TCA

ウイルスに感染してしまった!!
どうしていいのかわからない!

○ウイルスに感染してしまいパソコンに被害は出ていませんか○

 何もしていないのに画面上に意味不明なメッセージが表示される。また、画面上にアニメーションや図形が表示される。さらに、画面上の文字や絵が崩れ落ちていったり、いつも使っているソフトウェアがいつもと違う表示をしていたりしていませんか。
 また、急に音楽が鳴り出したりしていませんか。
 そして、エクセルなどのマクロを動かした後、不必要なメッセージが表示されていませんか。

 コンピュータがこのような動作を行った場合コンピュータウイルスに感染している可能性があります。

 ただし、これらの中には、ハードウェアやソフトウェアのトラブル場合がありますので、判断がつきにくいものもあります。

 コンピュータウイルスによるトラブルなのかの判断に迷っているとき、または実際にコンピュータウイルスに感染してしまい、どうしたらいのかわからずお困りの時には、弊社にご相談ください。トラブルの内容を整理して、問題を解決いたします。

コンピュータウイルスの定義

 

 通商産業省が告示した「コンピュータウイルス対策基準」によると、コンピュータウイルスの定義を以下のように定義しています。

『第三者のプログラマーやデータベースに対して意図的に何らかの被害を及ぼすように作られたプログラムであり、次の機能を一つ以上有するもの』

1.自己伝染機能

 自らの機能によって他のプログラムに自らをコピーし又はシステム機能を利用して自らを他のシステムにコピーすることにより、他のシステムに伝染する機能

2.潜伏機能

 発病するための特定時刻、一定時間、処理回数等の条件を記憶させて、発病するまで症状を出さない機能

3.発病機能

 プログラム、データなどのファイルの破壊を行ったり、設計者の意図しない動作をする等の機能

 つまり、コンピュータウイルスとは、正常なプログラム(ソフトウェア等)やデータに対し、勝手に入り込んで気づかないうちに増殖し、そしてあるとき突然動き出し、プログラム(ソフトウェア等)やデータを破壊したり、いつもと違う動作を起こすプログラムです。

 

コンピュータウイルスの種類

 

 コンピュータウイルスには世界中に色々な種類がありますが、大きく分けて次の四種類があります。

 その中の多くは、通常、どこでも入手可能な利用者応用ソフトウェア(Word,Excel他)などの一般に流通されているソフトウェアパケージが中心です。

1.プログラムの破壊型

 OS(Windows、Mac等)などの基本ソフトウェアを破壊していくものや、WordやExcelなどの応用ソフトウェアを破壊していくもの。

2.データの破壊型

 フロッピーディスクやハードディスクなどの中にあるファイルのデータを破壊していくもの。

3.画面表示の破壊型

 画面上(ディスプレイ上)に突然、文字や図形などを表示するもの

4.特定日時メッセージ出力型

 「画面表示の破壊型」の一つだが、特定の日時(コンピュータの内部時計による)にコンピュータを作動させると起こるもの。

 例えば、クリスマスに画面上に「メリークリスマス」と表示するもの、ミケランジェロの誕生日(3月6日)にフロッピーディスクやハードディスクを初期化してしまうものなどがあります。

 

コンピュータウイルス対策の流れ

 

T.ウイルスに感染してしまったら
 

 

1.ワクチンプログラムの実行
 

 はじめにコンピュータがどのようなウイルスに感染してしまったのかを判断するために、症状がでたコンピュータにワクチンプログラムを実行します。

 次にコンピュータが何台かある場合、同じようにウイルスに感染している可能性があるためワクチンプログラムを実行します。

 コンピュータがネットワークに接続されている場合はその感染したコンピュータをネットワークの接続から切り離します。その後にワクチンプログラムを実行します。

 

2.ウ イ ル ス の 特 定
 

 感染したウイルスが判明したら、そのウイルスの特徴を見極めます。それにより、駆除の方法、駆除後の対応が違ってきます。

 

3.ウ イ ル ス の 駆 除
 

 ワクチンプログラムを使用してウイルスを駆除します。

 ワクチンプログラムの中には、ウイルスを取り除いて(駆除して)、感染したプログラムまたはファイルを正しいウイルスなしのプログラムまたはファイルに修復してくれるものもあります。

 

