営業マンの金城さんは、見込み客をリサーチする目的で、社内でいろいろなWebサイトを閲覧してます。あるとき、サイトを閲覧していたら、「ウイルスに感染しています」との警告メッセージが表示され、画面には問い合わせ先となる社外電話番号が書かれてました。このとき、金城さんはどう行動するのがいいでしょうか?正しいと思うのを選択してください。
| ア | 画面の指示通り、問い合わせ先となる電話番号に電話をかける。 |
| イ | 怖いので電源をシャットダウンして、パソコンを管理しているIT部門に報告する。 |
| ウ | 一度、シャットダウンして再起動する。その後、ウイルスチェックを行い、特に問題がなければ、業務を継続する。 | エ | パソコンをネットワークから切り離し、画面をそのままにした状態で、パソコンを管理しているIT部門に報告する。 |
答え:エ
ウイルス感染が疑われる動きをパソコンが起こしたら、ネットワークを切断したうえで、IT部門に報告するのが正しい行動です。ただ、電源まで落とすのは推奨されません。電源を落とすことで、画面に表示されていたメッセージやメモリーが消えてしまいます。ウイルスのなかには、ファイルレスマルウェアといわれる、ハードディスク等に痕跡を残さずメモリー内だけで活動するマルウェアがあります。また、マルウェアがハードディスク等から攻撃の痕跡を消去する活動を行い、事後調査の妨害を図るようになっているマルウェアもあります。
利用部門からの報告により、情報セキュリティインシデントが疑われる事態となれば、会社はCSIRT(シーサート)と呼ばれるインシデント対応の特別チームを立ち上げるところも多くあります。
CSIRTは下記のようなインシデント対応フローに沿って活動をしますが、その初期段階(下記)で行うのがフォレンジックス(サイバー被害調査)です。この調査を円滑に進めるため、パソコンの電源は落とさない方が望ましいといえます。
また、警告画面に表記されている電話番号に電話をかけるべきではありません。今回のケースは「サポート詐欺」と呼ばれるネット詐欺の可能性もあります。実際にはウイルスには感染していなくても、偽の警告画面を表示することで利用者を焦らせて、お金をだまし取る詐欺です。利用者が電話をかけると、電話の相手がウイルス除去のためなどとして「遠隔操作でウイルスを除去するので、サポート料金を支払ってください」と言うのがこの詐欺の特徴です。
ウイルス感染が疑われる動きをパソコンが起こしたら、ネットワークを切断したうえで、IT部門に報告しましょう。
