treedown’s Report

システム管理者に巻き起こる様々な事象を読者の貴方へ報告するブログです。会社でも家庭でも"システム"に携わるすべての方の共感を目指しています。

※https化しました。その影響でしばらくリンク切れなどがあるかもしれませんが徐々に修正していきます。 リンク切れなどのお気づきの点がございましたらコメントなどでご指摘いただけますと助かります。

お盆前にアップデート

体験昔話 運用管理 WindowsUpdate

来ましたね。
Windows UpdateFireFoxPHPWordPressですか。

どれも使っているからお盆休み前日でも対処せざるを得ません。

今回も昔話です。
10年ちょっとした昔、お盆休みで帰省中だった私は車の中でそのニュースをラジオで聞くことになりました。

「コンピュータウィルスBlasterが猛威を振るっています。みなさんのパソコンもご注意ください。
このウィルスは8月12日に発見されてから現在で国内に大きく感染が確認されるコンピュータウィルスです。対処されていないコンピュータがネットワークに接続されているだけで感染してしまうという非常に高い感染力が特徴です。」
いままでウィルス対策関連のニュースをテレビやラジオでは聞いたことがなかったので、すごく新鮮だったのと、お盆休み中しかも帰省して会社のPCやサーバには何も対処できない状態のときにウィルスが流行したのは初めて。
さらに当時ではモバイルもなく、社内へのネットワーク接続はインターネット経由ではできない状況。対処も何も出社する以外の確認方法がないという状況だったのです。
当時のモバイルは@FreeD(P-in Free)が主力でした。@FreeD(P-inFree)というのはNTTドコモPHS事業にあるデータ通信サービスで当時64kbpsが\3000程度で月内使い放題、という当時としては使いやすいサービスでした。
まあ通信面はさておき、家に持ち帰っている一部ユーザは例外なくこの@FreeD経由でインターネット接続を実施してメールチェック等をしている可能性が高いです。もしそのユーザが感染すると困ったことになります、とはいえモバイルを経由して社内ネットワークに侵入されることはありませんでしたし、ウィルス対策ソフトウェアも(すったもんだありましたが)前年中にようやく100%全台にインストールを展開していたので、それほど深刻な事態には発展しませんでした。@FreeDを使っている端末だけ特別な注視をすればよい、という状況だったのでまあ当然ですね。(もちろん休み明けは脆弱性対策に追われることになりましたが。)

その数年後、ようやくRASゲートウェイを用意してリモートアクセス可能になったのですが、それでも128kbps、いまでは考えられないほど使い勝手が心配になる通信してたんですね。
時を経てそのまた数年後の休暇。
またまた車の中でラジオから「ウィルスが猛威を振るっています。すでに国内の有名企業何社かで感染が確認され対応策が実施されているようです。」
え?どっかでこんなことあったような…。
そうこう思っているうちに電話。
会社の同じ部署の1年下の後輩(というべきか同僚というべきか)。彼はグループウェアの主担当だ。
「いま私実家に帰省しているんですけど、常務から電話がありまして…。」
え?常務?なんで、なんかあったの?障害か?
「いえ、ニュースでコンピュータウィルスが大流行しているのを心配して電話くれたんです。うちは大丈夫か?って言ってました。」
いや確かに、いまこちらもラジオのニュースで聞いたところですよ。
「でも僕はグループウェア担当じゃないですか。ウィルス対策は大丈夫です。って胸張って言えるわけではないんですよね~。なんで僕に電話してきたんだろ?」
まあ、それだけ常務の覚えがあるってことですよ。いいじゃないですか。
「とりあえず大丈夫かどうかだけは連絡しないといけなくて…。なんて言えばいいですか?」
難問だなぁ。説明考えるってこと?
常務がわざわざ電話してきたって相当なことが起きたのかな?ちょっと聞きたいんですが、たとえば具体的に被害があった、って報告はありました?
「僕も実家ですからね。聞いてないですよ。会社に居れば何か分かるかもしれませんけど。」
ごもっとも。
「勝手な憶測ですけどいまのところないと思いますよ。でも心配ですよね。グループウェアもダイヤルアップ経由で接続できるようにしていますから。」
そうなんでした。グループウェアだけ特別な経路でモバイルPCと直結してリモートアクセス可能になるようにしてましたね。
でもそれをいっちゃぁ、経路に違いがあったとしてもモバイルPCで使う機能全部そうだよね。
「ですよねぇ~。ま、でも我々はモバイルPC使っちゃダメ(予算がないからシステム部門にモバイル環境はなし、だった)、ってことになっていますから、帰省中になにもできることはないんですけどね。」
む、その発言は聞かなかったことにしておこう。ひとまず、常務取締役殿に折り返し電話しないといけないんだよね?
「そうです、そうです。なんていえばいいですか?」

