昨日、職場のサーバがある時刻から2台ほぼ同時刻より、再起動を繰り返す障害が発生した。その原因は、結果的にはウィルス感染したPCからのサーバー攻撃によるものだった。
経験上、障害の発生した時刻に何か変わったことが無かったか、部内を聞き取り調査したところ、部員が社外出張から帰社し、ネットワーク接続した時刻とほぼ同一時刻だった。調査を進めてみると、社外でAirHでインターネット接続した後から、翌日PCの起動時にウィルス感染のメッセージが表示されたらしい。その場でウィルス駆除を行ったが、何度スキャンかけてもそのウィルス感染表示が消えなかったらしい。
40台近いPCがある部署ですが、どうやらそのPCを部内に接続してから障害が発生した。その後、もしやと全てのPCのウィルススキャンを実施したところ、部内で7台も感染が発覚した。幸いなことに、IP体系の違いにより、他部署への全社的な感染には至らなかったのが救いだった。
いずれのPCにも最新の定義ファイルによるノートンアンチウィルスソフトがインストールされているにも関わらず、完全スキャンするまでウィルス感染が発見出来なかった。毎日、昼休みに完全スキャンを実行しているので、明かに昨日から今日の午前中にかけてウィルス感染が広まったものだった。何故、感染時にアンチウィルスソフトで見つからなかったのか・・・。
そのウィルス名は「W32.Spybot.Worm」。症状としては、大きくは「不正アクセス」「秘密情報の漏洩」の2つ。前者の不正アクセスによりサーバーがダウンしたものだった。後者については、被害があったかどうかは特定できず・・・。考えたくもありませんが。
http://www.symantec.com/region/jp/avcenter/venc/data/jp-w32.spybot.worm.html
感染したPCをネットワークから隔離し、手動でウィルス駆除を行ったことで、その後はサーバーも全て正常復帰した。
今回のウィルス感染経路は、メールでもなくWEBの閲覧でもなく、社外でインターネットに接続したことだけだったとほぼ断定。しかし、ネットワークに接続しているだけで感染するなんて、嘘の様なホントの話し。幸い、自分が職場で利用している2台のPCは感染は無かった。どうやらOSの最新バッチを当てているかどうかが、感染の運命の分かれ道だったようだ。
今回の様にインターネットに接続しているだけでウィルス感染というのは、しかもアンチウィルスソフトがあってもスルーしてしまうウィルスって、いわゆる新種の亜種だったのか。普段に誰にでもあり得るウィルス感染なのかもしれません。
世の中、情報漏洩事件が相次いでいるけれど、他人事ではないこと痛感した1日でした。