千葉大学附属病院1300台のパソコンがウィルス感染「動かないコンピュータ」
日経コンピュータ11月12日号の「動かないコンピュータ」で千葉大学医学部附属病院の1300台のパソコンがウィルス感染した記事が出ています。
ニュースやはてなの日記のいくつかで紹介されていて、これほどの同時大量感染を聞くのは久しぶりなので気にはなっていました。(Googleで「千葉 病院 ウィルス」で検索すると出てきます)
ウィルスは「PE_MUMAWOW.AJ-O」だそうです。
記事の要点と気になったのは、
- 感染したのは、9月4日。人体イラストの素材を探していて、外部のWebサイトにアクセスしたとき
- 5日早朝に気づいて、13日ごろには問題なく業務をできる状態になった。
- 2か月近く経過した10月29時点でも、メールが利用できない、一部パソコンにウィルスが残っている可能性がある。
- 2か月経過しても完全復旧できていない。>病院のサイトを見ると今日現在では、メールは復旧したようです。
- ウィルスバスターコーポレートエディションとServerProtectを利用し、最新のパターンファイルで運用していた。ウィルスゲートウェイ製品はなかったようです。
- トレンドマイクロとのサポート契約は「スタンダード」で、出張サポートなし、時間の制限あり(24時間でない、土日は対象外)
- 「事態の深刻性を理解し、通常サポート以上の出張での対処を特別に提供し解決にあたっている(トレンドマイクロ)」そうです。
- 電子カルテの業務用パソコンで、自由にどんなWebサイトでもアクセスすることを許していた。
- PE_MUMAWOW.AJ-Oは、EXEやCOMの実行型ファイルに感染するタイプ
- これ単独で1300台に感染拡大したのか?
- 最近はまたこのタイプが増えてきたのか?
この問題をどう考えるか
- 業務用パソコンでWebブラウジングすることの危険性>今後はSaaSのような利用形態も増えること考えられ、フィルタリングも普通の企業サイトが改ざんされる現実がある。
- 未知のウィルスに大規模感染した際の初期対応の難しさ(ウィルス感染と特定すること、情報漏洩・感染拡大防止のためネットワークを止める判断など、どう対処するか)
- C/Sシステムの資源配布機能やADのサーバ群が感染した際への対応(記事の内容から、たぶん今回の感染拡大の要因)
が悩むところです。
それと、職場で通常は止められない業務システムで、感染の疑いが判明した段階で何ができるか話しましたが..
- 大規模感染が疑われた段階で拡大防止のためスイッチのケーブルを抜く > 被害の状況把握とウィルス感染速度の競争になる(たぶんウィルスの勝ち)
- ケーブルを抜く判断を誰がいつするか(できるか)、それも24時間稼働の業務システムで
- 各パソコン(スイッチのポート)の振る舞いで自動的に遮断してくれないと無理か? > そういった製品もあるようですが、万能ではないだろう?
私案としては(小手先の対応案)
- ブラウジングは「Ubuntu 7.04 VMware用仮想マシン」でもいいかもしれない(IE専用サイト以外なら)
- C/Sシステムの資源は、可能ならサーバ上で読み取り専用にしておく(EXE,COM形式がそのままなら)
ちょうど、日経ITproで「webの脅威」という記事が連載されていますので、何ができるのかもう一度よく読みなおそうと思います。