マルウェアの削除スタート キット

対応計画

公開日: 2007年9月14日

ダウンロード

マルウェアの削除スタート キットの取得 (英語)

計画は、最悪の事態を想定して初めて万全なものとなります。攻撃によって防御策がすべて突破された場合に何をすべきかを、スタッフ全員に周知徹底させておく必要があります。迅速に対応できるかどうかは、攻撃の影響が深刻な場合に特に重要となります。

対応を計画するにあたっては、過剰なマルウェア対策を練ると、実際に攻撃が起きたときと同様の不便や支障が生じる可能性があることを理解しておくことが重要です。迅速な対応を計画しつつ、スタッフの生産性にもたらす影響を最小限に抑えることが大切です。

トピック

インシデント対応計画の作成
オフライン スキャン用のキットを作成する

インシデント対応計画の作成

マルウェア攻撃が疑われる場合に何をすべきかを記したインシデント対応計画を作成することは、組織にとって重要な準備段階の 1 つです。インシデント対応計画は、マルウェア攻撃が起きた場合の最良の行動方針を、攻撃の影響を受けるすべてのスタッフに示します。その目的は、攻撃の影響を最小限に抑えることと、スタッフが従うべきインシデント対応プロセスを文書化して伝達することです。たとえば、綿密に作成された計画では、典型的なインシデントが起きた際に次のような一連のイベントを管理することが可能になります。

1. コンピュータの異常に気付いたスタッフ メンバが社内のサポート担当者に電話をかけます。

2. サポート担当者がコンピュータをチェックし、サポート部門に電話をかけます。

3. サポート技術者が対応し、簡単な診断テストを実施します。その後、問題の深刻度に応じてシステムをクリーンな状態に戻すか、再構築します。

対応プロセスはすべて完了するまでに何時間もかかる場合があります。そのため、プロセスが完了するまでの間にマルウェアがさらに拡大してしまうリスクを最小化できるような計画を策定しておくことが重要です。たとえば、サポート担当者がサポート技術者の到着前にコンピュータでウイルス対策ソフトウェアを実行し、問題のコンピュータからネットワーク ケーブルを取り外すトレーニングを受けていた場合、このコンピュータから他のコンピュータに二次感染する危険は最初の対応で阻止できます。

通常、インシデント対応計画を策定する際は、次の 2 つのシナリオを考慮する必要があります。

• 単独感染。このシナリオは、もう一方のシナリオより起こる確率が大幅に高く、1 台のコンピュータがマルウェアに感染する状態を指します。

• 集団感染。集団感染に対する対応プロセスは単独感染に対する対応を拡張したものなので、インシデント対応計画には、これら両方のシナリオを含めることができます。

通常、集団感染に対する対応では、組織のネットワークを一時的に隔離することによって、攻撃のさらなる拡大を防いだり、感染したシステムを修復するために必要な時間をサポート スタッフに与えたりする必要があります。場合によっては、組織内のコンピュータをネットワークに再接続する前に、ファイアウォールまたはルータの設定を変更するように、ネットワーク管理者または担当者に通知する必要があります。たとえば、マルウェアが特定のネットワーク ポートを使用してコンピュータに感染している場合は、ファイアウォールでこのポートをブロックすることによって、他のネットワーク通信を持続しながら再感染を防ぐことができます。

重要

このキットを使用してコンピュータをクリーンな状態に戻したにもかかわらず依然としてマルウェアの存在が検出される場合は、コンピュータの電源を切って、5 ～ 10 営業日間使用しないか、ウイルス対策ソフトウェアのプロバイダから最新のウイルス定義ファイルが発行されるまで使用しないことをお勧めします。キットを使用して最新の定義ファイルをダウンロードしたら、コンピュータを再スキャンして、より効果的に問題に取り組むことができます。

インシデント対応計画の編成および作成の詳細については、次の資料を参照してください。

• 対ウイルス多層防御ガイド

• 「IT セキュリティ インシデントへの対応」 (英語)

• 「Windows 2000 Server セキュリティ保護ガイド」の第 3 章「セキュリティ リスクの管理について」(インシデント対応情報のみ該当)

• Microsoft Operations Framework (MOF) のサービス管理機能 (インシデント管理) (英語)

• 『Windows セキュリティ リソース キット』(第 2 版、Microsoft Press 出版)

ページのトップへ

オフライン スキャン用のキットを作成する

このセクションでは、Windows プレインストール環境 (Windows PE) キットの準備作業を行ううえで役立つ推奨事項、サポート仕様、簡単な手順などを示します。これらの情報を参考にしてキットとツール セットを組み合わせたら、オフライン スキャンを実行して、組織内のコンピュータからマルウェアを検出できるようになります。

