Semplice - ネットワークから隔離すべき？マルウェアに感染したパソコンと対策

ウイルス・ワーム・スパイウェアに感染したら、ネットから切り離すべきなのか？

　今時では「何か」に感染した可能性があるパソコンはネットワークより切り離し対処、これが模範回答である。感染が疑われる端末をLANに接続するのを禁止するポリシーを設定している企業もあるだろう。
　少なくとも自分が直接操作し復旧作業に携われる場合はLANには接続させていない。

　でもまあ、やり過ぎは何事も良くないものだ。全ての事例にてネットワークより隔離しろとは言わないし、企業では安易な隔離作業は運営面に支障をきたす事例もあるだろう。
　過剰反応によりドメインコントローラーやファイルサーバーを隔離されてしまったらば、バックアップが無ければ企業活動に重篤な支障が生じるだろう。
　（隔離が望ましい事例もある。一例として改ざんされたWebサーバーは、そのまま運営したらば多くの閲覧者を危険に晒す）

　ホームユーザーではどうなんだろうか？
　すぐEthernetケーブルを引っこ抜くよう熱く薦めたくなる事例もあるのは事実だが、その後にどうするべきなのかを考えると、途方に暮れるのだ。

　今回のブログエントリにては、初心者層やウイルス対策に不慣れな層へアドバイスを行うような方々を対象として記述する。
　ホームユーザー向けなので内容がかなりくどくなっているのだが、ご容赦願いたい。

ネットから隔離しろとの回答は、初心者相手には状況によっては無理な要求

　質問掲示板にては「すぐにLANケーブルを引っこ抜け、隔離しろ、ネットに接続するな」と常套句のように唱える方も散見する。
　ネットワークよりの隔離は、問題を解決するためではなく被害の拡大や深刻化を予期してのアドバイスであるとは思えど、多くの副次的な問題を生むのだ。

　ホームユーザーは1台のみパソコンを所有している場合もあるだろうし、じゃあネットに接続しなければどうすれば良いのだと。
　対応策も調べられず、追加で質問したり回答を得ようと試みるのも難儀な事態となる。
　解決策としては、他のパソコンにてネットに接続して調べるとか、知人に代理で調べてもらうとか？

　大変重要なポイントなのだが、案外見逃されがちな点を一つ。
　多くのアンチウイルスソフトウェアはネットに接続して更新作業を行う。
　ウイルス定義ファイルやウイルス検出エンジン更新ファイルを手動でダウンロード・インストールできるじゃないかと言い出すならば、前提条件を一つ見逃している。
　質問掲示板に困って投稿するような層が、煩雑な操作を行えるのか？

　ウイルス対策ソフトを入手しようとしたとしてもだ。
　店頭に並ぶパッケージ製品の中身はいずれも最新ではないし、アップデートが必要だ。
　ウイルス対策ソフト体験版を、定義ファイル・エンジンのバージョン更新をせず利用できるのか？（Semplice）と雑誌の付録CD/DVDに収録されている体験版のバージョンは最新なのか（Semplice）にて紹介したが、メーカーサイトよりダウンロードしたり雑誌のおまけCD中の体験版は最新版とは程遠い古いバージョンであったり。

加害者となる可能性を回避するためのネットからの隔離

　マスメーリング（大量のメール送信を行う）のウイルスや、LANセグメントの他のマシンやWeb中に広く感染活動を行うようなネットワークワームであれば、情報収集や修復作業中に他所様へご迷惑をおかけする可能性がある。
　ボット（Bot）系マルウェアに感染していたならば、他所様への攻撃やスパムメール送信に気付かずに加担してしまうだろう。

　不思議な話としてネット上の相談掲示板にては「共犯者となる」など扇情的言い回しや脅迫的な態度で、ネットからの隔離を強要する方も多い。
　言いたい事はよくわかるんだけど。
　もう少し穏やかな言い回しはできないものなのかね。

修復作業中に他のマルウェアに感染する可能性を回避するための、ネットワークよりの隔離

　あちらこちらで何度も言い尽くされている話ではあるのだが。
　NATなどを利用していないダイヤルアップ接続やTAを利用したISDN接続、ルーター型ではないADSLモデムとフレッツ接続ツール。グローバルIPアドレスによるネットワークへの接続は、脆弱性が存在するパソコンでは世界中より「はいはい、こんにちわー」と感染してしまうだろう。
　案外気付かれない問題点はブロードバンドルーターが備える機能の一つ、所謂「サーバー公開機能」だ。プライベートIPアドレスを利用していたとしても、これまた外部よりコンニチワである。