4.ウイルス感染経路の原因分析
 

 ウイルス被害の再発を防止するため、どのような経路でウイルスが感染してきたのか原因を分析し、再発を防止います。

 ウイルスプログラムの混入経路は主に、フロッピーディスクからのファイルのコピー、インターネットからのファイルのダウンロードがあります。
最近では特にe-mailの添付ファイルにウイルスが混入している場合があります。

 これらを中心に調べ、再発防止に役立てます。

 

5.ウ イ ル ス 感 染 報 告

 コンピュータウイルスを発見、またはコンピュータウイルスに感染した場合には政府関係機関である情報処理振興事業協会(IPA)へ報告いたします。

 幹線被害の拡大と再発防止に役立てるための貴重な情報源となります。

 届け出の内容の中でプライバシーに関する情報を公開することはありませんのでご心配はありません。

住所

 〒113-6591

東京都文京区本駒込2-28-8
文京グリーンコート センターオフィス16階

IPAセキュリティセンターウイルス対策室

FAX

 03-5978-7518

E-mail

 virus@ipa.go.jp

 

6.ウ イ ル ス 対 策

 原因分析をもとに今後の再発防止のための対策をします。

 通商産業省告示の「コンピュータウイルス対策基準」を基に対策を行います。

 例えば「システムユーザー基準」を以下に記載します。

システムユーザー基準

a.ソフトウェア管理

  1. ソフトウェアは、販売者又は配布責任者の連絡先及び更新情報が明確なものを入手すること。

  2. オリジナルプログラムは、ライトプロテクト措置、バックアップの確保等の安全な方法で保管すること。

b.運用管理

  1. 外部より入手したファイル及び共有するファイル媒体は、ウイルス検査後に利用すること。

  2. ウイルス感染の被害が最小となるよう、システムの利用は、いったん初期化状態にしてから行う。

  3. ウイルス感染を早期発見するため、システムの動作に注意すること。

  4. ウイルス感染を早期に発見するため、最新のワクチンの利用等により定期的にウイルス検査を行うこと。

  5. 不正アクセスによるウイルス被害を防止するため、パスワードは容易に推測されないように設定し、その秘密を保つこと。

  6. 不正アクセスによるウイルス被害を防止するため、パスワードは随時変更すること。

  7. 不正アクセスによるウイルス被害を防止するため、システムのユーザIDを共有しないこと。

  8. 不正アクセスによるウイルス被害を防止するため、アクセス履歴を確認すること。

  9. 不正アクセスによるウイルス被害を防止するため、機密情報を格納しているファイルを厳重に管理すること。

  10. システムを悪用されないため、入力待ちの状態で放置しないこと

  11. ウイルス感染を防止するため、出所不明のソフトウェアは利用しないこと。

  12. ウイルスの被害に備えるため、ファイルのバックアップを定期的に行い、一定期間保管する。

c.事後対応

  1. ウイルスに感染した場合は、感染したシステムの使用を中止し、システム管理者に連絡して、指示に従うこと。

  2. ウイルス被害の拡大を防止するため、システムの復旧は、システム管理者の指示に従うこと。

  3. ウイルスの被害の拡大を防止するため、感染したプログラムを含むフロッピーディスク等は破棄すること。

d.監査

  1. ウイルス対策の実効性を高めるため、ウイルス対策についてのシステム監査の報告を受け、必要な対策を講ずること。

 

U.ウイルスに感染する前に

 

1.コンピュータウイルス対策

 

 

 

 

 実際にウイルスに感染してしまってからでは、手遅れとなりどうしようもない場合がほとんどです。時によってはシステムを最初から入れなおさなければいけなくなってしまうなど、その損失は計り知れないもとなります。

 しかも、感染しているかどうかは実際にウイルスが作動して始めてわかるなど、気づかない場合が多いのが現状です。

 しかし、感染する前に対策を講じることにより、ほとんどの場合感染を防ぐことが出ます。

 その対策として、通商産業省告示の「コンピュータウイルス対策基準」を実行して下さい。

 また、以下のことは日ごろから行うようにしてください。

  1. 最新のワクチンプログラムを用いること

  2. 万一のウイルス被害に備えるためデータのバックアップを定期的に行うこと

  3. 外部から持ち込まれたフロッピーディスク及びインターネット上からダウンロードしたファイルは必ずウイルス検査をすること

  4. メールの添付ファイルはウイルス検査後開くこと

  5. ウイルスの兆候を見逃さず、ウイルス感染の可能性が考えられる場合ウイルス検査を行うこと

  6. ウイルス感染の可能性のあるファイルを扱う時は、マクロ機能の実行は行わないこと

  7. コンピュータの共同利用時の管理を徹底すること

 

