初めに – ある時点からPCの調子が悪すぎる
お久しぶりのメリクリンク~(涙) いや~今月は個人的にあまりにも悲惨な出来事が多くて、ずっと鬱状態に沈んでいて、当ブログ始まって以来の長い未更新期間を記録してしまった。と言うのも、ある日俺のパソコンがウィルスに感染したのか、あるいは何者かの攻撃を受けてしまい、甚大な被害を被ってしまったからだ。必死に環境修復を試みたのだが、まだ完全には復旧しておらず、依然として災禍のただなかにいることに変わりはない。
症状が始まったのは、ある日行った「Windows11の最新大型アップデート(24H2)への更新後」すぐである。これもあって最初は24H2バージョンの不具合だと思っていた(実際、24H2はさまざまな不具合が報告されていた)。しかし見舞われた症状はどれもセキュリティに関する致命的なものばかりで、どうもおかしいぞと疑念に抱き、さまざまな対処を行ううちに、原因が人為的かつ作為的なものだと断定するに至った。
しかし何とか被害拡大だけは防ぎ、最小限の環境を構築し直して、こうしてインターネットにも繋いでブログ管理画面まで辿り着いたわけだ。我ながら、PCが使えない日々が続くことがこんなにも耐え難い苦しみをもたらすとは想像もしていなかった。思えば自分のPCとは、自分の勉強したことや収集した資料、大切な思い出などの「情報が詰まった宝庫」なので、それを奪われることは自分の活動の歴史や自分の最大の理解者――親友を失うことに等しいのである。
俺はこの掛け替えのない親友と今一度関係を結び直し、今度はもっと健全な仲を維持していくべきだろう。というわけで今回の記事は、24年12月に俺を襲った「PCウィルス騒動」について、その概要や考察、原因や対策などをまとめていく。今後もし、同じような被害に合う人が出た場合、その人にとって有益な情報になることを願っている。もう二度と、こんな悲劇を繰り返してはいけないんだっ!
襲われた症状
- Windows Defenderによるスキャンができない
スキャンしようとすると、真っ黒なウィンドウが立ち上がるだけ。 - Windowsセキュリティが立ち上がらない
後に確認すると、Windowsセキュリティのシステムフォルダごと削除されていて、手動で再インストールしても機能しない。 - その他の特定のアプリが起動しない。または起動するのに極めて時間がかかる。そして正常に動作しない。
- パーティション操作ができない
システムパーティション/530MB未割り当て(元回復パーティション)/その他16MB予約済み/未割り当て639MB/337MB(EFIシステム予約済み)/530MB回復パーティション
以上のように回復パーティションが二つあったので、片方を削除して左のシステムパーティションに吸収はできたが、元々あった未割り当てパーティションを一番右の回復パーティションに吸収させる動作や、右に移動させる動作はキャンセルされた(Partition Wizardでは表示上正常に動作が適用されたと言われ、AOMEIでは「すみませんが、現在の処理がキャンセルされました!情報コード:6」と表示された)。 - システムリセット不可
一回目に試みたときは「ダウンロード→インストール→しばらくお待ちください」ここで進行停止。数時間待った。またダウンロード前の準備中もしばらくかかった。
二回目からは最初の準備中から進行しないか、ウィンドウ自体立ち上がらなくなる。終いには「回復環境が見つかりません」ウィンドウが立ち上がる。システムファイルが削除されているように見える。 - 復元・再インストール不可
その他「復元」や「アップデートの再インストール」なども全て不可。同じく起動しないか、起動しても終わらない。 - 再起動に難あり
再起動が正常に終わらない「再起動しています」から進行不可となり、そのまま終わらないか、やがて「Your device ran into a problem and needs to restart」というブルースクリーンが出て強制再起動される。
行った対処行動
- 別のWindows11ノートPCから、USBメモリに最新のインストールメディアを作成。
- システム状態はそのままでUSBメモリからブートし、既存のブータブルディスクのシステムパーティションにWindows11を再インストールしようとした。しかし同じく「Your device …」ブルースクリーンで再起動した。
