憎きAutorunのおかげでもう生活ボロボロ

ここしばらく更新が止まっていたが、別に体調を崩していたわけではない。

先日からここでもちょくちょく取り上げていたAutorun騒ぎが嵩じて、ついに会社の新システムが切り替えまで間に合わないかもという危惧が出てきたため、義侠心もあって私がこの対策を引き受けることになってしまった。
それでこの数日会社に泊まり込んで激闘を続けていたわけだ。

はっきりいってWindowsアパシーの私が、Windowsで構築されたネットワークの検疫をさせられるとは思わなかった。
「Windows環境がどうなろうが、俺のMacさえちゃんと動けば知ったこっちゃない」
なんて不謹慎なことを書いたから、天罰が当たったのかもしれない。

この数日やったことは会社のシステム内でやり取りされるすべてのUSBメモリ、外付けハードディスクなどの検疫、業務用専用機の検疫と防疫、外部からのマルウエアの侵入を防ぐ検疫システムの構築までの数日前の自分ならこんなことをやらされるなんて想像もしなかったようなことだった。

業務用専用機という中にはサーバも含めて４０以上の機体が含まれる。
しかもこれらの専用機のかなりの部分がウイルス対策ソフトすらインストールしていない無菌状態のシステムという非常にクリティカルな状態だ。
そういう無茶なシステムを構築することそのものに反対していたのだが、結局私がその無茶システムのサルベージをやることになってしまった。
ここ数日はほとんどWindowsベースの専用機を触っていた。

ことのきっかけは、先日記事にも書いたように会社で使っていたストレージから私が「Autorun」を見つけてしまったことだった。
このストレージはシマンテックアンチウイルスの検疫を受けていたものだ。

全く問題なくパスしていたストレージから、新システムを一度ダウンさせて会社で大問題になっているワームとおそらく同じか、非常に近い亜種が見つかったことから、これまでのシマンテックアンチウイルス一辺倒の検疫システムに洩れがあったのではないかという問題になった。

テストしたところ何度試してもシマンテックはこのワームを検出できない。
MacからClamXavでスキャンしたところ、一網打尽にできることがわかった。

そこでMacの検疫システムを提案したのだが、その時点でも私は
「私の案が採用されても誰かがやるんだろう」
くらいに思っていた。
ところがこの案に誰も反対できないのに、誰も積極的に自分がやるとも言い出さない。
それどころか臨時の対策として同じようにWindowsの検疫専用パソコンを立てて、シマンテックアンチウイルスをインストールして、なんとそのパソコンまで感染させるということを繰り返しているのを見かねて、結局この対策の構築を私がやることになった。

この数日はウイルスチェイサーなどのスキャンデバイスや、Macを使ってAutorunを切り分けながら、それぞれのWindows機の対策をしていくことだった。

なんと検疫の内部の無菌室エリアからAutorun系のワームが見つかって、それで大騒ぎになってしまった。
しかもこのワームはWindowsから見えないだけでなく、ウイルスチェイサーのような検疫デバイスを使っても除去できない。
Macからも削除を試みたが、なんとrootになってターミナルから削除コマンドを実行しても
Read only file
という表示で削除ができないことがわかった。
このワームはスゴい速度で進化しているようだ。

いろいろ手を尽くしたが、結局このワームを見つけたらそのストレージは初期化して再フォーマットする以外に方法がないことがわかってきた。

驚くべきことだ。

それで数日会社に泊まり込んで、やっと感染している機体はおそらく２機だけだというところまで突き止めた。

その２機以外はこちらのautorun.infまたはW32.Gammima.AGM/対策という記事に書いた対策を施した。
またコントロールパネルのシステムに入って「システムの復元」をオフにすること、ファイアウォールを個別の機体にすべて立てることなどの対策を講じていた。

軽く３日は徹夜という感じだ。

更新が止まっていたのはそういう理由からだ。
ここ数日随分Windowsの操作や仕組みについては詳しくなったし、「専門家」という人種の人達の技術的な説明も随分聞いたが、「専門家」とかいっている人達もかなり玉石混淆だということが判ってきた。
（玉石の石の方は本当にひどいレベルだということも今回思い知った。中にはすばらしい見識もあって勉強になる人もいたが、それでも一般にいって「専門家」という種類の人のいうことは注意して聞かなくてはいけないという教訓だ）

まだ事態は収束したわけではない。
それどころか切っていたネットワークを少しずつ回復して、見逃している感染源が残っていないか検証しないといけないので、ここからの道のりは遠いと思う。
相変わらず「ここから先は俺がやる」と言い出す人がいないので、これからしばらくはこのサイトの更新は滞ると思う。
何の因果か素人システム管理者のようなことになってしまった。
そういう事情なのでどうしようもないのだが、お見限りないように時々覗いてやってほしい。