従業員に怪しいメールが送られてきた場合、セキュリティ担当者は、できる範囲で構わないので、ウイルス感染の可能性を調査しよう。調査の際に心掛けてほしいのは、できるだけ証拠を残すこと。セキュリティベンダーに調査を依頼する際、証拠がないと、感染の原因や被害の内容を調べるのが困難になる。
例えば、ウイルス感染が確実になったからといって、慌ててハードディスクをフォーマットするのは厳禁。社内ネットワークからパソコンを切り離してあれば、感染が拡大する心配はない。
まずは、報告者が取った行動を尋ねる。添付ファイルの実行やURLのクリックといった行動を取っている場合は、ウイルスに感染した可能性は高いと考えよう。
パソコン画面の表示やアプリケーションの動作に異変がなかったかも尋ねる。画面上にいつもは表示されないウインドウや文字などが表示された場合、ウイルスに感染している可能性は高い。
逆に、いつもは表示されるはずのメッセージなどが現れなかった場合も、ウイルス感染などの異常が発生している恐れがある。
一般的なアプリケーションで、業務データのファイルを開いてみるのも確認ポイントの1つだ。業務データを利用不能にする「ランサムウエア」が出回っているからだ。ランサムウエアは業務データを暗号化し、「暗号化したファイルを元に戻したければ金銭を支払え」と脅すウイルス。ランサムウエアに感染していると、脅迫や金銭の振込先を指示するメッセージが表示される。こういったメッセージが表示されれば、ウイルスに感染しているのは間違いない。
なお、このとき表示されるメッセージはランサムウエアの種類を特定する上で重要だが、一度消してしまうと二度と表示されないものがある。このため表示された際には、スマートフォンなどで画面の写真を撮っておこう。もしセキュリティ担当者への第一報の際に既に表示されているようなら、その画面を撮影あるいはキャプチャーしておくよう指示する。
添付ファイルを開いた際などに、ウイルス対策ソフトが反応したかどうかも確認しよう。報告者に尋ねるのはもちろん、ウイルス対策ソフトのログもチェックする(図8)。
ただ、ウイルス対策ソフトの反応が無かったからといって、ウイルスに感染していないとは判断できない。特定の攻撃用に作られたウイルスは検出できないことが多いからだ。
あるウイルスは検出・駆除(隔離)できたが、別のウイルスには感染したままの可能性もある。最近のウイルスは、感染すると別のウイルスをダウンロードして感染被害を拡大させる「ダウンローダー」型が多い。「最初のウイルスは検出できておらず、後からダウンロードされたウイルスだけを検出できた」という可能性は大いに考えられる。ウイルス対策ソフトの反応の確認は、セキュリティベンダーなどへの報告のために必要な作業だと考えよう。