- システムストレージ以外のストレージ装置を全て外して再度再インストールを試みた。今度はかなり時間がかかったが成功。その際、「修復」ではなく「Windows11をインストール」を選択し、プロダクトコードは入力しても「有効ではない」と言われるので、「プロダクトキーなし」で実行する。あとでMicrosoftアカウントでサイインインすればアカウントにシステムが自動保存される。
- ある程度環境を整えてから他のストレージ装置を繋ぎ直して起動。するとまたPCの調子がおかしくなる。ドライブをフルスキャンしても、途中で終了して、保護の履歴には一瞬「脅威のサービスが停止しました」と表示されるが、すぐに消えてあたかも正常に終了したかのように装っているように見えた。
- またも全てのストレージ装置を外し、再インストールを行った。このとき先のようにパーティション分けされたシステムストレージ内の全てのパーティションを削除し、そこにクリーンインストールを行った。終了後のパーティションは以下となる。
100MB(EFIシステム予約済み)/16MB(その他予約済み)/Cドライブ(NTFS BitLockerで暗号済み)/686MB(回復パーティション) - 今度はインターネットを切って、一つ一つストレージ装置を繋いで正常性を確認していった。最初の3TB HDDは元Fドライブだがなぜか2048GB(正常 GPT保護パーティション)/746.52GB未割り当てに分割され、Windowsエクスプローラーでも正常に表示されなかった。恐らく物理的にあるいは保存データ的に壊れている。次の2TB HDDは元Hドライブで、エクスプローラーでちゃんと表示されたが、鍵がかかっていて開けられず、なぜか100MBのシステム予約済みパーティション(NTFS アクティブ プライマリパーティション)を持っていた。
BitLockerと回復キー
どうやら次の条件を満たすシステムでは自動的にストレージをBitLockerという技術で暗号化される場合があるそうだ。
- TPM(Trusted Platform Module)をサポートしたチップを搭載しているマザーボード
- セキュアブートが有効
- モダンスタンバイ(DMA保護)が有効
BitLockerはWindows10のhome以外のエディションでサポートされ、Windows11では多くのデバイスで自動的に適用される場合があるらしい。よってこれに関してはウィルスのせいではなく、たとえ手動で設定して回復キーを生成したつもりがなくても問題ない。回復キーは自身のMicrosoftアカウントに保存されており、該当ページから閲覧することができる(桁数が多いのでコピペするのがよく、また念の為写真に撮って保存しておくのがいい)。一度取り外したことでロックが掛かったのだ。
今回の騒動の原因
- PCをオンラインで点けっぱなしにしていた
恐らくIPアドレス(グローバルIPアドレス)を知られた状態で長くオンラインだったので、攻撃者に狙われた。しかしPCユーザーやMicrosoftアカウントを含めた各種アカウントへのログインパスワードは強固だったので、乗っ取りは起こらなかったのだろう。よって強力なシステム破壊ウィルスを送り込んできたのだ。 - 古いソフトウェアを更新せず使っていた
更新が終わったソフトやセキュリティに穴を開ける古いドライバーがたくさん入っていた。特にドライバーは事前にどうやっても削除できなかったので、そこがセキュリティホールになった可能性がある。
今後の対策
- PCはこまめにシャットダウンする
シャットダウンしたくないときでも、LANケーブルを抜いてオフラインにしておくべきだろう。特にシャットダウンが有効な理由は、多くのインターネットサービスプロパイダー(ISP)は、「ダイナミックIPアドレス」という方式を採用しているので、一度シャットダウンすることで次回起動した時には動的に新しいIPアドレスが割り振られるようになっているからだ。例えばIPアドレスチェックサイトにアクセスして現在のIPを確認し、再起動後同じサイトで違うIPが確認できればダイナミックIPアドレスを使用していることになる。
もっとも、ダイナミックIPアドレスはISPのIPアドレスプールからランダムに割り当てられるので、稀に同じIPのままということもある。それと、IPアドレスにはリース期間があり、一定期間ごとに自動でリフレッシュしている。よって通常問題となるのは、同じIPアドレスを長く使うことではなく、生のIPアドレスを不特定多数の人間に知られることである。 - ISP自体か契約プランを変更する
