ウイルス対策ソフトをご利用の場合、「トロイの木馬」を誤検出する記事があります。警告が出た際は、こちらの記事をごらんの上、お知らせいただければ幸いです。

« なぜかクラシック表示になってしまったXP。 | トップページ | Downadup (Conficker) の猛威の裏付け。 »

2009年1月24日 (土)

安直なリカバリのツケは高かった。

このエントリーをはてなブックマークに追加 このエントリーを含むはてなブックマーク この記事をクリップ! BuzzurlにブックマークBuzzurlにブックマーク

こちらはメーカーサポートの言われるがままにリカバリをしてしまったお客様。

「ウイルス対策ソフトを入れたいのに、サービスパックが2じゃないからとかで入らないんです」

お聞きすると、WindowsはXPで、どうやらサービスパックは1のようです。
コレガなどの特定の無線LANアダプタだといろいろ面倒ですが、そうでないなら今はサービスパック2よりは3の方が作業的には圧倒的に早いので、SP3のCDイメージをダウンロードしてCD-Rに焼いたものを持ってお伺いしました。

そう、それだけで済んでいれば、ネタにはならないのです。
今回は超ド級の罠が待っておりました…。

-------

お伺いしてまずは現象確認。
システムのプロパティを見ると、確かにSP1です。

「起動が遅いのでメーカーに相談したらリカバリを薦められたんです」

…( ̄△ ̄;

いや、まぁ、その、リカバリすれば確かに、起動の遅さは改善されますけど…。

ふと目に付いたONU(光接続ユニット)のランプ。

なんだかひっきりなしにデータ伝送してるみたいですが…。

回線はeo光。
とってもいや~な予感…。

…も、もしかして、そのままつないじゃったとか?

「ええ、eoの接続ぐらいなら自分でできるので」

…ま、まさか…。

Yahoo!Japanは表示できました。
Googleも表示されました。

WindowsUpdateは「表示できませんでした」。
トレンドマイクロのサイトも「表示できませんでした」。
シマンテックのサイトも「表示できませんでした」。

WindowsUpdateに接続できないということは、意図しないアップデートをしているわけではない。
なのに、ひっきりなしの通信をしているということは…。

ま、まずい!!! これはウイルス感染だ!!!

とにかくLANケーブルを抜きました。

私はこういう挙動をするのがウイルスだと知っていますが、お客様にはわかりませんので、とりあえずウイルスであることを明確に示すようにしなければなりません。
この時点では、ずいぶん昔に流行していた「Blaster」「Sasser」だろうと思っていましたので、持ってきたメンテ用USBメモリでHijackThisを入れて、起動しているプロセスのチェックをしようと試みました。

私も不勉強で、この時点ではUSBメモリにまで感染するDownADウイルス(ワーム)であることにまで思い至らなかったため、うかつにもUSBメモリを感染PCに差し込んでしまいました。
あとでそれに気づいて、冷や汗をかくことになったわけですが…。

結果…見込んでいた「Blaster」「Sasser」どころか、ざっと見た限りでは怪しげな起動項目はほとんど見当たらず、ウイルス感染と示せる材料もなく、最新のトレンドマイクロシステムクリーナーを使っても何も反応しませんでした。
また、アクセスを制限する代表的な手法としてのhostsファイルの改変を疑ったのですが、hostsファイルはまったく手付かずでした…うーむ、サイト接続制限はhostsファイルじゃないってことですね…。

この時点では、このウイルス(ワーム)の恐ろしさには気づいてませんでした…後から考えると、SP1では本格的に手も足も出ない状態だったということですから、改めて恐ろしいと気づかされます…。

とりあえずWindowsUpdateやウイルス対策ソフトメーカーなどのセキュリティ対策関連のサイトにアクセスできないことを示し、SP1ではウイルス対策ソフトもインストールできないので、現状ではリカバリしかないことをお伝えしました。
実際には、お客様自身でリカバリをした直後でしたので、消えて困るデータも設定もなく、お客様にもご快諾いただき、とりあえずリカバリを実施。

今度はリカバリ直後にSP3適用をCD-Rから実施(幸いにもSP2化でアップグレード必須のドライバはなかった)して、念のため常備しているメンテ用ルーター経由でネットに接続して、WindowsUpdateに接続できることを確認、できるアップデートを全てかけた上で、eo月額版ウイルスバスターをインストール。
メンテ用ルーターを置いて行くわけにはいかないので、危険性をご説明した上でPPPoE接続設定をし、改めてルーターご購入の検討をしていただくようお願いをして完了です。

改めて安直なリカバリとPPPoE接続の恐ろしさを実感しました。

メーカーも、安直にリカバリを薦めるのではなく、

「リカバリでSP1状態になったらPPPoE接続はしてはならない」

となぜ言えないんでしょうかねぇ。
単に出荷時状態の再現をしただけでは、責任を果たしたとは言えないでしょうに…。

さて、今回のウイルスが実に恐ろしいモノだったということに気が付いたのは、仕事場に戻ってUSBメモリのチェックをした時のことでした。
これに関しては、次の記事にて。

