1. HOME
  2. サービス
  3. 中小企業向けセキュリティソリューション
  4. 中小企業によくある課題
  5. 無料セキュリティソフトだけでPCのセキュリティは大丈夫?

中小企業によくある課題

ウイルスに侵入された後の対策・対応方法は?

中小企業によくある課題 Common Challenges

「間違って知らないメールの添付ファイルを開いてしまった」「ブラウザで変なダイアログが開いていたのでとりあえず「OK」を押したら変なソフトがダウンロードされていた」という問い合わせを、自社のスタッフから受けたことはあるでしょうか?
いずれも典型的なウイルス(マルウェア)感染を疑うケースです。

こうしたわかりやすいケースであればまだ疑うこともできますが、ウイルス感染の手口は日々巧妙化しており中には気づかないうちに感染しているケースもあります、絶対に感染しないという保証はありません。

情シス担当者としては「感染しないようにするためには」も重要ですが、同時に「感染してしまった場合の症状や対策・対応方法」についても確認しておく必要があります。

今回はそうした事後対応について基本的な内容をお伝えします。

ウイルス(マルウェア)感染の主な原因と症状

最初に、ウイルス感染の経路をご紹介します。
主な原因としては以下のようなパターンがあります。

メール

昨今流行したEMOTETやIcedIDなどを含み、未だに感染経路として気を付けないといけない経路です。
また、日本語が怪しかったりするメールは最近では少なく、現在は取引先を装い自然な内容のメールに見える文面も増えてきています。

典型的な感染パターン

  • 不審なメールの添付ファイルを開いた
  • 不審なメールにあるURLをクリックした

ブラウザ閲覧

こちらも感染経路として非常にメジャーです。
最近では安全なサイトであってもそこに表示される広告経由でウイルス汚染されたサイトへ誘導しようとするなど、より巧妙化しているケースが見られます。

典型的な感染パターン

  • 不審な広告をクリックした
  • 突然出てきたポップアップを確認せず「OK」ボタンを押してしまった
  • 不審なサイトからダウンロードしたファイルを開いた

ハードウェア

数は多くないものの、ハードウェアを利用した感染方法もあります。
マルウェアを仕込んだUSBメモリを関係者からの荷物を装って送り付けるケースです。
気付かずに差し込むと自動的に実行され感染してしまうというケースが発生し注意喚起が行われました。

典型的な感染パターン

  • 道端に落ちていたUSBフラッシュメモリやDVDを読み込んだ

外部攻撃

いわゆるクラッキングやソーシャルハッキングと言った攻撃となります。

典型的な感染パターン

  • ネットワーク越しの悪意がある第三者からの攻撃
  • 悪意がある第三者が直接端末を操作しダウンロード・実行を行った

続いて、主な症状をみていきます。

PCの挙動が不安定になる

他のネットワークへの攻撃の踏み台にされたり、spamメール送信用のbotにされたりした場合の特徴的な症状です。
本人には直接的な被害が見えないため、ただの不調や経年劣化として見過ごされてしまうケースもあります。

典型的な感染パターン

  • 突然シャットダウンや再起動を繰り返す
  • 急に動作が極端に重くなる
  • PCが起動しなくなる

設定していない挙動を行うようになる

ウイルス感染の典型的な症状であり、感染端末自体が狙われたケースです。
ランサムウェアなどに感染した場合もこうした症状が発生します。

典型的な感染パターン

  • 知らないうちに送った覚えのないメールが送信されている
  • 知らない広告やメッセージが表示されるようになる
  • ブラウザのスタートページが変更された
  • 「〇〇にお金を振り込まないとこのPCは利用できません」などのメッセージが表示される
  • 見知らぬフォルダが作成されている

上記以外に、そもそも表面上は特に不審な動きをしないケースもあり注意が必要です。
おかしな挙動はしていないから問題はない、というわけではなく定期的なセキュリティソフトでのスキャンを実行して問題がないことを確認しておくのが重要です。

ウイルス感染した場合のリスク

ウイルス感染した場合に発生するリスクは様々ですが、代表的なものとしては以下があります。

個人の場合

ID/パスワードを知られてECサイトやネットバンクへの不正アクセス

キーロガーなどを仕込まれてネット通販やネットバンクへのアクセスを行った際の記録を窃取され、外部へ送信されるケースです。
その後不正注文やアクセスが発生し被害が出てからでないとなかなか気づきにくい部分があります。

迷惑メール配信のbotや踏み台として利用

国内で送られている迷惑メールは全Eメールの40%を占めているといわれています。
 この配信に使われているのがウイルスに感染しbot化された端末になります。
 また、どこかの企業に対して攻撃する際にアクセス元をたどられにくくするように中間地点として踏み台にされるケースもあります。

法人の場合

不正アクセスによる機密情報の流出

ユーザーの個人情報の流出や技術に関する機密情報が窃取されるケースです。
特に前者はその後のユーザーへの補償等も発生してしまうため、企業として非常に大きなダメージを受けてしまうケースとなります。