Windows PE には、Windows オペレーティング システムを準備し、インストールするための強力なツールが用意されています。Windows PE を使用すると、クライアント コンピュータでの Windows のトラブルシューティングに必要なリソースが含まれたリムーバブル メディアから Windows を起動できます。Windows PE の詳細については、「Windows プレインストール環境の技術概要」(英語)

サポートされていないツールとテクノロジ

Windows PE は、次のツールとテクノロジをサポートしていません。

• Internet Explorer® 7

• Microsoft Windows インストーラ (.msi ファイル) を使用するアプリケーション

前提条件

Windows PE キットを準備するためのオペレーティング システムおよび機能の必要条件は、次のとおりです。

• Service Pack 2 (SP2) が適用された Windows Vista® または Windows XP®

• DVD 書き込み機能と CD-ROM 書き込みソフトウェア

• Windows PE .img ファイルをダウンロードするための空きディスク領域 992 MB

注意

キットの既定のスクリプトを使用する場合は、C ドライブにブート イメージを作成するための 800 MB の空き領域がさらに必要となります。

• Windows インストーラを実行するための Microsoft .NET Framework バージョン 2.0 と MSXML

次のリソースを使用すると、これらの必要条件を満たすことができます。

• Microsoft .NET Framework バージョン 2.0 再配布可能パッケージ (x86)

• Microsoft Core XML Services (MSXML) 6.0

32 ビット システムと 64 ビット システムの必要条件の詳細については、次のリソースを参照してください。

• Windows プレインストール環境の概要(英語)

タスクの概要

マルウェアの削除スタート キットでオフライン スキャンの準備をするには、次のタスクを完了する必要があります。

• タスク 1: Windows 自動インストール キット (AIK) をインストールする

• タスク 2: マルウェア スキャン ツールとユーティリティをダウンロードする

• タスク 3: マルウェアの削除スタート キットの CD-ROM を作成する

• タスク 4: マルウェアの削除スタート キットを使用してコンピュータをスキャンする

タスク 1: Windows 自動インストール キット (AIK) をインストールする

このプロセスで最初に行う必要があるのは、Windows 自動インストール キット (AIK) を取得することです。AIK には、Windows PE をはじめ、コンピュータにインストールするためのファイルが含まれています。AIK は、選択した任意のシステム ドライブにイメージ (*.img) ファイルとして既定でインストールされます。

注意

AIK は、Windows Vista と Windows XP SP2 の両方をサポートしています。

AIK をコンピュータにインストールするには

1. Microsoft ダウンロード センターの「Windows 自動インストール キット (AIK)」ページから AIK をダウンロードします。

注意

AIK の .img ファイルのサイズは 992 MB です。Microsoft ダウンロード センターへの接続速度によっては、ファイルのダウンロードに時間がかかる場合があります。

2. AIK の .img ファイルを DVD に書き込みます。

注意

ご使用の DVD 書き込みソフトウェアで ".img" ファイルが認識されない場合は、ダウンロード用の [名前を付けて保存] ダイアログ ボックスで [ファイルの種類] ドロップダウン リストを展開して、ファイルの種類を "すべてのファイル" に変更し、ファイル名拡張子を ".img" から ".iso" に変更した後で、DVD の書き込みをもう一度やり直してください。

3. 作成した AIK DVD で StartCD.exe をダブルクリックして、AIK をコンピュータにインストールします。

タスク 2: マルウェア スキャン ツールとユーティリティをダウンロードする

マルウェア スキャンをコンピュータで実行するために Windows PE と共に使用するツールを特定する必要があります。Windows PE は、コンピュータへのインストール時に .msi パッケージを使用するツールをサポートしていません。また、コンピュータ上のランダム アクセス メモリ (RAM) の量によっても、どのスキャン ツールを使用できるかが制約される場合があります。

インストールしなくても、Windows PE 環境でプログラム ファイルとして実行できる無料マルウェア対策ツールは多数提供されており、これらのツールは USB デバイスから実行することもできます。

どのマルウェア スキャン ツールを使用するかを決めたら、それをコンピュータ上の一時的な場所にダウンロードします。

重要

一部のマルウェア対策ツールでは、実行するためにネットワーク アクセスが必要となります。そのため、このガイダンスに従ってマルウェアの削除スタート キット CD-ROM を作成する場合は、オフラインで実行できるマルウェア対策ツールのみを使用してください。オフライン スキャン ツールを選択したら、ツールのインストール手順に必ず目を通してください。ツールによっては、必ずしもすべての Windows オペレーティング システムと互換していない場合があります。