ちなみに、人気blogランキング参加中です。 よろしくお願いします。

このエントリーをはてなブックマークに追加 このエントリーを含むはてなブックマーク この記事をクリップ! BuzzurlにブックマークBuzzurlにブックマーク

2009年01月24日(土) 定番トラブル, ウィルス・スパイウェア関連, ソフトウェアアップグレード関連, ソフトウェア不具合関連(リカバリ), ネットにつながらない・遅い, ハードウェア不具合関連(有線LAN), パソコントラブル, パソコン・インターネット, 企業(メーカー・プロバイダ等)の姿勢, 初期セットアップ関連, 基本操作・便利技関連, 日記・コラム・つぶやき |

« なぜかクラシック表示になってしまったXP。 | トップページ | Downadup (Conficker) の猛威の裏付け。 »

定番トラブル」カテゴリの記事

ウィルス・スパイウェア関連」カテゴリの記事

ソフトウェアアップグレード関連」カテゴリの記事

ソフトウェア不具合関連(リカバリ)」カテゴリの記事

ネットにつながらない・遅い」カテゴリの記事

ハードウェア不具合関連(有線LAN)」カテゴリの記事

パソコントラブル」カテゴリの記事

パソコン・インターネット」カテゴリの記事

企業(メーカー・プロバイダ等)の姿勢」カテゴリの記事

初期セットアップ関連」カテゴリの記事

基本操作・便利技関連」カテゴリの記事

日記・コラム・つぶやき」カテゴリの記事

トラックバック

この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/13757/43944580/void
↑トラックバックをいただく際は、最後の「/void」を抜いてください。お手数ですがよろしくお願いいたします。

※あまりにも無関係なトラックバックが多いため、当面はトラックバックの公開は承認制にしました。トラックバックを送っていただいてもすぐには反映されません。ご了承願います。

※トラックバックをいただく際は、この記事のURLを記事中に記載(もしくはリンク挿入)願います。
この記事と無関係な内容であったり、明らかな宣伝もしくは宣伝活動目的と判断されるもの、トラックバック元がトップページへのリンクであるもの、もしくは当方が不適切と判断されたものは、公開の承認はなされません。あらかじめご了承願います。

この記事へのトラックバック一覧です: 安直なリカバリのツケは高かった。:

» Windowsの再インストール時のセキュリティ上の注意点 トラックバック 単館系
サービスパックの当たっていないOSにサービスパックをインストールするには? パソコントラブル出張修理・サポート日記 http://orbit.cocolog-nifty.... 続きを読む

受信: 2009/02/09 1:57:36

コメント

初めてのコメントです。
ルータはもはや必須ですね。

投稿: | 2009/02/06 21:23:48

いつも見させていただいております。
今回の記事を読んで疑問に思ったのですがPPPoE接続でそのまま繋ぐという事はそんなに危険な事なのですか?
自分は現在ADSL環境で光環境にも興味はあるのですがそういったことに関してまだまだ不勉強で・・・
PPPoE接続がそれほど危険なものだとは思ってもいませんでした。
それ自体がどうしてそれほど危険なのか検索してみたのですがイマイチピンと来る物がなく・・・追記の記事としてでも簡単にご教授いただけるとありがたいのですが^^;

投稿: 文 | 2009/02/06 23:56:38

谷 さん
コメントありがとうございました。
ブログ見ました。映画ですか…最近映画館で映画観てませんねぇ…あ、ポニョは観たな(笑)
そう、ルーターもですが、安直なリカバリを推奨するサポートも気をつける必要がありますね。

文 さん
過去記事では、
http://orbit.cocolog-nifty.com/supportdiary/2006/07/post_c723_1.html
http://orbit.cocolog-nifty.com/supportdiary/2007/05/post_92c6.html
こういうのがあります。
単純なところ、ルーター接続だと外部から直接入られることが基本的にないため、PPPoE直接接続よりは安全性が高いということ。
いつもお客様宅ではお話してるので、ブログではあまり詳しく書いたことがないような気がします。
近いうちに改めて書いてみたいと思います。
とか言いながら放置されている事象がいくつもあったような…coldsweats01

投稿: ささもと | 2009/02/07 7:16:29

最近映画の記事が多かったのでこの記事に誘発されて
書いてみました。
TBしてみましたが成功したでしょうか?

http://katsuhirotani.blog65.fc2.com/blog-entry-1400.html

投稿: | 2009/02/08 14:38:55

谷 さん
うーん、トラックバックは届いてませんね…承認制にしてますが、そもそも来てない状態です。送り直していただけますでしょうか。

ところで、記事を読ませていただきましたが、SPなし環境は穴だらけですので、駆除ソフトを入れても、駆除したそばからまた入られるので意味ないですけど…。

投稿: ささもと | 2009/02/08 23:45:38

SPを当てるのは当然なのでルーターの無い環境で
SPをインストールするにはどうしたらいいか?ということを
書いてみました。
誤解を招きそうなので一行だけ追加してます。
TBはされていないようでしたので再挑戦です。

投稿: | 2009/02/09 2:00:29

SP3なら裸でネットにつないでいいようにも見受けられます。
ファイアウォールなしでつなぐのはいずれにせよ危険なのでは?

