てんちょです。今月はちゅん氏が立て続けに出張のためブログ連投となります。
一人で細々な業務対応を行っているとなかなか思った通りに作業が進まないものですね。キッティングが進んでいません。手元に50台ほどの端末があるんですが、ほとんど手付かずになっています。SSDの故障によるOSの入れ直し(これは今配備している端末とは別です)、端末入替後の個別ソフトウェアのインストール対応など同時進行で進めていますが、そこに電話やTeamsでの対応が重なると作業中の端末は放置され気味。
そんな電話での問い合わせで今日はちょっとドキッとした出来事がありました。「マクロ付きのExcelのファイルを開いたところ、ネットワークを遮断したとメッセージが出た」という内容で、おそらくEDRに反応したんだと思われます。普段ほとんど出ないエラー。資産管理ソフトと連動したEDRのため、マルウェアと疑わしき動きを検出したことで資産管理ソフト側でネットワーク自体を遮断したようでした。
EDRの管理画面から該当する検出ファイルを確認したところ
“EXCEL.EXE が xxx.xxx.xxx.xxx:443 へトラフィックを送信しました”
となっています。どうやらどこかと通信しようとしているようです。状況を確認してみると、ファイルサーバーにあったファイルをデスクトップにコピーしたということで、ファイルサーバーの元ファイルを開いてみたところ問題なく起動できました。
では通信先は…と検索してみたところ、どうやらIPはMicrosoftの所有。外部から持ってきたファイルがどこかに通信しようとしてるということでマルウェア疑惑の判定をしたようです。しかし瞬時にインターネットへの通信を遮断してくれる資産管理ソフトは優秀ですね。普段動いているのか疑問に思っていましたが、こういったちょっとした変化も見逃さずに検知してくれるのは、とても信頼できるソフトだと改めて感じました。
導入から2年ほどで検知は数件なので、たまに動くと怖いです。
(投稿者:てんちょ)
