ウィルスによる被害記録 (2001年9月21日) <<戻る>>
これまで、パソコンを使っていて、
- 詳細不明なファイルのダウンロードや実行は絶対に行わない
- メールソフトはunix-likeなmule(Meadow)上のものを使う
- ワクチンソフトを常駐させる
- IE(インターネットエクスプローラ)は常に最新版(今回は6.0)を使う
等の万全の対策を取って来た「つもり」でしたが、遂にウィルス(ワーム)にやられ
てしまいました。特に、被害時の数週間前に問題となったcode Redについては、
パッチをきちんと当てていたにもかかわらず、Nimdaによる感染を防止できませんでした。
非常に残念な事態ですが、今後のためにも顛末を記録しておくことにします。
○原因
まず、主な原因は、感染したマシン(Windows2000SR2)でIISサービスが機能し
ていたことです。これはFrontPage2000を使ったホームページの更新のために
導入し、使っていたものです。
○顛末
- 9/21 11:00─ \tmpディレクトリに、正体不明のメールファイル(拡張子eom)
が出来ているのを見つけ消去。中をアーカイバで見るとreadme.exeが見える。
少なくとも解凍・実行した覚えは無い。
- 9/21 12:30─
外で昼食中に、ウィルス感染のため、マシンをネットワークから
大至急切り離すようにとの緊急連絡を電話で受ける。
- 9/21 13:30─
大至急居室に戻り、マシンからイーサネットケーブルを抜く。
ネットワーク委員が、既にゲートウェイからの切り離しをしてくれていた。
(この時点で、研究室の全マシンが遮断される。但し、スィッチングハブで相互
接続されているので、研究室内での印刷・ファイル共有は機能。
これらのマシンが感染していたかどうかはこの時点では不明)。
- 9/21 14:00─ネットワーク委員から、Nimdaウィルスの情報及びワクチンの
所在を聞く。ワクチンソフトをダウンロードしようとするが、バージョンの古い
ものしかWeb上に見つからず、Nimda対応のパターンファイルは無い。
⇒ Nimdaは、9/18以前の既存のワクチンでは対処できないものでした。
- 9/21 14:30─ \tmpディレクトリに再び正体不明のファイルが見える。検索
すると、いたるところのディレクトリに、readme.eom等(ファイル名は数種類)
が出来ている。これをバッチ処理で除去。しかし、再び新しいファイルが
作られているようす。
- 9/21 15:00─ ネットワーク委員のアドバイスでIISサービスを停止すると、
動きは止まる。この時点で、研究室内の他のマシンに正体不明のファイル
は存在していないことを確認。これらのマシンではIISサービスは動いて
いなかった。
- 9/21 16:00─
この時点で、全てのマシンをゲートウェイに再接続。
- 9/23─ 窓の杜にてようやく対策ファイルfix_nimda.exeがダウンロード
できるようになる。これを実行。RootのAdmin.dllや、C:\Inetpub\Scripts中
の多くのファイルが感染していた。これらを全て対処。
- 9/23─ Microsoftより、IISの対策パッチQ301625_W2k_sp3_x86_ja.exe
(8/15版)をダウンロード、導入。(但し、もはやIISサービスの再開は断念)。
- 9/24─
共有ファイルが増やされる、という症状は現れていないことを確認。
Guestユーザのアカウントを消去(権限拡大はなされていなかったが、念の
ため、及び、不必要なので削除した)。
- 9/26─ fix_nimda.exeの新バージョン1.22がリリースされる。新たにスクリプ
トファイルが汚染されていることが発覚。
○教訓
今回の感染は、
- 不明ファイルのダウンロード・実行は一切行っていない
- メール添付ファイルの解凍・実行は一切行っていない
- IEは最新版(2001年9月)のver.6を使用していた
⇒つまり、WEB閲覧が原因ではない
にもかかわらず、起こってしまいました。
結局、どうすれば良かったかと言えば、新種のウィルスであり、既存のワクチン
ソフトは無力だったわけですから、
○取るべきだった対策
1) codeRedが出た段階で念のためにIISサービスを降ろして置くべきだった。
又は
2) 逐次MSのサイトを確認して、8/15版のIISパッチを導入しておくべきだった。
ということになります。
冒頭で述べた「ウィルス対策を取ったつもり」というのは、
「院生を教育したつもり」と同義で、思い込みの可能性が高いということがよくわかった。
<<戻る>>