このガイダンスを作成した時点では、Windows XP SP2 または Windows Vista 搭載の RAM 512 MB 以上のコンピュータで、次のツールを Windows PE 環境で実行できることが確認できています。

• avast! Virus Cleaner (Alwil Software) : オフライン実行に対応しています。定義ファイルの発行日はダウンロードした日付に設定されます。

• McAfee AVERT Stinger (McAfee) : スタンドアロン型のウイルス スキャナです。オフライン実行に対応しています。定義ファイルの発行日はダウンロードした日付に設定されます。

• 悪意のあるソフトウェアの削除ツール (Microsoft) : オフライン実行に対応しています。定義ファイルの発行日はダウンロードした日付に設定されます。

• Spybot - Search & Destroy (Spybot Search and Destroy) :

注意

このツールを使用するには、まずスキャン対象コンピュータにツールをインストールして、定義ファイル検出用の最新の更新プログラムを Spybot からダウンロードしておく必要があります。インストールされたツールは、インストール時に別のパスを指定しない限り、X:\Program Files\Spybot – Search & Destroy\spybotsd から既定で起動します。定義ファイルの発行日はダウンロードした日付に設定されます。このツールの使用法の詳細については、Spybot の Web サイトで「チュートリアルをご覧ください。

次のユーティリティは、マルウェア除去中のコンピュータを管理するために使用されます。

• Drive Manager (英語) (Freeware Utilities by Alex Nolan (英語) Web サイト) : ハード ドライブ、CD/DVD ドライブ、USB ドライブ、ネットワーク ドライブなどのさまざまな種類のドライブを識別し、各ドライブのプロパティを表示して分析を支援します。オフライン実行に対応しています。

• System Spec (Freeware Utilities by Alex Nolan Web サイト) : コンピュータ上の現在のハードウェアに関する情報を提供します。コンピュータの保守中にハードウェアに関する詳細な情報を提供する必要がある場合に役立ちます。オフライン実行に対応しています。

タスク 3: マルウェアの削除スタート キットの CD-ROM を作成する

マルウェアの削除スタート キットの CD-ROM を作成するには、キットの Windows PE イメージを生成し、ツールを追加することによって Windows PE の基本イメージを変更して、RAM を拡張できるようにディスク キャッシュのサイズを変更した後で、変更後のイメージを CD-ROM に書き込むための .iso イメージ ファイルを構築する必要があります。マルウェアの検出効果を最大限に保つために、オフライン スキャン ツール用の最新のウイルス定義ファイルを CD-ROM に定期的にダウンロードする必要があります。

重要

Windows PE イメージの作成を開始したら、すべての手順を中断せずに完了することが重要です。ここで指定されたとおりに手順を実行しているかどうかや、システムの処理速度によっても異なりますが、使用するツールを既にダウンロードしてある場合のこのプロセスの所要時間は約 30 分です。このタスクには、C ドライブに約 800 MB の空き領域が必要です。ドライブ文字の割り当てを必要に応じて更新してください。

マルウェアの削除スタート キットの CD-ROM を作成するには

1. 管理者としてコンピュータにログオンして、[スタート] ボタンをクリックし、[すべてのプログラム]、[Microsoft Windows AIK] の順にポイントし、[Windows PE Tools コマンド プロンプト] をクリックします。

注意

この手順は Windows XP に適用されます。コンピュータで Windows Vista を実行している場合は、[Windows PE Tools コマンド プロンプト] を右クリックして [管理者として実行] をクリックした後で、[続行] をクリックします。

2. コマンド プロンプトで次のように入力して、Enter キーを押します。これによって、Windows PE の x86 イメージのコピーが作成され、コンピュータ上に作業フォルダ ディレクトリが設定されます。

   copype x86 c:\WinPE

3. 新しいディレクトリ c:\WinPE のコマンド プロンプトで次のように入力して、Enter キーを押します。これによって、WinPE.wim イメージがマウントされ、変更できるようになります。

   imagex /mountrw winpe.wim 1 c:\WinPE\Mount

4. コマンド プロンプトで次のように入力して、Enter キーを押します。これによって、次のレジストリ サブキーがアクセスされます。

   reg load HKLM\_WinPE_SYSTEM c:\WinPE\Mount\windows\system32\config\system

5. コマンド プロンプトで次のように入力して、Enter キーを押します。これによって、96 MB のディスク キャッシュが作成されます。

   reg add HKLM\_WinPE_SYSTEM\ControlSet001\Services\FBWF /v WinPECacheThreshold /t REG_DWORD /d 96 /f