一度攻撃者に目を付けられると、たとえダイナミックIPアドレスを使用していても危険である可能性がある。なぜならISPが持っているIPアドレスプールは契約プランなどによって限りがあり、例えば変わったとしても下一桁のみなどという場合が往々にして起こる。その程度であれば攻撃者はIPアドレスをスキャンすることで容易にターゲットを見つけることができるのだ。よってできるならばISP自体の変更か、契約プランの変更(新しいルーターの導入)を行うことが望ましい。 - システムは最新に保つ
各種プログラムは最新に保ち、特にファイアウォールなどのセキュリティプログラムはしっかりと確認しておく。セキュリティソフトは通常、Windows Defenderで事足りるが、より万全を期すためには社外品の強力なものを導入するべきだろう。しっかりとした最新の脅威に関するデータと、ファイアウォール機能を有していれば、仮にIPアドレスを知られていてもそう簡単には攻撃を受けない。 - IPアドレスを隠す
プロキシサーバーを経由して目的地のサーバーに対して自分のIPを直接晒さないことや、VPNでネット通信を暗号化してIPアドレスを直接隠すなどの対策が必要。場合によっては有料サービスに加入すべき。 - Windows以外のOSを検討する
世の中の家庭用パソコンのOSは大半がWindowsである。そのため攻撃者がターゲットに見据えるOSもまたWindowsが多くなる。Windowsは利用者が多いので脆弱性が見つかった場合すぐに情報が出回るが、それは攻撃者にとってもまた好都合であり、脆弱性が報告された同日中に行われる攻撃(ゼロデイ・アタック)に繋がる恐れもある。
またネット世界に潜んでいるウィルスの大半も、Windowsに感染する仕様になっている。つまりそれらはmacOSやLinuxなどには感染しないのである。よってWindowsを使っているということ自体が潜在的なリスクであるとも言え、場合によってはほかのOSに移行するのも賢明な対策だろう。
もっとも、Linuxは各ディストリビューションを合計すればWindowsに次ぐシェアなので、決して安泰ではないことは留意しておくべきだろう。また人気のディストリビューション「Ubuntu」についても、日本語化が完全ではない部分が多々あるので、Windowsライクなユーザーフレンドリーさを求めるならば「Zorin OS」や「Linux Mint」を採用すべきかもしれない。
その点macOSは現時点では最良の選択と言えるかもしれない。完全にGUIベースで言語もローカライズされており、シェアも充分に低く、目下更新が途絶える予定もないからだ。唯一の欠点と言えば、ずばり”値段が高い”ことだろう。
お終いに – 戦場のメリークリスマスより
今回の騒動で被った損害は以下である。
- システムディスクに入っていた各種ソフトウェアや環境
- 3TB HDD二台分のデータ
- 大量の時間
- 別ノートPCのWindows11
なぜ別のノートパソコンが被害を受けてるの? と不思議に思われるかもしれないが、それはUbuntuを入れてそちらに今回感染したHDDをスキャンしてもらって、あわよくば脅威の削除を行ってもらおうと思ったからだ。ちゃんとデュアルブートでインストールしたはずなのに、なぜか元々入っていたWindowsは起動できなくなってしまった。そしてノートパソコンの底面に貼られたWindows用のプロダクトコードが記載されたシールも、長年の摩擦で擦り減って読めなくなっていた。もう踏んだり蹴ったりである。
何はともあれ、またコンピュータの世界に戻ってきて、ある程度自由に活動して(事前よりはかなり自重せざるを得なくなったが……)、こうしてまたブログを書くことができるようになってひと安心である。怪我の功名と言ってはなんだが、今回の騒動はいろいろと勉強になり、同時に自身のサイバーセキュリティに対する意識を一変させてくれた。例えるなら「突然と戦禍に投げ込まれた子供が、幾千もの修羅場を潜って立派な兵士になった」みたいな感じだろうか? 俺の心と”親友”は、絶望の淵に沈んでもなお不死鳥のごとく蘇ったのである。
さて、久々の執筆で浮足立ってしまっているので、ここいらで今回の記事は終いとさせていただこう。長らく放置してしまったことで読者が大分離れてしまったことと思うが、またコンスタントに記事をしたためていこうと思うので、どうぞこれからもよろしくお願いしますm(__)m 以上、戦場のメリークリスマスでした。最後まで読んでくれてありがとう。また次の記事で会おう。
コメント