STAFF COLUMN

スタッフコラム

マルウェアに感染したら、社員と会社は実際どうすればいいの?

作成日:2022.12.16

ツル@シス担です。

25周年の社長コラムによると私はパフ暗黒時代に会社に加わったようです。

いろいろな意味でびっくりしましたね。社員がみな個人事業主のように働いている大変そうな会社だなぁと思った記憶があります。

2022年の25周年の節目に明るく振り返りができることがありがたいことです。

 

25周年の懇親会から帰ったら、子供(といっても成人)がコロナ感染高熱状態。二日酔い看護でしたが、なんとか自分は二次感染は現状免れています。(油断はできません。)

事前の看護備品の準備、食事の作り置き、隔離分離の徹底、ウイルス除菌にはエタノールIPスプレーがおすすめです。



 

さて今回は病気じゃないほうの感染、マルウェア、ランサムウェアに感染した時、実際どうすればいいかについてです。


 

もちろん私がどうこう書くまでもなく、ググればうんざりするほど情報が出てきます。

いろいろ調べてもいます。セキュリティ会社の迷惑メール訓練、セキュリティ調査などもあれこれ。

そこそこお値段及び手間がかかる割に「で、効果はいかほど?」と思ってしまうことも。

すべての社員が様々な情報を読み込んで適切に行動してもらうにはどうしたらいいのか?

ミニマムにやるべきことを今日はまとめてみました。

ポイントは最短、最低限。


「最低限 感染対策 ランサム」

でググると警察庁がトップ検索ででてきました。The公式って感じですね。

でも内容は細かいので、コスパタイパ民には無理です。やはり。

 

「なにか危ないものの蓋を開けてしまったら」


最低限やるべきこと!はこれだけ(細かくやろうと思えばいくらでも細かくなるんでしょうけど、まずは最低限からです。)

自分事としてぜひ読んでもらいたいので社員の名前を仮に設定。

 

【1】草原友緒さん(仮社員名)は異変(もしくはその手前、未遂)を発見しました。まずネットワークからPCを切り離します!


【1-1】異変の手前、起こしそうな状態とは?(例えばこんなメール)



知らない人からの怪しい添付つきメール

 

【1-2】異変とは?(例えばこんなメールのコンテンツを有効化してしまった)

読み取り専用で開くのが基本です。マクロは信頼できるもの以外すべて無効にしましょう。



 

【1-3】ネットワークから切り離すとは?

LANケーブルは抜く。Wifiはここからオフ



感染マシンがネットにつながったままだとこんな悪さをされてしまいます。

- 端末やブラウザに保存されたパスワード等の認証情報が窃取される
- メールアカウントとパスワードが窃取される
- メール本文とアドレス帳の情報が窃取される

- 窃取されたパスワードを悪用され ネットワーク内に感染が広がる

- 窃取されたメールアカウントや本文などが悪用され、感染を広げるメールが送信される

 

【2】 草原友緒さんは管理者に連絡します。連絡手段は電話がいいです。


メールでインターネット経由で問い合わせしないようにしましょう。

(未遂案件だったら連絡はインターネット経由でも問題ないですが、とにかく訳が分からなかったら会社に電話で知らせましょう。)

怪しいメールだけど、


「添付はひらいてないよ」


「マクロは実行してないよ」


「ZIPは解凍してないよ」


ってことであれば「未遂」案件の可能性もあります。メールを転送せず、そっと止めておいてほしいです。


が、ここからは感染の疑いが強いという仮定で進めます。

 

【3】管理者は感染したと判断したら、草原友緒さん  のWindowsとGoogleの該当アカウントを停止します。


 

【4】管理者は全社員に感染の事実の報告、全社員は自分のアカウントのパスワードを変更します。


二段階認証も再設定、確認します。

ウイルス対策ソフトのマルウェアチェックを実施します。

※こんなときのために会社のウイルス対策ソフトは最新化してローカルスキャンできるようにしておきます。

 

【5】管理者はネットワーク遮断状態で 草原友緒さんのPCの感染状況を確認


※こんなときのためにスタンドアロンで動くチェックツールを全PCに忍ばせておきます。

 

【5-1】明らかな感染状態の場合、管理者は草原友緒さんのPCのOSを初期化します。

状況が判断できるまで、オンプレミスサーバをネットワークから切り離します。

草原友緒さんのGoogleアカウントをリセットするか判断。

OS初期化再インストール後、ウイルス対策ソフトのフルスキャン実施。

※こんなときのためにUSBで再インストールできるOSとウイルス対策ソフトを準備しておきます。

※影響範囲の調査が必要ありそうなら、フォレンジック契約をしている会社と連携します。

 

【5-2】草原友緒さんのPCが感染源を保持していることを確認、感染源を保持しているが、感染してない場合。

感染源(メールや添付ファイル)の画面を証拠としてキャプチャ。

送信元、送信先アドレスも証拠として保存。

該当メールを削除

 

【6】管理者は経営者へ影響の報告


業務への影響、信用面(情報漏洩等)の影響等を報告

 

【7】経営者は必要に応じて、サイバー保険会社に連絡。顧客、社員へ影響の適切な報告を実施


必要に応じて状況説明、謝罪、保証の準備。

 

事前準備については別途社内共有しますが、

1:まずは準備する。

2:そして危険には近づかない。

3:地雷を踏んでしまったら迅速に報告です。

【予告】全社員、一度手を動かして行動訓練しますので、よろしくお願いします!

 
ページの先頭へ