川井産業（KIJ）　Blog

ここでは名前などは一切明かせませんが、ある現場でトラブルが発生いたしました。

この案件のインフラ周りのことを取り仕切っている方と、私のメイン取引先は取引関係が
ございますので、その縁で参加させていただき、

インフラ周りの設定などをさせていただいておりましたので、

緊急なトラブル発生時には行くときがあります。

構成的には、サーバー約３０台、クライアントPC３００台といったところでしょうか。
メインの処理しているサーバーはクラスタ構成になっております。

そしてほとんどのPCはAD管理下に置かれております。
そしてクローズ環境ですので、インターネットにはつながっていません。

あるときにクライアントPCがサーバーからうまく情報が引き出せなくなるというトラブルが発生して
しました。

とにかくそのときは現場がパニック状態。

関係者様がいろいろ調べた結果、最終的には同一ネットワーク内にある全サーバー、全PCに
ウイルスが感染していることが確認され、大阪部隊が出動となったわけです。

現場に行くまで、東京からこられた協力会社様、大阪部隊共に状況がわからず、とにかく
現場に向かいました。

すでに他社様がクライアントPCへの感染を取り除く作業をされておりましたので、
私たちの任務は必然的に私たちが担当したサーバーの状態の調査と、
ウイルス除去をすることになったわけです。

調べた結果、主要な処理をするサーバー２０台には感染とみられる状態が確認できました。
暗い気分になりながらもウイルスを調べました。

幸いかどうかわかりませんが、このウイルスに関しましては、破壊活動を行うタイプのものでは
なくワームと言われるものでした。スパイウェアでもないので、そこまでやっかいなものでは
ないことはわかりましたが、このワームはPC内にあるすべてのEXEファイルに感染し、

勝手にインターネットのあるサイトからパスワードクラックするツールをダウンロードし、
どこかに配信するといった類のものでした。

このサーバーにはサーバープロテクトといわれるトレンドマクロ社発売の製品が稼動していましたが、
クローズ環境の為、自動では最新状態にならずパターンファイルが古いままでしたの、
感染に対応できなかったという感じです。ここは運用上手動で上げる必要がある現場でした。

どうやら新しいパターンファイルで発見、駆除できるという情報でしたので、アップデートしました。

ただしひとつだけ心配がありました。駆除できない場合、ほとんどのケースは検閲としてファイルごと
ウイルス動作が無害化される特殊なフォルダに放り込まれてしまうのです。

今回はEXEファイルなので、もしこのファイルごと検閲されると、システム上から削除されることと
変わりませんので、駆除することによってシステムがダウンする危険性がありました。

落ちても被害が少ないサーバーを選定し、駆除開始。

そしてうまく駆除されてから、こんどは再起動。

頼む。。。。

なんとか立ち上がりシステムも順調に動作している。

なんとかうまく行き、担当サーバーすべてをアップデートし、それから駆除。

なんとか全台数終了。ふーーーー疲れた、時計は午前３：００、長い戦いでした。

もしこれが破壊活動をともなったウイルスであれば、
システムはダウンし、全サーバー、全クライアントすべて一からやり直しになります。

恐ろしい。。。。。

単純にシステムがダウンし手間が増えることによってかかる余計な経費、
システムをもう一度構築する為の費用、

実際そうなってしまうと、お客様の被害額は相当なものになると思います。
経営が傾いてしまうほどの額です。

今回は運がよかったと思います。

クローズな環境なので、ウイルス感染経路はおのずと決まってきます。
恐らくフラッシュメモリーなどの外部ストレージからの感染だと思われます。

たった一個の感染フラッシュメモリからのここまでの被害。。。。。

ほんとうに恐ろしいですね。

みなさん、必ずウイルス対策とパターンファイルのチェックをしましょう。
そしてバックアップも心がけること。これは基本です。

もちろん私がITコンサルタントする場合は、かならずそれはワンセットです。

本当にウイルスは恐ろしいということがよくわかった現場でした。
みなさんもくれぐれもお気をつけください。

ちなみにウイルス対策は下記サイトより購入することが可能です。
http://www62.tok2.com/home/ki/link/index.html