ブラスターで社内をめちゃくちゃにされた経験から、クリーンインストール後、FWとアンチウィルスを入れた後でないとWinupdateには接続させない規則を作りました。

では

投稿: 柴田 | 2009/02/09 12:32:31

谷 さん
トラックバック来ましたので公開しておきました。
でも、ネット接続前にウイルス対策ソフトを用意できるぐらいなら、SPのCD-Rを用意できそうな気がしますが…。
ルーターなしSPなしでは、どんなセキュリティ対策ソフトを入れてても、私なら怖くてネットにはつなげません。

柴田 さん
>SP3なら裸でネットにつないでいいようにも見受けられます。

そんなこと書きましたっけ?

>ファイアウォールなしでつなぐのはいずれにせよ危険なのでは?

2000ならいざ知らず、XPはファイヤーウォールは一応ありますが…。

また、SPなしではセキュリティ対策ソフトがあっても同じですから、CDでネット接続前に入れるのは、セキュリティ対策ソフトよりも最新SPの方が先ですよ。
XPだとSP2以上がないと入らないソフトもありますし、特に今回のウイルスは、「追加のソフトウェアファイヤーウォールさえあれば、SPやルーターなしの丸裸でも確実に防げる」というわけではないのですから。
社内のメンテをするなら、最新SPのCDぐらい持ってて当然かと思われますが…。

投稿: ささもと | 2009/02/10 3:03:03

訳あって(泣)数ヶ月前から、元の職場(某ISPのユーザーサポート)に戻っています。
残念ながら、「リカバリー後の再設定」希望のお客様が、該当の環境だった場合、設定完了し、
接続した直後からウイルス感染する危険性がかなりの高確率で発生する事、
事前にSPのCD-ROMや、ルーター接続の環境からUpDateするのが望ましい事をご説明しても、
「いいから設定教えて」と、言われます。まぁ、同じ症状で何度もリカバリーをされている
お客様からは、「じゃぁ、すぐにルーターを買ってきます」と、おっしゃっていただけますが・・・

そのせいでしょうか、周りを見廻しても、広帯域の案内前にSP適用状況を確認している者が
あまりいないような気がするのは・・・

投稿: ゆうなのだんな | 2009/02/10 10:09:23

ルータの内側が当然と思っているのは、どうやらセキュリティに関心がある一部のユーザのようですね。
SPをすべて適用していても、ネットに裸で顔を出すのは結構度胸が要る行為です。ただ、一般にはその認識がない、と。
SP適用にも、xpのSP2の騒動でアレルギー体質になっている方も多い様で、SP3に抵抗を示す方もおられます。

総務省・経産省 連携プロジェクトのサイバークリーンセンターなんてのもありますが、啓蒙不足。これに尽きます。

サイバークリーンセンター
https://www.ccc.go.jp/

何と、のっけからhttps。

投稿: こた | 2009/02/11 1:55:19

ゆうなのだんな さん
某サポセンでも、リカバリ後のSP1でYBBルーターなしモデムにつないで大丈夫か?と聞いたら「そういう事例はありませんので大丈夫です」なんて言われました…ちょっとショックでしたね。

こた さん
>ルータの内側が当然と思っているのは、どうやらセキュリティに関心がある一部のユーザのようですね。

どうやらそうらしいですね。
ある程度慣れてる人ほど、PPPoE環境でもアップデートで先手を打ってあって、自身の感染実績がないので、麻痺しているように思えます。
リカバリしてWindowsUpdateしようとしてびっくり、ってパターンが多そうです。

>SP適用にも、xpのSP2の騒動でアレルギー体質になっている方も多い様で、SP3に抵抗を示す方もおられます。

そう、ごく少数ながら、未だに「詳しい人にSP2は危ないと聞いたから、ずっとSP1のままなんだけど」という人はいますね。そっちの方がよっぽど危ないです…。

>総務省・経産省 連携プロジェクトのサイバークリーンセンターなんてのもありますが、啓蒙不足。これに尽きます。

そうですね。ルーターの必要性を説いているプロバイダなんてほとんどありませんから…逆に注意喚起なしに広帯域接続での設定や、接続ツールの配布をしてるぐらいですから。
今回のウイルスの怖いところは、
PPPoE接続の家庭用パソコンで感染 → USBメモリ経由でルーター環境の職場へ → さらに感染
というパターンが出来上がってしまったこと。
どう気をつければいいのやら。
どっかのテレビで特集してくれませんかねぇ。
「テレビでやってた」ってのが最も認知されやすいですから。

投稿: ささもと | 2009/02/12 11:07:24

コメントを書く




※Spam対策のため、コメント公開時E-Mailは非表示となります。









※当面コメントは承認後の公開となります

« なぜかクラシック表示になってしまったXP。 | トップページ | Downadup (Conficker) の猛威の裏付け。 »