これ難しいですよね。
ウィルスの動きが前提知識としてないと、具体的に○○だから大丈夫、というのは技術的に証明できない。
でウィルスの動きを調べるためのインターネット接続環境がない。
実家にはインターネット回線がないに加え、PCもNICなしのPC-98しかない、PC-98ならPC-9801、PC-9821×2台と、まあ3台ほどありますけど。だいたいMS-DOSしか動かないPCでインターネットで調べものなんかできん。

そこで以下を説明するようにして、その場を切り抜けることにしました。

  1. Windows Updateとウィルス対策ソフトの更新は自動で実行されるようになっている、最低限の保護は自動更新される
  2. 休暇後の出勤で優先的に流行ウィルスについて感染の痕跡がないか調べること
  3. WindowsUpdateで月例の最新アップデートは休暇前に適用済みだったということ

このころは手動でアップデート適用をやらず、サーバからの資源配布ですべてやっていたので、もう自動化済み。だけど自動化はアップデート指示から実際のアップデート適用までタイムラグがある、このタイムラグで爆発しちゃうと残念ながら感染してしまうということになる。

こんなところですかね。とりあえず「休暇明けにこの問題の調査と運悪く感染があれば優先的に対処をすることはお約束します。」というところが聞きたいのではないでしょうか。
これを聞いて何か目覚めたらしい。
「ありがとうございます。いまから常務にオリ電(折り返し電話)しておきます。」
いま常務と直でやり取りしているとしたら、これ部長には伝えとかなくていいのかね。ほらこういうの一足飛びでやり取りしたら不興を買うこともあるじゃないですかね。
「いや、常務が"言わなくていい"って言ってました。なので常務に電話で説明しておくだけでいいです。でもなんで僕なんだろう…。」
最後の最後まで常務からの直電が合点行かないような彼はそう言って電話を切った。そのあと続報がなかったから常務は納得してくれたんだと思う。

長期休暇中であっても、このようなセキュリティ侵害は待ってくれません。もう2回も体験しましたらからこれ以降でもあり得ることだと考えています。
もし会社のシステム部門に所属されておりましたら、以下の点について考えておかれることをお勧めします。

  1. 長期休暇中にセキュリティ侵害が発生した場合、すぐに影響範囲が洗い出せるようになっているか?(もしくは洗い出すための環境は旅行中の手持ちの情報や備品でできるかどうか)
  2. 休暇中の対処をリアルタイムで実施できるか、あるいはリアルタイムで実施できないとしたら迅速に状況把握が(社内体制も含め)できるようになっているか。
  3. 普段から、アップデートは気を付けて実施している、また実施しているアップデートをまめに確認しているので実施状況が把握できている。


近年スマホから社内ネットワークにVPNできる(技術はある)昨今ですからね。BYODの流行で影響範囲と侵害経路が拡大している、という一面もありますし、普段から考えておくといざというときに九死に一生を得ることもあるかもしれません。

1に情報2に情報、です。
実際の対策として何をやらなければいけないかは長期休暇前に備える主旨の記事を読むといいです。
JPCERT/CC:長期休暇に備えて
https://www.jpcert.or.jp/pr/2015/pr150002.html
IPA:長期休暇における情報セキュリティ対策
https://www.ipa.go.jp/security/measures/vacation.html
Microsoft:長期休暇の前に
https://www.microsoft.com/ja-jp/security/pc-security/vacation.aspx

おおっと、そうして記事を書いていたら、FlashPlayerのアップデートが追加されてきました。AIRもですって。

お盆休み前日にアップデート情報の叛乱/反乱、いや氾濫です。
なんてっこった…。

よいお盆休みを。