IT・技術研修ならCTC教育サービス

サイト内検索 企業情報 サイトマップ

研修コース検索

コラム

仮想化の歴史と機能

CTC 教育サービス

 [IT研修]注目キーワード   Python  UiPath(RPA)  最新技術動向  Microsoft Azure  Docker 

第31回 VDI(仮想デスクトップ)のウイルス対策 (志茂吉建) 2014年6月

1 VDIでウイルス対策を強化するには

1.1 パソコンがウイルス感染したとの連絡

 先日、地元の仲間から連絡があり話を聞いてみたところ、自宅のPCがウイルスに感染したとのことでした。失礼ながら、「どうせエッチなサイトでも見たのだろう」ぐらいにしか思っていませんでした。また、ウイルスに感染したPCの画面がどんな画面なのかをスマートフォンで撮影して送ってもらったところ、ある有名なウイルスであることが判明しました。そのウイルスはPCを起動したら画面を占拠してしまい、他のアプリケーションを実行することが出来なくなるタイプで、いわゆる乗っ取り型ウイルスでした。黙って乗っ取るわけではなく、画面が表示されるだけ、まだかわいらしいと考えるか、全画面表示でオペレーションできなくなってしまうので最悪と考えるかは何ともいえません。しかし、とりあえずお金を振り込まないと解除コードが入手できない種類のモノでした。送ってもらった画面の情報をもとにGoogleなどで検索したところ除去方法などを確認できました。

1.2 対応策の検討

 大まかに言うと除去手順は以下の通りです。

  1. Linuxなどで起動するレスキューCDを作成する。
    ウイルスチェックをする機能を備えたレスキューCDがセキュリティーベンダーから提供されています。
  2. 作成したCDからPCを立ち上げウイルスチェックを実施。
  3. 見つかったらウイルスを隔離または除去。

 この手順で修復できたというサイト上の記述が多かったので、「まぁなんとかなるだろう」と考え、レスキューCDを作成して仲間の自宅を訪問しました。改めて話を聞いたところ、ウイルスチェックソフトウェアはインストールしているとのこと、また、Windows Updateもやっているとのことでした。特に、エッチなサイトなどは覗いたことはないとも確認しました。ウイルスチェックソフトで検知出来ないのは少し気になりましたが、作成したレスキューCDのウイルスチェックで引っかかるだろうとも考えCDからPCを起動してチェックを開始しました。500GBのPCの全ファイルチェックなので意外に時間がかかります。雑談をしながら時間をつぶしましたが、2時間たっても50%のチェックしか出来ていないようでした。時計を見ると21時を回っていたので、そのままチェックを継続して、翌日に再度確認することにしました。朝から、SNS経由で連絡があり、なんと、チェックに引っかかってウイルスが除去された様子はないとのこと。改めてログなども確認しましたが、ウイルスチェックには引っかかっていませんでした。念のため、HDDからOSを起動しても、そのウイルスが立ち上がり、昨日と同じ状況になりました。

1.3 対応

 ここまで来ると考えられる対応はバックアップを戻すか、OSの再インストールしかありません。データのバックアップはあるようでしたが、システムのバックアップはありませんでした。状況は最悪でしたが、前日に自宅に帰ってさらに他に除去方法はないか調査したところ、Windowsのセルフモードでも除去できる可能性があることを確認していました。Windowsには復元ポイントというのがあり、アプリケーションなどをインストールする前の状態にする機能があります。これを利用するとウイルスが感染する前の状態に戻すことも可能です。

1.4 セルフモードと復元ポイント

 OSの再インストールは手間がかかるので出来るだけ避けたいとなると、セルフモードでの起動で復元ポイントまで戻すというのが一番の早道になります。PCを再起動し、F8キーを押してセルフモードに移行します。セルフモードで起動出来たかなと思ったのですが、すぐにシャットダウンとなりました。これは、事前に調べたサイトの情報とおりの動きです。ダメ元で、「セルフモード+コマンドプロンプト」で起動したところ、シャットダウンせずに、コマンドウィンドウが開きコマンドラインからオペレーションができる状態になりました。この状態で「rstrui.exe」というコマンドを実行したところ、復元するためのアプリケーションが立ち上がり何とか復元できました。復元は20分程度かかりましたが、復元完了後PCを再起動したところ、ウイルスの画面は表示されなくなり、オペレーションが可能となりました。なんとか、ウイルス感染される前の状態まで戻すことが出来たことになります。

1.5 その後の対策

 この後の対策として、気持ち悪いのでOSの再インストールをお勧めして、その場を後にしました。また、バックアップも改めてお勧めしておきました。

2 企業でのウイルス対策は

 企業内では当然のことながら幾重にもウイルス対策は行われていると思います。インターネットの出入り口や各PCに必要なソフトインストールして対策を練っていることでしょう。しかし、今回のウイルスはウイルス対策ソフトを切り抜けて感染したと考えられます。これでは、ソフトウェア的な対策は行うことが出来ません。

 やはりデータのバックアップとOSの再インストールの対策は検討しておくべき内容となるのではないでしょうか。仮想デスクトップ(VDI)環境の場合は、OSの再インストールなどは比較的簡単に行えますし、OSとデータの分離も設定で簡単に行えます。データがなくなれば元の木阿弥、OSが起動できなければ仕事になりません。今回のような状況に対処するためには、ウイルス除去に加えバックアップリカバリ、OS再インストールなど考えられる方法をいくつも用意しておくことが重要です。

3 まとめ

 今回は個人ユーザの方がウイルスに感染して被害もそれほど大きくありませんでしたが、これが企業内で起こることを考えたらゾッとします。しかも、FAT PCであればなおさらです。仮想デスクトップであればデータの分離、バックアップ、OSの再インストールなども集中管理することが可能となりますので、対応は非常に行いやすいと改めて感じました。この機会に、皆さんも、クライアントPCのウイルス対策、セキュリティ対策を改めて検討してみてはいかがでしょうか。

 


 

 [IT研修]注目キーワード   Python  UiPath(RPA)  最新技術動向  Microsoft Azure  Docker