マスターブートレコードへの感染 ~ ディスクの再フォーマットも
マスターブートレコードは、HDD内部のデータが保存される部分の先頭に置かれるプログラムで、PC起動時に最初に読み込まれる部分です。マスターブートレコードには、ブートストラップコードやパーティションテーブルといったOSをどのように起動するかといった情報が記録されています。PCが起動されると、BIOSに次いでマスターブートレコードが読み込まれ、そこに記述されたWindowsの起動情報に応じてWindowsを起動します。仮にマスターブートレコードが壊れてしまうとWindowsは起動せず、結果的にブルースクリーンで「STOP 0x0000007B」などのSTOPメッセージを目にすることになります。また、この領域にウイルスが感染すると、Windowsの起動コードが操作できてしまいます。
多くのウイルス対策ソフトは、ブートセクタのウイルススキャンや駆除に対応していますが、完全に駆除できない場合があります。コンピュータを完全スキャンしても繰り返し検出されてしまうような場合には、お使いのウイルス対策ベンダーのサポートセンターに連絡し、検出されたウイルス名を伝えて完全駆除を行なってください。ウイルスの動作次第では、完全駆除できず、パーティションを再作成しHDDをフォーマットした上でWindowsを再インストールしなければならない場合があります。
BIOSへの感染 ~ PC自体の入れ替えも!
BIOSはPCのデバイスを制御するための基礎プログラムですが、PCの起動シーケンスをコントロールする可能性を秘めています。2000年以前に、すでにBIOSを破壊するウイルスは見つかっていました。さらに、今年の9月に複数のアンチウイルスベンダーの研究者によって発見されたBIOS感染ウイルスは、システム制御を行なう機能を持っていました。
BIOSは、PCのハードウェアに依存するので汎用性を持つものではなく、9月に発見されたウイルスはAward BIOSにターゲットを絞りBIOSからマスターブートレコードを書き換えようとします。仮にマスターブートレコードの感染部分が駆除されたとしても、PCを起動することで再びマスターブートレコードが感染し、ウイルス活動を再開するという仕組みでした。
現在のウイルス対策ソフトでは、BIOSをクリーンナップできるものはありません。マスターブートレコードのウイルスを駆除しても感染が止まらないといった現象を発見した場合には、お使いのウイルス対策ソフトのサポートセンターへ問い合わせていただき、BIOSに感染するウイルスなのかどうかを確認してください。BIOSに感染するウイルスの場合には、PCメーカーの協力を得てPCのBIOSをクリアするか、もしくは別のPCを利用する必要があります。
ウイルスに感染した場合の対処のまとめ
最後に、ウイルス感染したPCの復旧のために必要な対処をまとめておきたいと思います。
- 感染拡大防止のためにネットワークから切断して隔離する
- ウイルス対策ソフトによるウイルスの検出名から、そのウイルスの動作と感染場所を確認する。各ウイルス対策ベンダーのホームページから検索できます。サポートセンターにお問い合わせいただければ、より詳しい情報が手に入ります
- まず、ウイルス対策ソフトによる駆除を試す。ウイルスソフトによる駆除完了後、再起動やコンピュータの完全スキャンなどにより、ウイルスが残っていないことを確認する。ウイルスが完全削除できていればネットワークに接続する
- ウイルスが繰り返し検出される場合には、ウイルス対策ベンダーのサポートセンターに指示を仰ぎ、指示に従って手動で駆除を行なう。
- 手動での駆除ができない場合には、感染場所に応じて再セットアップを行なう
感染場所 | 再セットアップレベル |
---|---|
ユーザーモード | ファイルを削除し、ウイルスが書き換えたレジストリを元に戻す |
カーネルモード | OSの再インストール |
マスターブートレコード | パーティションの再作成とフォーマットを行ないOSを再インストール |
BIOS | BIOSをクリアするか、PC自体を入れ替える |
いまや日本へのサイバー攻撃は厳しさを増すばかりです。いつ標的にされ攻撃にさらされるかはわかりません。日々の運用でOSやアプリケーションのパッチを最新にしたり、ウイルス対策ソフトのパターンファイルを最新にする運用に加え、万が一の感染が確認された時の対処プロセスを再確認してください。また、ウイルス感染が確認された場合には、積極的にウイルス対策ベンダーの情報やサポートセンターを活用し、二次被害を避けるために、PCの復旧には万全を期してください。
筆者紹介:富安洋介
エフセキュア株式会社 テクノロジー&サービス部 プロダクトエキスパート
2008年、エフセキュアに入社。主にLinux製品について、パートナーへの技術的支援を担当する。
この連載の記事
-
最終回
TECH
セキュリティの根本はインシデントに備えた体制作りから -
第54回
TECH
マルウェア感染の被害を抑える「転ばぬ先の出口対策」 -
第53回
TECH
マルウェア感染を発見した際の初期対応 -
第52回
TECH
ついに成立したサイバー刑法に懸念点はないか -
第51回
TECH
施行されたサイバー刑法における「ウイルス作成罪」の内容 -
第50回
TECH
サイバー刑法が過去に抱えていた問題点 -
第49回
TECH
ウイルス作者を取り締まるサイバー刑法ができるまで -
第48回
TECH
医療ICTの今後の広がり -
第47回
TECH
重大な情報を扱う医療ICTのセキュリティ対策 -
第46回
TECH
医療ICTの柱「レセプト電算処理システム」の仕組みと問題 -
第45回
TECH
医療分野で普及が進む電子カルテシステムの課題 - この連載の一覧へ