勉強会にて（２／２）

幹事を引き受けてくださるかたがあり、良い企画をしてくれて、先週火曜日の夜19時半から貸会議室で開かれた勉強会に参加しました。

通信制の大学で授業を担当されていた、権威ある先生が参加されているので、十数名の参加者は真剣だ。

テーマはランサムウェアについて。インシデント（ウイルス感染発覚）時の対応や、予防策について話し合った。

ウイルスの検体を得たら、確かめるのが、そのウイルスは一体何をするのか、だ。
確かめるには、プログラムを読むことができればいいだろうが、手っ取り早いのが、そのプログラムを実際に起動して動作させる、つまりRUN（ラン）すればいい。
しかし、普通にウイルスを開けばパソコンは打撃を受けることになるので、サンドボックスという「セキュリティ機構」の中で動作させるのだ。保護された領域を作って、その中で動作させれば、パソコンには影響しない。

サンドボックスは無料のものがある、という話がその場で出た。
ウィキペディアではJavaアプレットやGoogleChromeもサンドボックスだと紹介されていた。

実際を見てみなければ私は理解が浅い。今後調べてみよう。

何をするウィルスで、どこにアクセスしようとするか、どのデータを外部へ送ろうとするか。

被害を受けないようにするには、準備も必要だ。一番はよく言われることだが、OSやアプリケーションソフトの更新。マイクロソフト社から更新データが送信されてくるが、これを実行しておくことだ。

ネットワークの構成を知っておく、または整理しておく、権限設定をして、過去の取り置きデータには書き込みできないようにしておく、データは書き出しできないなど、必要最低限の権限しか与えないこと。サーバごとに設定しておくことができるそうだ。

アプリケーションがいつ起動され、またはいつ、どこへ、どこから通信を送受信したかなど、さまざまなログを取っておいて、異常を検知するようにしておくことも大切だ。企業ではそういった各種ログを見張って異常を知らせる検知サービスを受けていることが多いとのことだ。もちろん有料なのだが、24時間365日、自前でそれを行うのはかなりの労務費が発生するので外部委託するほうが一般的なのだろう。

ランサムウェアについてはとりわけ、暗号化を解くか、別にデータがバックアップされていたらお金を払わなくて済むので、バックアップの取り方を工夫するとか、デコード（暗号解析、復号化）ツールを試してみるのも一つの手だ、という話もでた。

デコードツールについては、無料のものから高額のものまであるので、無料のもので簡単に復号化できるとは限らないのだが、試してみる価値はありそうだ。

先生からは「サニタイズ」の話もでた。無害化ということで、例えば、Wordに仕込まれているマクロを削除してしまう、とか、怪しい文書ファイルを画像化してしまう、というようなことだ。ファイルを開くときにビクビクしながら開く、では困りもの。

無駄に過大なセキュリティを設定してしまうのではなく、事業の妨げになるようなことを最低限にして、しかし安全に運用できる、そんなシステムがいい。

次回の勉強会もよりよく開催すべく、幹事さんたちはいろいろ企画を練ってくれるようだ。まったくお任せで申し訳ないが、なるべく参加できるように調整したい。