20年ほど前にあった社内での大規模ウィルス感染という昔話
以前投稿した「ごく普通のWindows PCで、ごく普通に暗号化解除が出来てしまう実例」で、下記のようなコメントを頂きました。
「その会社は後に報道部門が情シスに断りなく自前のノートPCを持ち込んで全社にウィルスをばらまいて社会的に死んだのでもう何も思うところはありません。」の続き(ウィルスに感染してどうなったのか、どう対処したのかなど)の記事を書いていただけないでしょうか?
これ、20年くらい前の話なので、記事にできるほど正確に覚えているか、ちょっと自信ないですが、記憶をひっぱり出しながら書いてみますね。
特定されると困る…………ということもあんまりないですが、誰かに迷惑かけてもいけないので都合悪そうなところは少しボカしたり改変します。
それは派遣会社からの一本の電話からはじまった
とある外資系IT企業の研究開発部門で働いていたぼくは、サラリーマンプログラマーとして働くなら、自分にとってもうこれ以上の理想的な環境もなかろう、というほどに満足していました。
仕事内容にも給料等の待遇にも会社の知名度にも文句のつけようもなく、あえて嫌なところを挙げるとすれば英語を勉強し続けなければならないことと、通勤が面倒なことくらい。
にも関わらず、その会社を退職し、フリーランスとして起業することを選びました。若かったんですね。
…しかし予想どおりというか、当然の流れというか、フリーランスとしての仕事は順風満帆とはとても言えず、わりと貯めこんだはずの貯金もみるみる底をつき、精神もすり減っていきました。このままではまともに生活もできなくなる、そう危機感を抱いたぼくは派遣会社に登録し、「ある程度時間に融通が利き、フルタイムでなくても構わない仕事」を探しました。個人事業もあきらめたくないので、副業的な仕事が欲しかったんですね。
すると都合の良いことに、有名な会社の情報システム部門が人員を募集しているとのこと。
プログラマー職に比べるとだいぶ給料は劣りますが、時間に都合がつくほうが大事。安いとはいえ定期収入はありがたい。
しかし、情報システム部門って週に何日か人を増やせば済む程度の仕事なのかねえ?
そんな一抹の不安を覚えていると自宅の電話が鳴りました。
派遣会社「すみません、再来週から入って頂く案件ですが、ちょっと急遽人手が必要になりまして、この土日に出てもらうことって可能ですか?」
…………………嫌な予感しかしない。
僕「………ええ、わかりました。構いませんよ。」
どれだけ嫌な予感がしようとも、来月の住宅ローンが払えるかどうかというところまで追い込まれているぼくには選択肢などあろうはずもございません。
前倒しで入った現場は炎上案件
電話で概要は聞いていたので、驚きはありませんでしたが、入った現場は
ウィルス感染した大量のPCからウィルスを除去する
という修羅場でした。
集まった技術者はぼくを入れて5~6人くらいでしょうか。
こちら(技術者)の深刻な表情に比べて、現場の担当者(お客様)ののんきな笑顔が印象的です。
お客様「いやぁ~なんかパソコンの電源入れてもすぐ再起動繰り返すようになっちゃってさー。このへんのぜーんぶ。困るよねー(笑)」
そう言って笑いながら、目の前のPC(数十台)を指さします。
え… いまの話に笑う要素あった?