6. コマンド プロンプトで次のように入力して、Enter キーを押します。これによって、次のレジストリ キーが終了されます。

   reg unload HKLM\_WinPE_SYSTEM

7. マルウェア スキャン ツール用のディレクトリを mount フォルダ内に作成します (このフォルダの名前は "Tools" などにします)。

   mkdir c:\WinPE\mount\Tools

8. タスク 2 でダウンロードしたツール ファイルを上記で作成した Tools ディレクトリにコピーします。たとえば、次のように入力します。

   copy <タスク 2 のディレクトリに含まれているツール> c:\WinPE\mount\Tools

9. コマンド プロンプトで次のように入力して、Enter キーを押します。次に Yes と入力して、Enter キーを再び押します。

   peimg /prep c:\WinPE\Mount

10. コマンド プロンプトで次のように入力して、Enter キーを押します。これによって、変更内容が保存されます。

    imagex /unmount c:\WinPE\Mount /commit

11. コマンド プロンプトで次のように入力して、Enter キーを押し、Yes

    copy c:\WinPE\WinPE.wim c:\winpe\ISO\sources\boot.wim

12. コマンド プロンプトで次のように入力して、Enter キーを押します。これによって、Windows PE イメージの .iso ファイルが作成されます。

    oscdimg -n -bc:\WinPE\etfsboot.com c:\WinPE\ISO c:\WinPE\WinPE_Tools.iso

13. c:\WinPE\WinPE_Tools.iso にある .iso ファイルを CD-ROM に書き込んで、Windows PE イメージをテストし、マルウェア スキャン ツールがすべて正しく実行されることを確認します。

注意

Microsoft Virtual PC 2007

マルウェアの削除スタート キットの CD-ROM が完成しました。ウイルス定義ファイルを頻繁に更新する必要がある環境では、スキャン ツールを USB デバイス上で管理して、最新の更新ファイルを取得することをお勧めします。

タスク 4: マルウェアの削除スタート キットを使用してコンピュータをスキャンする

ここでは、選択したツールと Windows PE イメージを使用して、コンピュータでマルウェアの有無を調べることができます。

Windows PE の CD-ROM とツールを使用してコンピュータをスキャンするには

1. 作成した CD-ROM をコンピュータの CD ドライブまたは DVD ドライブに挿入したら、コンピュータの起動順序に従って、このドライブからコンピュータを起動します。

   オプション : コンピュータのスロットに USB デバイスを挿入して、オペレーティング システムの起動時にデバイスが読み込まれることを確認します。

注意

Windows PE CD-ROM 起動ディスクからコンピュータを起動する方法の詳細については、Microsoft.com の「Windows プレインストール環境の概要」を参照してください。この資料は、コンピュータの起動順序に合わせて基本入出力システム (BIOS) を設定する方法や、コンピュータを CD ドライブから起動できない場合の原因となる BIOS 設定について説明したものです。

2. 選択したマルウェア スキャン ツールを実行します。タスク 3 で既定の設定情報を使用して Windows PE イメージを構築した場合、ツールは X:\Tools に格納されています。表示されたツールを実行するには、各ツールのプログラム ファイルの名前をコマンド プロンプトで入力します。

   オプション : 最新のウイルス定義ファイルまたはツールを提供するために USB デバイスを挿入した場合に、USB デバイスがどのドライブ文字を使用しているかがわからないときは、X:\Tools にある Drive Manager を使用してドライブ文字を特定できます。

注意

pybot を実行するには、Spybot のインストール手順を参照して、このツールをコンピュータにインストールした後で定義プログラム ファイルが実行されるようにしてください。

注意事項

感染したコンピュータでマルウェア スキャン ツールを実行すると、コンピュータが正しく起動しなくなる可能性があります。また、主要なブート ファイルがマルウェアに感染した場合にクリーンアップを行うと、オペレーティング システムが正しく機能しなくなる可能性があります。そのため、コンピュータ上の重要な情報ファイルはすべて定期的にバックアップしておくことが重要です。また、これらのファイルをバックアップ リソースからコンピュータに復元した後は、バックアップ ファイルにマルウェアが含まれていないかどうかを調べるため、コンピュータを再スキャンすることをお勧めします。

ページのトップへ