第4回 駆除失敗!再感染から2度目の復旧作業へ:ITpro
まだあったことないけど、トレンドラボボスでひげの人平原伸昭さんの記事です。
こんなPCありえないし・・・でも現場では起こってるんですよねぇ・・・勝手に回線新設したり・・・
「まず現在の状況を説明します。最初の復旧処理で失敗したコンピュータは,プロキシ経由外でインターネットに接続していました。これらのコンピュータはネットワーク・カードを2枚備え,一方をLANに,もう一方を直接インターネットに接続している状態です。そのため,初期対応のプロキシによるURLブロックが効かず,復旧作業の間にも新しい不正プログラムがダウンロードされ,再びLAN内で再感染が起こっている可能性があります」
抜け穴を使った感染拡大。このあたりが資産管理の重要性になってくるんでしょうねぇ。(難しいけど
今回の事例で駆除に失敗したコンピュータは,A社に設置されたプロキシ・サーバー経由以外でインターネットにアクセスできる端末であった。修復作業を行っているかたわらで,新たな不正プログラムを次々とダウンロードしていたのである。
このような現実は何もA社に限ったことではなく,多くの企業において発生しうる事象である。筆者も,サポートの現場で幾度となく目にしている。業種や業態にもよるが,企業ネットワークにおいてWebアクセスを完全にコントロールできない環境が生じてしまうことは理解できる。ただ,このような環境がプロキシ・サーバー上で不正なURLをブロックしたにもかかわらず,新たな不正プログラムを次々とダウンロードしてしまう事態を招き,結果的に感染台数の拡大や復旧作業の長期化につながっていくのである。