　では「外部より接続されて新たに感染」ではなく、「感染マシンよりネットワーク内部から外部へ接続して新たに感染」する事例ではどうだ？
　Bot（ボット）系マルウェアやダウンローダー系マルウェアでは、他のマルウェアをダウンロード・インストールする場合もあるだろう。
　ブラウザハイジャッカーでは、不審な危険サイトを強制的に表示させられて、新たなマルウェアを導入させられるかもしれない。

ネットワークに接続しつつ修復作業を行うためには

　どうしたらば良いんだろうかね。
　ブロードバンドルーターにてDNSサーバーとアンチウイルスソフトメーカーとどこかの相談掲示板以外への接続をブロックする、これは非現実的だ。
　もちろん操作と設定を簡単に行える方もいるだろうけどね。

　おっと、書き忘れるところだった。
　対策として促されがちなPersonal Fire Wallは感染時には正常に機能しない可能性があり、感染後にはアウト・インバウンドいずれも正常な動作とブロックを完全には期待できない。
　プログラムが外部へ接続しようと試みるたびに手動で「Allow」とクリックするような慎重な方ならば、マルウェアにそうそう感染したりはしないだろう。
　全く無意味ではない、だが信頼しすぎてはならないのだ。
　それにね、操作に不慣れな層に導入するよう要求したとしても、十分に理解し適切に設定・運用してもらえるものなんでしょうかね？

ネットに接続せずに修復作業を行うにしても

　よく目にするのは、指示した内容をプリントアウトして駆除・修復が終了するまでネットに接続するなとの方策である。
　同時に特定の駆除ツールなどをダウンロードさせる場合もあるだろう。
　だけどね。
　少数の・もしくは回答者が気付いたマルウェアのみに感染しているとは言い切りづらい事例もあるし、質問者への指示が適切であるとも限らないのだ。

　感染していない他のパソコンより情報収集・質問掲示板へ投稿、駆除ツールをダウンロード？
　現実的な対応策だ。
　だが感染したパソコンの所有者が代替マシンを所有していない場合もあるだろう。ネットカフェに毎回出かけるしかないのかな。
　繰り返しになるが前述の問題 - アンチウイルスソフトのアップデートはどうするのだと。
　インストールせずに利用できるサービスもあるのだろうけど、難しいですね。

では、どうすればと

　加害者となる可能性を低減・被害の拡大を阻止するためには、必須な場合もあるだろう。
　よくわかりますよ、はい。

　だが全ての人が自力でチャキチャキと修復作業を行えるのかと問われれば、無理だろうと即答する。
　ホームユーザー、それも初心者層を対象にアドバイスを行うとしたらば、ネットワークより隔離してしまえば後々の駆除作業をスムーズに行うのを阻害してしまう可能性がある。

　どのような状況や症状、何に感染していたらばと、尺度のようなものを定めるべきなのやもしれないが、それは無理だろう。
　回答者へ適切なレポートを行うには各種ソフトウェアをダウンロード・更新しなければならず、ネットワークへ接続する必要が必須である場合もあるし。全ての人が複数のパソコンを所有しているのではない。

　「HijackThisでの診断を受ければ、優秀な回答者が（隔離すべきか否かを含め）適切なアドバイスをしてもらえるはずだ」だとぉ？
　幻想か思い込みだ。
　ファイルの名称のみでリスクを十分判別できるのではないし。補足情報の不足や見逃し、HijackThisでは検出されない脅威の事例なんて幾らでもあるではないか。
　ログよりの診断は「隔離しなければならない事例の幾許か」を明らかにできるものの、実際には「隔離しなければならない全ての事例」を示せてはいない。
　多くの事例では何度もやりとりが必要だし、HijackThisのログのみで解決した事例なんて少数だ。

　「情報収集や修復作業をスムーズに行うための接続維持」と「安全であるための隔離」は相反する判断基準に基づくものであるし、個別の事例ごとに対応策を練るのは大変難しいだろう。
　この場にて早急に結論などを示すつもりはないし、後は各々で考えてもらいたい。