工場が襲われた時、復旧に取り掛かる前に知っておくべき5つのこと:場面で学ぶ制御システムセキュリティ講座(3)(2/2 ページ)
制御システムにおけるセキュリティが注目を集める中、実際に攻撃を受けた場合どういうことが起こり、どう対応すべきか、という点を紹介する本連載。3回目となる今回は、不正プログラムに感染した場合、復旧までに実際にどういった手順を踏むのが望ましいのかを解説していく。
手作業で不正プログラムを駆除できるのか
不正プログラムに襲われ、実際に駆除処理を行うとなると「一体どうやって行うべきなのか」と戸惑う人も多いだろう。また、その戸惑いをなくすために、あらかじめ駆除処理を手順化しようとする人も多いと考えられる。
しかし、そもそも不正プログラムに感染したシステムを手作業で復旧できるのか、という根本的な問題を考えてみると、実はこれは非常に難しいことなのだ。以下、不正プログラムが改変するシステムの内容を、「WORM_DOWNAD.AD」の例をとって、トレンドマイクロのWebサイトから抜粋した。
これは、記載内容のごく一部である。これだけ読んでもうんざりという人もいるかもしれない。しかし、これを手作業で復旧するとなると、1つずつプログラムを元に戻す作業をしていくことになる。
ただ、ファイルやレジストリを単純に削除しても、うまくいかないケースが多い。それは、不正プログラム自身も削除されないような対応をしているからである。例えば、エクスプローラなどからは見えないファイルとなるように、システムを改変するといったケースだ。また、自身が削除されるのを監視し、自動で復元する不正プログラムもあるため、単にファイルを消す程度では元の感染状態に戻ってしまうケースも多い。
そのため、単に不正プログラムが作成したファイルやレジストリを元に戻せばよいというわけではなくなってくる。削除する順序も重要になるし、場合によってはOSの設定を変更しながら作業をする必要が出てくる。要するに、手作業で不正プログラムを駆除するという方法は、システムをおかしくするリスクもある上に、手間も時間もかかるということをきちんと認識しておく必要があるということだ。
不正プログラムを駆除する方法
不正プログラムの感染を駆除するには以下のような方法がある。自社の環境に適したものを実施することをあらかじめ決めておくのがよいだろう。
- 別の感染していないPC端末と入れ替える(業務優先の場合)
- 駆除ツールを利用して駆除処理を行う
別のPC端末に入れ替えるというのは、故障時の対応として代替機が既にあるような場合に効果を発揮する。ただし、不正プログラムが蔓延(まんえん)している状態で入れ替えてしまうと、入れ替えたPC端末も不正プログラムに感染してしまう可能性が高いため、十分な注意が必要だ。
その他の方法としては、1台ずつ不正プログラムを取り除いていく他はない。その際には、フリーの駆除ツールやUSBスティック型などのセキュリティソフトを使うようにするのが確実だ。
なお、駆除ツールに関しては、特定の不正プログラム専用のものと、汎用的に利用できるものがある。特に汎用で利用できるものは、最新のパターンファイル(定義ファイル)をダウンロードする必要があるので、使用方法を必ず確認してから利用していただきたい。
余談であるが、最近は「偽物」の駆除ツールも多く出回っている。それ自体が不正プログラムであるケースだ。フリーだからといった理由だけで選ばずに、きちんとした出所(でどころ)のものを使うようにしていただきたい。
不正プログラムの駆除が終わったら
不正プログラムの駆除が終わっただけで、システムが元に戻ったとはいえない。駆除が終わったものからネットワークに接続していった後、最低でも以下の確認が必要だ。
- システム全体が正しく動作しているかの確認(検証)
- 再度不正プログラムが広がっていないかの監視
これらを実施し、ようやく復旧したといえるだろう。実際に自社のシステム内に不正プログラムが蔓延(まんえん)してしまったような状況で、適切な判断をしながら復旧していくのは容易ではない。事前に不正プログラム感染時の対応を明文化し、可能であれば訓練を実施するなど、万が一の問題発生時にも適切に対応できる組織にしておくことが望ましい。
◇ ◇ ◇ ◇
今回は、不正プログラムに感染した場合の駆除と復旧までの過程を主に解説してきた。実際には不正プログラムに感染したかどうか、さらには感染範囲がどこまでかをどうやって判断するのか、といった課題がある。
それらの課題を解決するためにも、多層的なセキュリティ対策が必要となってくるのだが、次回はそのセキュリティ対策を導入ポイントごとに解説していきたい(次回に続く)。
危機を迎える制御システムのセキュリティ対策とは?:「制御システムセキュリティ」コーナーへ
工場やプラントなどの制御システム機器へのサイバー攻撃から工場を守るためには何が必要なのでしょうか。「制御システムセキュリティ」コーナーでは、制御システムセキュリティ関連の最新情報をお伝えしています。併せてご覧ください。
関連キーワード
感染 | ネットワーク | セキュリティ | Downadup/Conficker | 駆除 | トレンドマイクロ | セキュリティ対策 | ネットワーク監視 | 場面で学ぶ制御システムセキュリティ講座 | 予防保全
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
生産ラインにマルウェアが侵入したらこんな感じで被害が生まれます
制御システムにおけるセキュリティが注目を集める中、実際に攻撃を受けた場合どういうことが起こり、どう対応すべきか、という点を紹介する本連載。2回目となる今回は「不正プログラムによって生産ラインが止まった段階」から、「不正プログラムの特定、駆除」までを、「DOWNAD」という非常に多くの感染例がある不正プログラムを例に解説する。
工場管理者必見! 攻撃者視点で考える制御システムの不正プログラム感染
制御システムにおけるセキュリティが注目を集めている。実際に工場などの制御システムが不正プログラムによる攻撃を受けた場合、どういう影響があり、どういう対応を取るべきなのだろうか。本連載では、予防としての対策だけでなく、実際に制御システムが不正プログラムに感染した場合の影響とその対応方法、そのための考え方などについて解説していく。
事例から見る、製造現場でのセキュリティ導入の“ツボ”
増加する“制御システムを取り巻く脅威”に対し、制御システムセキュリティ対策が急務になっているが、そこには製造現場ならではの課題も多い。現場で実際に起こったセキュリティ事例から、製造現場でのセキュリティ導入の“ツボ”を考える。- テーマサイト「制御システムセキュリティ」