マルウェアの仕込まれた添付ファイルや怪しいソフトをダウンロードしても、マルウェア対策ソフトを入れている場合で、なおかつそのマルウェアが既知のものであれば、同ソフトで検知、隔離が行なわれます。
マルウェア対策ソフトにより、マルウェアが検知された場合、念のためLANケーブルを抜去、あるいは無線LAN接続を停止して安全の確認をするのがよいでしょう。
LANケーブルを抜去、無線LAN接続を停止するのは、万が一のマルウェア拡散を防ぐ意味があります。
メールの場合は、メールサーバー側でセキュリティ監視を行なっているケースもよくあります。
この場合、受信したメールにマルウェアが添付されていることが検出されると該当するメールの削除通知が来ますので、速やかにメールを削除しましょう。
通常はメールを監視している側で、どのようなマルウェアが仕込まれたかログを収集しています。
定期的にログを確認するのがよいでしょう。
問題となるのは、マルウェア対策ソフトで検出されない場合が増えていることです。
極力怪しい添付ファイルやURLは開かないようにしたいのですが、仮に開いたとしてマルウェア対策ソフトも反応しなかった場合、極めて厄介なことになります。
怪しいファイルやURLを実際に仮想環境で検証することで、マルウェアかどうかを判定するサンドボックスという技術も出てきています。
しかし、サンドボックスの場合、検証を実施してマルウェアかどうかを判定するまでに一定の時間がかかります。
その間に侵入が行なわれた場合、感染が拡大する可能性もでてきます。
感染したと判断された場合には、速やかにLANケーブルを抜去するあるいは無線LANを停止し、そのままの状態で調査する必要があります。
この場合、專門家によるコンピュータフォレンジックといわれる詳細な調査が必要です。
フォレンジックを行なうのに数日かかる場合もあるため、会社組織の場合には業務を止めないために代替のPCなどを用意するとともに、必要なデータは定期的にバックアップしておく必要があると言えるでしょう。
感染した場合を想定した体制を事前に整えておくことが必要です。
関連記事
マルウェアとはどんなもの?① 悪意あるソフトウェアの種類を知る
マルウェアとはどんなもの?③ 侵入の方法と防御策を考える(実行形式ファイル)
マルウェアとはどんなもの?④ 侵入の方法と防御策を考える(データファイル)