ITサプライチェーンを利用した取引先への被害拡大

取引先への攻撃の踏み台とされてしまうケースです。
取引先窓口となっている担当者の端末が感染した状態で相手方へ勝手にウイルス付メールが送信されるなどのケースがあり、直接的な被害に対する保証だけではなく信用問題にも発展します。

業務効率の低下および停止

気づかないうちに感染して端末の動きが遅くなってしまうと単純に仕事の効率が落ちてしまいます。
また、ランサムウェアなどに引っかかってしまうと企業として情報資産という“人質”を取られた状態となり、復旧が完了するまで業務自体がすべて停止になるケースも発生します。

ウイルス感染時の対応

最後に、ウイルス感染時の基本的な対応方法及び手順についてみてきましょう。

1.ネットワークの切り離しと隔離

まずは判明した瞬間、感染が疑われる端末をすべてネットワークから遮断しましょう。
個人情報の入ったサーバなどの感染が疑われる場合、ケースによってはルータからケーブルを抜き社外からすべての端末を切り離す必要があります。
これはウイルス感染が判明した時点から、バックドアによる外部からの不正アクセスや外部への情報流出が想定されるためです。
業務に支障が出る可能性はありますが、リスクを検討したうえでどちらが重要かを判断したうえで実行しましょう。

2.感染端末(範囲)の特定と対処

感染している端末がどれかを正しく特定し、同時に対処(セキュリティソフトによる復旧等)を行います。
サーバ側にも影響が出ている可能性があるため、できればログ解析などを行い不審な通信がないかログでの確認が必要です。

3.セキュリティソフトの定義ファイル更新を行ったうえでフルスキャンを実行

セキュリティソフトの定義ファイルを更新し、フルスキャンを実行します。
もしネットワークを切り離している場合、問題ない端末での定義ファイルダウンロード、USBメモリなどに保存、感染端末にコピーなどの手順で外部に影響が出ない状態で実行し、問題がないことを確認する必要があります。

4.ネットワークの切り戻し

感染が疑われる端末を含めた影響範囲に問題がないことを確認したうえで再度ネットワークの接続を行います。

5.利用サービスのパスワードをすべて変更

感染から発覚の間までにIDやパスワードが流出している可能性があるため、できれば感染端末で利用していたサービス等のパスワードは全て変更しましょう。

6.対応フローの振り返りおよび改善

感染発覚までの行動に何か問題はなかったか、報告含め感染発覚後の行動に滞りはなかったかを振り返り、同様のインシデントが発生しないための対応策を検討します。

感染原因が特定できない場合や除去ができなかった場合などは、必要なデータのみ感染端末から外付けHDDなどに移動し端末のOSの再インストールなども検討しましょう。
※外付けHDDを利用する際は必ず最新の定義ファイルに更新したセキュリティソフトによる
スキャンを実行後に使用しましょう(できればネットワークから切り離した状態が良い)

セキュリティソフト+ふるまい検知(不審な挙動のチェック)機能があるソリューションで安心を

セキュリティソフトだけによるウイルス対策は、決して万能ではありません。
常日頃から攻撃者に脆弱性を調べられ、検知機能に対する対策を行われているため単独での防御には不安が残るのが現状です。

こうしたケースに対応するためにはふるまい検知(不審な挙動のチェック)機能があるソリューションを併用する方法をお勧めします。
通常では考えにくい挙動を自動検知してアラートを上げることができるため、新しい脅威に対しても対応できる可能性が高まります。

また、リアルタイムでの検知および対処ができるサービスを利用することで情シス担当者の負荷も減り会社としての安心感も高まると思われます。

SOMPOリスクマネジメントからのご提案

記載した通り、セキュリティソフトは決して万能ではありません。
こうした中でウイルス感染を発生させないようにするためには、セキュリティソフト単体での防御に加えた多層防御が効果的です。

SOMPOリスクマネジメントではウイルス対策ソフトをすり抜けてくるウイルスを見つけて駆除する常駐型監視サービスをご提供しております。

テレワーク実施時のセキュリティに不安がある企業様はぜひ一度ご検討ください。

月額550円(税込)/台で使えるウイルスの解析検知・復旧支援サービス

SOMPOリスクマネジメントがご提供するSOMPO SHERIFFは、送信ログ、ディレクトリ作成履歴などを監視し、不審な挙動をチェック。
さらにウイルス対策ソフトをすり抜けてくる新種のウイルスも解析し検知します。
加えて検知したウイルスをハンティング(駆除)も可能です。

まずはSOMPO SHERIFF を無料でお試しいただける『SOMPO SHERIFF無料体験版』からご利用ください。

SOMPO SHERIFFは、無料体験版を行わずに有料契約をお申込みいただくことはできません。

SOMPO SHERIFFは独立行政法人情報処理推進機構(IPA)が中小企業向けのサイバーセキュリティサービスとして制定した「サイバーセキュリティお助け隊サービス基準」を満たすサービスとして登録され「サイバーセキュリティお助け隊サービスマーク」を付与されました。 ※詳細はこちら