Norton360がインストールされているDELL製のノートPCに
あるEDRをインストールした。
サポートによればNortonとの競合は現在ないとのことだったので、
Norton360はそのままにしておくことにした。
稼働運用から3カ月ほど。
EDR運用開始とともに、いくつか発生していた誤検知も
全くなくなり、安定していた。安定しきっていたと言えると思う。
検知モード → 怪しいプロセスをKILLして、隔離するモード
変更をするタイミングが来たと思い、決行した。
2時間半後に悲劇は起きた。
いきなり検知メールが飛んできたので、
管理Webページにログインする。
こんなタイミングで一か月以上なかった検知が起こるとは。
誤検知であるとは思うのだが。
検知しているファイルを確認する。
Nortonのシステムファイルが含まれているのを確認する。
おそらく誤検知だろう。
3件検知があり、関わりのあったファイルが複数隔離されているようだったので、
急いで、隔離解除を行う。
しかし、何度やっても、隔離解除に失敗しましたのエラーが返ってくる。
・・・・・・
おそらく大丈夫だと思うが、PCのユーザに問題がないか、メッセージを送っておくことにする。
「誤検知があったようですが、問題ないでしょうか?」
10分くらいして、何かメッセージが出たが、キャンセルして実行したので問題はないとの返事が。
よかった・・・。
その3分後、悲劇の電話がかかってくる。
「起動しないんだけど・・・」
青い画面が出て、Windowsが起動しないとのこと。
今は金曜の夜。
既に業務終了時間が迫っていたため、月曜に現地まで行って対応することとする。
嫌な予感がするが。
今から飛んで行って対応するわけにもいかないため、あきらめて準備だけしておく。
そのタイミングでスクリーンショットが送られてくる。
「 回復
お使いのPC またはデバイスは修復する必要があります
要求されたデバイスが接続されていないか、デバイスにアクセスできません
エラーコード :0xc0000225
」
予断を許さない状況です。
とりあえず、0xcc0000225で起動しない場合の対処法をインターネットで検索する。
出てきたサイトを片っ端からプリントアウトしておく。
データを吸い出すため、ディスクをUSB接続する機器、ノートPCを分解するための工具、
LANケーブル、電源タップ等、用意できるだけのものを用意しておく。
本当にウィルスに感染している場合も考慮し、いつも使用しているノートPCとは別に、
まっさらに近い、感染しても大丈夫なPCも用意する。
絶対に負けられない戦い、これのことか。
このPCが起動しないと、とても困るのです。
社長の専用ノートPCで、重要な情報を扱う時にのみ、使用しているものなので。
データを吸い出すことはもちろん可能だが、
同じ状態にPCを設定するまでには何日か、かかるだろう。
果たしてその時間が許されるのか。(許されないならばどうなるのか)
吸い出せない設定、ディジタル証明書等の問題を考えると、
やはり、何とかこのPCを起動させたいところではあるが。
直前のEDRの誤検知と、この起動不能が関係ないなんてことがあるだろうか。
社長は、なんかグルグルして動かなくなったから無理に電源切っちゃったー。
とか言っていたが、それだけでこんなことになるだろうか。
やはり、EDRが隔離したファイルと関係がある可能性が、非常に高いと思わざるを得ない。
恐ろしい。
隔離されたファイルをもう一度詳しく調べてみる。
Norotnの実行ファイル。
以前銀行に推奨され、インストールされたままになっていたRapport というセキュリティソフト
そして何らかのドライバ。
非常に苦しい展開だが、できるだけの用意をした私は、力尽きて帰宅した。(第2話へ続く)
