筆者のところに、とある製造業のお客様から電話があった。そのお客様は、製造業の特定の分野で非常に技術力があることで有名だが、コンピュータなどのIT技術にはそれほど明るくない会社だった。また、情報システム部門の発言力が弱く、なかなかIT統制が効かないと、セキュリティの担当者は日頃から愚痴を言っていた。

 筆者がその担当者と知り合ったのは、その会社の現在のセキュリティ対策の基本的な体制を構築した後だった。そのため、その会社のセキュリティシステムに筆者が直接携わったわけではない。だが、筆者がセキュリティに詳しいとことと、その会社に別のシステムを導入していたことから、セキュリティに関する相談を何かと受けていた。

1カ月以上の長期に渡ってウィルスが蔓延

 そうしたところに、その担当者からヘルプの声がかかった。1カ月ほど前から定期的にウィルスが社内ネットワークに蔓延しており、担当者がモグラたたきのような対処に苦慮していたのだ。当初はセキュリティに関する直接の契約を結んでいないことから、口頭ベースで対策のアドバイスをする程度だったが、ウィルスのあまりのしつこさに完全駆除の支援をしてもらいたいとの依頼が来たのだ。

 前述の通り、この会社は工場現場の発言権が強く、情報システム部門から原因究明の調査依頼をしてもなかなか現場は、言う事を聞いてくれない。そんな状況で、担当者は上層部からの早期収束の命令と、現場からの何度も起こるウィルス感染の対応の手間に板挟みとなり、非常に肩身の狭い状態になってしまっていた。

ウィルスが潜んでいるPCを発見できない状態が続く

 さっそく現場に入った筆者は、まずはヒヤリングから実施した。その結果わかったことは、以下のとおりだった。

  • ウィルス感染が定期的に発生している。
  • 最新のウィルスパターンを適用しているパソコン(PC)であれば、そのウィルスは駆除・感染防止できている。
  • ウィルス感染が起こるのは、半年間使われていなかったモバイルPCなど、決まってセキュリティパッチが一定期間適用していないPCが社内LANに接続されたときだった。
  • PCにウィルスが感染したことは、ファイルサーバーにウィルス実行ファイルが書き込まれた時点で、ファイルサーバーのウィルス対策ソフトが駆除して発覚する。

 これらのことから、社内LAN内にウィルス感染したままWindowsのセキュリティホールを悪用してネットワーク経由で感染を広げるPCが存在する可能性が高いことが推測できた。そのため、社内LANの基幹ネットワークでパケットキャプチャを実施したところ、新たにウィルスに感染したPCを2台発見した。この2台のPC(原因PCと呼ぶ)が会社を1カ月に渡って苦しめた原因であった。

 なぜ、この2台の原因PCについては通常の手段で特定できなかったのだろう。それが、このウィルスのいやらしいところで、この2台の原因PCから発見されたウィルスのバイナリとネットワーク経由で感染した被害PCで見つかったウィルスのバイナリが異なっていたのだ。被害PCのはウィルスについてはパターンファイルに登録されていたものの、原因PCに感染していたウィルスはパターンファイルに登録されていなかった。

他のPCに侵入した後にインターネットから本体をダウンロードする

 今回は、ウィルスの正体を明らかにすることが目的ではなく、騒動を解決することを目的としていた。そのため、ウィルスの正体を調べる調査まではしなかった。

 その中でわかった範囲で紹介すると、2台の原因PCはネットワーク経由でWindowsの脆弱性を突いて別のPCに侵入、ウィルス本体はインターネットからダウンロードしてくるタイプだった。侵入されたPCが最新のパターンファイルに対応していたことから、このインターネットからダウンロードした段階で駆除できていた。だが、感染経路としてはインターネット上からダウンロードしてきたというログしか残っておらず、インターネット閲覧時にウィルスに感染したと勘違いしていたのだ。このことも、1カ月間、完全に駆除できなかった原因であった。

 原因PCをコンピュータフォレンジックの技術を使って詳細に調査した結果、該当ウィルスは以下の特徴をもつものだということがわかった。

  1. 実行ファイルは4つのファイルで構成されていた。そのうちの2つのプロセスが相互監視することで駆除を防止する機能をもっていた。
  2. 各実行ファイルは非表示属性になっていた。簡易な隠ぺい機能があり、レジストリを書き換えて、隠しフォルダと隠しファイルは強制的に非表示になるようにOSの設定を変えていた。
  3. ネットワーク経由やUSBメモリー経由での感染機能がある。USBメモリー経由の場合は被害PCと同じ感染バイナリをコピー、読み取り専用属性にしてあるAutorun.infも上書きする。ネットワーク経由の場合は、新規バイナリをネットからダウンロードしようとする。
  4. ウィルス対策ソフトの最新パターンファイルのダウンロードを妨害する機能がある。このため、原因PCでは2カ月の間パターンファイルが更新されていなかった。
  5. ウィルスの種類は「Conficker」の亜種。最新のウィルスパターンなら駆除できる。

 このことから、原因PCはウィルス対策ソフトのパターンファイルが更新されていない2カ月以内にウィルスに感染した可能性が高い。