この人では事態の深刻さがわかってなさそうなので、技術者側のメンバーに話を聞いてみると、このフロアと同じ状況があと5フロアくらいあるそうです。つまり100台程度はウィルス感染が見込まれるということ。
再起動を繰り返す、という状況からおそらくBlasterウィルスだろうとすぐに気が付きました。当時、有名なウィルスだったのです。
BlasterウィルスはWindowsのDCOMというサービスの脆弱性をついたウィルスで、Windows UpdateでセキュリティパッチがあたっていないPCの場合、ネットワーク上にいるだけで感染します。つまり、
この会社のネットワーク上にあるWindows UpdateをしていないPCすべてが感染する
ということ。
じゃあ平気じゃん、Windows Updateは自動で実行されてるでしょ、と今の人ならそう思うかも知れません。しかし、20年前は今ほどWindows Updateが重要視されていなかったし、なんならMSのやらかしもちょくちょくあったので、むしろWindows Updateは手動でやるのが通、みたいな間違った情報が蔓延していた時代でした。
そしてなにより、ITに関連が低そうなこのお客様の場合、Windows Updateで長時間PCが使えないことにイラついてわざと止めてた、とか普通にありそうです。
まぁ、とにかく、この何もわかってないおっさんと話している間にもウィルスは増殖しています。のんびりしている余裕などない。
すぐに技術者側に声をかけ、LANケーブルを引っこ抜いてまわります。
ウィルス1匹見つけたら100匹はいると思え
当然のことながら、事前にウィルス対策ソフトは用意していました。
PCが起動できない、という話なのでフロッピーディスクにブートローダーを入れ、OSなしでも起動できる状態にもしてあります。
もちろんフロッピーディスクは書きこみ禁止モードにしてから起動。
まぁハードウェアごと乗っ取って、その書き込み禁止すら抜けてくるウィルスというのも世の中には存在するらしいですが、ぼくはまだそこまでのウィルスには出会ったことがありません。これで大丈夫と信じるしかない。
これが1台2台なら、PC解体して、中からHDDひっこぬいてフォーマットするなり、許可がおりるならむしろ物理的に破壊したいところですが、数が数です。お客様も事態の深刻さなど全くわかっておらず、「今日中に終わるよね~?」「月曜から普通に業務できないと困るよ~」などと言っています。殴りたい、その笑顔。
そして出てくるわ、出てくるわ、Blasterとそれ以外のウィルス。
目に見えて被害を引き起こしているのはBlasterウィルスでしたが、そいつが開けたバックドアから侵入したのか、それとも元々ほかのウィルスに感染しやすいネットワークの状況なのか、今日はじめて来たばかりのぼくには判断できませんでしたが、それはともかく、出るわ出るわ様々な種類のウィルスたち。
もーやだー、きもいー。
泣きながら心を殺して、ウィルスの駆除作業を続けます。
フロッピーディスクで起動する面倒さがあるとはいえ、ウィルス対策ソフトを起動して駆除するだけでしょ?単純作業じゃん、と思われるかも知れません。
最新のウィルス対策ソフトがどうなのかは知りませんが、当時の対策ソフトは感染していることは検知できるものの対処できない場合は「該当ファイルを削除するだけ」という動作が普通でした。
つまり、ウィルス駆除完了してもOS関連など、致命的なファイルが削除されたらウィルス関係なくPC起動できないんですよ。そりゃそうよね、とぼくらは納得するけど、何も知らないお客様は納得しないでしょ。だからそれも直す…。どうやって直すかって、そりゃ削除されたファイルをOSディスクから戻すんですよ。手動で…。
はー、絶対完治なんて無理っしょ。よしんば全ての対処が完了しても対策ソフトだって完璧じゃないんだから検出漏れありそうだし。
こんだけばんばんウィルス検出されるネットワークということは、絶対に社内に感染源がある。
…でもそんなこと言ったら帰れなくなるから黙っとこ…。
そうして夜中まで作業をして、なんとかひと段落するのでした。
お客様は原因より対処を望む
技術者あるあるなんですが、技術的な話をかみ砕いてするのが苦手です。
前提知識が多すぎるから、端的に話すと通じないし、前提知識から解説はじめると話長いから聞いてられん、ってなるし。どうすればいいの?
つまり、ぼくはこのお客様に対して、事態がどれほど深刻なのか、理解してもらうことが出来ませんでした。
そもそも、「ぼく→出向元の会社→お客様」という関係なので、そこまで説明する義務もないのですが、人として「また同じことが起こりますよ」ということだけは伝えておかないと、と心から相手を思って伝えたつもりなのですが、なんかこいつ小難しいこと言って金とろうとしてんじゃね?みたいな目で見られて終わりでした。殴りたい、その苦笑顔。
もうこの土日の特別出向だけでおなか一杯だったのですが、出向契約は済ませてしまっているので来週からもここに来ないといけない。
配属は情報システム部門になるのだから、おそらく原因も見えてくるだろうな、そう思いつつ沈んだ気持ちで通勤することになりました。
立場の弱い情報システム部
情報システム部門に配属されると、さっそくそこの先輩ととても仲良くなりました。
年齢が近かったこともあるし、技術者ではないものの、きちんと勉強している人で、今回の問題を正しく理解している人だったからです。
なんだ、まともな人もいるじゃん。ぼくの気持ちはスーッと楽になっていきました。
先輩「…でも、うち(情シス)は立場低くてさ。持ち込みPCやめろと言っても聞いてもらえないんだよね。」
…ズーン、と心が重くなりました。
天狗になっていた自覚はあります。
今まで様々なIT系の会社を転々としてきましたが、技術こそ至上、知識あるものが尊敬されて当たり前、そんな世界だったので、自分の指摘やアドバイスが尊重されなかったことなんてなかったのです。
正しい知識を基にした正しいアドバイスなら聞いてもらえる。そういう世界で生きてきたぼくにとって、「なんかお前ら楽してそう※だから話聞いてやらん」という世界があることに驚き、幻滅しました。
※この会社で情シスは椅子に座ってパソコンいじってるだけの部門、と思われていた
自宅にある個人のノートパソコンを持ち込むことの危険性。こんなの今の時代の人たちにとっては説明されるまでもありませんよね?
