JTB情報システム グループIT推進室室長 野々垣典男氏
JTB情報システム グループIT推進室室長 野々垣典男氏
[画像のクリックで拡大表示]
JTB情報システムが2006年12月末に実施したインシデント対応(野々垣氏の発表スライドから引用)
JTB情報システムが2006年12月末に実施したインシデント対応(野々垣氏の発表スライドから引用)
[画像のクリックで拡大表示]

 「2006年12月、ジェイティービー(JTB)本社ビルのパソコン800台にウイルスが感染したが、12月23日と24日の両日、延べ120人が集中的に対応して600台を復旧。12月25日には業務を再開できた」――。JTB情報システム(JSS)のグループIT推進室室長 野々垣典男氏は2007年11月26日、トレンドマイクロが開催したセミナーにおいて、JSSのウイルス対応事例を紹介した(写真)。

 JSSは、JTBグループ国内80社の情報システムの開発・運用を担当するJTBの子会社。野々垣氏が所属するグループIT推進室は、JTBグループの情報システム全体の企画部門である。企業が、自社のウイルス感染・対応事例を紹介することは珍しい。「他社のウイルス対策に役立ててもらえればと思い公表した」(野々垣氏)。

通常業務でウイルスが侵入

 JTB本社ビルでウイルス感染を確認したのは12月20日のこと(図)。最初に感染したのは、海外事業を担当する社員のパソコン。同社員が、業務で中国のWebサイトにアクセスしていたところ、不正なプログラムが埋め込まれたサイトへアクセスしてしまい、ウイルスに感染したという。「その社員は、業務上必要な作業をしていただけで、禁じられている行為をしたわけではない。通常の業務を実施していても、ウイルスに感染する状況になっている」(野々垣氏)。

 同社では、ゲートウエイやサーバー、クライアントにトレンドマイクロの対策ソフトを導入していたものの、それらをすり抜けて感染。対策ソフト(パターンファイル)が未対応の、新しい種類のウイルスだったためだと考えられる。感染したウイルスは、社内LANを通じて別のパソコンに感染を広げるとともに、インターネット上から、別のウイルスを次々とダウンロードして実行した。

 当初、ウイルス感染が疑われるような怪しい挙動をしていたパソコンは1台だけだった。その後、数台に増えたもの、その時点では「局所的な対応で済むだろう」とJSSでは判断。感染パソコンを社内LANから切り離し、ウイルスファイルを特定して削除した。「過去に対処した『ニムダ』などと同じ手順を適用した」(野々垣氏)。