ゼロデイ攻撃 - ITなどいろいろメモ

「あやしいメールをクリックしてしまったんです。」
「でも何も起きなかったから大丈夫ですよね？」

という人がたまにいるが、これは一番危険で、「ゼロデイ攻撃」の可能性が高い。
この時クリックしたのはWORDの添付ファイルだが、表示もおかしく意味不明だったらしい。

おかしいと気が付き、連絡をくれた。この間、10秒くらい。
早く申告していただいたのが功を奏しました。

即時LANケーブルを抜くよう依頼。まずネットワークから切り離しました。

「ウィルスソフトが検出された」
・・・と、焦って電話をかけてくる方が多いですがこれは安全で、実は何も表示されない方が怖いのです。
メッセージが出る時は大抵「駆除しました」ということであり、ウィルスを抑え込んだということ。

しかし、何も表示されないということは、まだウィルスソフトに検出されない新しいウィルスに感染している可能性もあります。特に今回のように明らかに不審なファイルを開いたのに、何も起こらないという場合は。

つまり、何も変化がない　→　検出できずに感染　というのが現実です。

今回のように、明らかに業務と関係ないメールで、しかも添付ファイルを開いたところ意味不明というのはウィルスに感染させるための可能性がかなり高く、即時の対処を要します。

現在のウィルスソフトの定義ファイルには引っかからない新しいウィルスをバラまくこと。
これが「ゼロデイ攻撃」です.

不幸中の幸いは、すぐに相談の電話をしてきてくれたことです。
どんなウィルスかわかりませんが、拡散の可能性は低く抑えられたと思います。

今回はウィルスバスターを提供しているベンダーに連絡し、状況を説明。
やはり感染の可能性が高いとのこと。今の定義ファイルでは検出できない以上、調査を依頼する必要があります。

今回は2種類のファイル提出しました。
一つは、メール自体をデスクトップに保存し、パスワード付ZIPにしてメールで送付。

もう一つは、トレンドマイクロ社製の調査キット／ATTKで作成したログファイルをメールで送付。

これによってベンダー側でウィルスを調査し、ダウンローダーなのかランサムウェアなのか解析してくれます。
ダウンローダーの場合、次々にウィルスをダウンロードされてしまいます。

トレンドマイクロ社製の調査キット。ウィルス感染の疑いが高いPCに対して実行し、トレンドマイクロに提出するとログを調査してくれる。

Googleで「ATTK」で検索すると表示されます。

ベンダーにメール送付をしますが、ウィルス感染が疑われるPCは当然LANにつなぐことはできないため、ログファイルの取得はUSBメモリーで実施する必要があります。

当然今度はUSBメモリーにウィルス感染する可能性があるので、ファイル取得後、メール送信するパソコンにUSBを接続する際には、shiftボタンを押しながらUSBを接続し、自動起動が走らないよう注意が必要です。

この後、解析結果が来ましたが、トロイの木馬（ダウンローダー）に感染していました。
まだ他のウィルスはダウンロードされてなかったため、駆除して事なきを得ました。

最近増えているゼロデイ攻撃。駆除できないウィルスには注意が必要です。