V.ウイルス対応−実例報告

1.導入(ウイルスに感染)

 

  プロバイダから 「送信したメールの添付ファイルにウイルスが感染しているので削除させていただきました。なお、…」 と、返送されてきました。

 

2.現   状   把   握

 

  メールを送信するパソコンは決まっており、はじめに、ウイルスの特徴を把握するために、そのパソコンにワクチンのプログラムを実行しました。

  結果、エクセルのマクロに感染する「X97M LAROUX.A」であることが判明しました。 このウイルスは以下のような特徴を持っていました。

発病  

破壊活動なし 

増加サイズ 

2389バイトまたは2365バイト(2マクロ) 

特徴

  マイクロソフト社のExcelバージョン5以降のスプレッドシートに感染するマクロ型ウイルスである。バージョン4以前のExcelでは感染できない。 感染方法 ウイルスはExcelの標準スプレッドシートである。PERSONAL.XLSファイルに感染する。このファイルがない場合、ウイルスがこのファイルを作成する。その後、オープン、新規作成されたスプレッドシートすべてに感染する。PERSONAL.XLSがリードオンリーの場合、ウイルスは感染できない。ウイルスのバージョンによっては「laroux.」という名称の隠しワークシートを作成する。このため、感染文書の印刷が正常に行われない場合がある。 

使用マクロ 

auto_open 

check_files

 

 

これをもとに、ウイルス駆除のを以下のように行いました。

 

3.対              応

 

@ウイルスの駆除(ワクチンプログラムの実行)

   その社内のコンピュータはネットワークで接続されていました。
そのため、はじめにウイルスが発見されたパソコンをネットワークから分離しました。
つぎに管理者の立会のもとワクチンプログラムを実行し駆除しました。

   この処置と平行してネットワークにつながっているすべてのパソコンにワクチンプログラムを実行しました。
ウイルスが発見されたパソコンについては管理者の立会のもとワクチンプログラムで駆除し、ファイルを削除しました。

 

Aウイルスの確認

   対処後、完全に駆除されているのかチェックするため、同様のエクセルファイルを作成し、保存しました。
   結果、他のパソコンでは異常は見られずウイルスは完全に駆除されましたが、メールを送信するパソコンでは不明なメッセージがあらわれ、完全に駆除されいないことがわかりました。
   そこで、もう一度ワクチンプログラムでウイルスを駆除し、ファイルを立ち上げるとマクロのエラーメッセージがあらわれました。ファイルのマクロプログラムを開き、その原因を探しました。
   その結果、ウイルスによって作成されたファイルをワクチンプログラムで削除するのを忘れ、残っていたのが原因でした。
ファイルを削除し、もう一度ワクチンプログラムを実行したところ、完全に駆除されていました。

 

B入手経路の特定

   つぎにウイルスの入手経路の特定を行いました。
   ウイルスが感染したファイルの作成者に、そのプログラムの入手方法、入手経路を聞き取り調査しました。
   その結果、インターネット上から、ダウンロードした無料のプログラムが入ったフロッピーを借りて作成した事が判明しました。
   さらに、社内のパソコンにはワクチンプログラムがインストールされておらず、その結果、発見が遅れた事も判明しました。

 

4.事  後  対  策

 

  1. 社内のパソコンにワクチンプルグラムをインストールすること。そのワクチンプログラムは最新のものを使用すること。

  2. 万一の備えのために定期的にバックアップすること

  3. 不特定のファイルをパソコンに入れる場合は必ず、ワクチンプログラムを実行すること。また、管理者に必ず確認をすること。

  4. メールに添付されているファイルを開く前に必ずワクチンプログラムを実行すること。

を通知しました。

最後に、情報処理振興事業協会(IPA)へ報告(電子メールの送信)をしました。

 

はじめのページに戻る

Copyright (C) 2001 Top management Consulting Associates Co,.Ltd All Rights Reserved.