する社員が閲覧した中国のサイトに,不正なプログラムが埋め込まれていたのが原因だろう」(野々垣氏)。しかし当初は,それほど大規模なウイルス感染に発展するとは予想しておらず,「局所的な対応で済むと判断していた」(同)。以前から運用していたウイルス対処手順に従い,当該パソコンをネットワークから遮断するとともにウイルス・ファイルを特定して削除した。ところが,ウイルス感染の被害拡大は,これでは止まらなかった。

 翌21日には,ウイルス感染が疑われるパソコンは300台にまで増加。この段階でJSSは「今までのパターン化された対応方法ではダメ」(同)と認識し,社内に対策本部を設置した。ウイルス感染が疑われるパソコンは,最終的には800台に上ったという。そして22日の金曜日には,トレンドマイクロに対してウイルス駆除支援を依頼するとともに,全パソコンのネットワーク遮断を決断。また,23日,24日の土日に出社できるメンバーを全社から招集し,週末の2日間にわたって集中的な復旧作業を実施することを決定した。復旧に当たった人員は,2日間で延べ120人に達したという。

 「週末の集中復旧作業で,まず実施したのは全パソコンに対する『トリアージ』だった」(野々垣氏)。トリアージとは,災害発生時などにおいて,限られた医療スタッフで傷病者を確実に救うために,緊急性や重症度に応じて治療の優先順位を決定すること。ウイルス駆除においてJSSは,トリアージとして,各社員のデスク上でトレンドマイクロから提供されたJTB用の駆除ツールを実行し,それで復旧できるかどうかをチェックした。その結果,復旧しきれない200台については,症例や設置場所を記した「カルテ」を添付し,パソコン本体を“集中治療室”へ運搬。その200台の対処は週明けの月曜日以降とした。

徹夜作業で600台のパソコンにウイルスが存在しないことを再確認

 ただし,これだけで週末の作業は終わらなかった。復旧したと思われる600台についても「一部でもウイルスが残っていたら,また感染が広がる恐れがある」(野々垣氏)。このため,600台すべてからウイルスが完全に駆除されていることと,感染パソコンが社内のどこにも残っていないことを徹底的に調査した。この作業は,夜を徹して行われたという。

 週明けの月曜日は,本社の入口が開く午前8時から,まず全社員に対する書面配布から始めた。書面に記されていたのは,(1)スタンドアロンでウイルス検索を実施してウイルスがないことを確認してからネットワークに接続すること,(2)パソコンが異常な動作をしたらすぐにLANケーブルを抜いて担当者に連絡すること──の2点である。こうした入念な対処方法が功を奏し,「600台についてはウイルスの再感染を発生させずに済んだ」(野々垣氏)。

 集中治療室に運んだ残る200台は,25日の月曜日以降に復旧作業を実施した。そのうち100台以上は,トレンドマイクロからさらに提供してもらった駆除ツールによって回復させた。今回,JTB本社に感染したウイルスは,新種・亜種を含めて数百種類。このため,2日間・24時間体制で支援してもらったトレンドマイクロでも,対応しきれないウイルスが残っていたという。また,老朽化していたパソコンなどについては,復旧ではなく新規パソコンを導入することで対処した。その数は70台。これを2日間,5人でセットアップした。こうした作業により,29日までにはおおむねの対応を完了させたという。

 今回のウイルス感染事件による教訓として,JSSの野々垣氏は以下の3点を挙げた。(1)ウイルスなどの脅威は変化しており,事前の防御だけでは限界がある,(2)変化した脅威に対抗するには,企業の情報システム部門の迅速な対処が不可欠,(3)セキュリティ・インシデントへの対処には情報システム部門とセキュリティ・ベンダーの協力が必要──の3つである。

 特に(2)に関しては,一時的に日常業務を止めることでトータルの復旧時間を短縮できることもあると強調した。「金曜日の夕方5時にネットワークを遮断し,一般社員の週末の出勤も原則禁止にして復旧作業を行った」(野々垣氏)。こうした集中的な作業を実施したおかげで,業務に対してさほど大きな影響を与えることなく,感染パソコン800台の75%にあたる600台ものパソコンを月曜日には業務に使用できるようにできたとしている。