ネットワークに接続しただけで爆発的に増殖するウィルスが存在する世界で、セキュリティ対策なんてロクに行われていない個人PCを機密情報満載の社内ネットワークに接続する? なにをバカなことを。
それで話が通じることのなんと幸せなことか。20年前のその当時、こんな当たり前のことを説明しても聞く耳を持たない上司というのが実在したのです。
止まらないウィルス発生と原因解明
きっかけは先輩の一言でした。
先輩「そろそろOfficeのライセンス更新しなきゃだから300くらい買っとこう」
ぼく「…え? 正確な本数わからないんですか?」
先輩「えー、わからないでしょ。数えてまわるわけにいかないし。」
なんとこの会社、OSはおろか、Officeも何台のPCにいくつインストールされているのか全く把握していませんでした。
それでも別に悪気があってそうしているわけではないので、いつも多めに買っている、とのこと。Office入れてないPCもあるけど、PCの台数分ライセンス買っておけば足りないってことはないよね、という理論。
マジか。ある意味、いい客だな。
ぼく「じゃあ、ネットワーク上にあるPCのOffice数えるプログラム作りましょうか?」
先輩「そんなことできるの?」
情シスとして雇われてるけど、ぼくプログラマーっすからね。
気に入っている先輩が困っているなら一肌脱ぎましょう、ということでちゃちゃっとネットワーク上の全PCを走査して、インストールされているアプリの一覧を作るプログラムを開発しました。
ついでなので、Windows Updateの状況や、DCOMサービスがオフになっているかどうか等、各種PCの設定状況をチェックする機能も付けてあげました。
先輩「うわぁ…これすごいね…。前々から欲しかったけど手が出なかったネットワーク管理ツールでやりたかったこと出来ちゃったよ。あれたしか100万近くするんだよね」
ふふーん、本来のぼくの給料はそれ以上ですからね、と天狗の鼻になりつつ、自作の管理ツールの説明をしていると、満面の笑みだった先輩の顔が徐々に曇っていきます。なにごとかと先輩が見ている画面をのぞいてみると…
先輩「あぁ…まずい。これはまずい。知らなきゃ良かった。」
そこに映っていたのは、WinMXという文字。
………ファイル交換ソフトじゃねーか。そのソフト自体に違法性があるのかどうかは知らないけれど、交換されるファイルは違法であることが多いと言われています。そしてそんな出所不明のファイルにはウィルス感染していることがとても、とても、多い。つまり、
Officeのインストール本数を調査するツールを造ったら違法(な使い方をしてそうな)アプリを発見してしまった。
ということ。
ぼくも知りたくなかったよ。
それも1台や2台じゃないんだ。
ITリテラシー云々以前の問題だよ。おまえらの常識どうなってんだと。直接怒鳴りつけてやりたい気分になりましたが、しょせんぼくは出向者。
会社内でファイル交換ソフト使っているようなクズの対処は正社員である先輩にお任せすることにしました。
最初に大騒動になったPC再起動騒ぎから後もちょくちょくウィルスが見つかっていて、どこが感染源なのか、個人持ち込みPCが怪しいけどなぁ、とそちらばかり目を光らせていましたが、まさか社内ネットワーク内で、社内経費で購入したPCでファイル交換アプリを起動している社員がいるとは…。
丁寧に、丁寧に家を修繕していたら白アリ発見した気分ッスよ。
まとめ
過去のエピソードを思い出しながら書いたので、無駄に長くなりましたが、要するに
■原因
・個人持ち込みPCからウィルスばらまき
・社内でファイル交換アプリ使っている馬鹿によるウィルスばらまき
■対処
・LANひっこぬいてウィルス対策ソフトで除去
・なんらかの事情で外部起動できないPCはHDDひっこぬいてウィルス除去
・ウィルス対策ソフトで消された重要ファイルはOSのCD-ROMから復旧
■予防
・数十万程度の予算も降りない情報システム部のためにネットワーク監視ツールを自作
そのツールでは各PCのインストールアプリ一覧、Windows Updateがどこまであててあるのか、
必須アプリの有無、起動してはいけないサービスが起動していないか等を一目でわかるようにしました。
と、こんな流れです。
社内でファイル交換アプリが見つかったあたりで、心底呆れ果てたので、その会社への出向はお断りすることにしました。※
その後、風の噂でどこかの会社に吸収合併されたと聞いています。
※という建前で、実は出向元の会社がぼくが作ったシステム見てびっくりして、そこまで出来る人を出向するの勿体ないってことで引き抜かれました。
