昨日はしゃれにならないほどのやばい事態が発生して、とにかくまず影響範囲を必死に調べていたら、２２時くらいになってしまった。会社の先輩は、

「今日はどうしても定時に帰らないといけないから、とにかく調べておいて」

と言い残して去っていった。

こんなときに限ってネットワーク担当も他にいないし（そもそも３人しかいない）、他にサーバ担当が１人いるだけ。居室に２人ぼっちの状態。そのサーバ担当者も別件で忙しく、ところどころアドバイスをしてくれるものの、とにかく影響範囲を調べていた。

なんとか影響範囲は、最悪の事態は免れていた、ということだけ確認できたところで、その報告のメールを流して帰ってきた。

おっかしいなあ。この会社との面談のときに、

「基本的に残業はできないです」

と伝えているし、それはかまわない、と言われていたのだが。

「トラブルとかあったら、やはり遅くなったりしますかね」

と聞いたら、いや、別に全員残っている必要はないし、と言われたから安心していたのに。

そもそも自分しか残ってないではないか。しくしく。
なんか話が違う気がするのだが。これじゃ体がもたないよ。しくしく。
昨日は女子バレーを観戦しようと、早く帰りたかったのに。しくしく。

大事件勃発。４時間半残業。今帰る途中。大丈夫か、俺？

ああ、もうきりがない。

最近ほんとに増えたよ。昨日はIDSがやけに静かだな、と思ったらIDSのproccessであるsnortが検知したsingatureにひっかかったpacketの情報をforwardするbarnyardというproccessがhangしていた。それに気がついてkill -9してrestartすると、mountainのようにalertが。ああもう、とにかくTogetherしようぜ。

そしてその中に３つあったP2Pのalertを調べては対処した。居室まで乗り込んだのは１回だけで、残り１つは誤検知、もう１つは昨日のロシア人のPCだった。ネットワークから切り離してくださいって言ったのに！ぷんぷん。

通信ログを確認したり、昨日の情報なのでIPアドレスからMACアドレスを知るのにDHCPのログを見たり、そのMACアドレスからスイッチのarp情報と突き合わせて通信経路を追っていき、居室まで特定する。はあ、めんどうだわ。SEさんはなにがしスカヤが持ってきた怪しさ満載のPCの解析で忙しい。かなりいろんなものが入り込んでいたようだ。MACアドレスまで偽装されていたらしい。

そんなこんなで、他のタスクやユーザからの依頼も処理して、ようやく帰ろうとしたところで、またalertが…。見なかったことにしたい。いや、でも見てしまったものはしかたがない。とりあえずそのIPの通信履歴を見たら…、

なんだこれは？

う〜ん、最近P2Pというと、いわゆる「ファイル共有ソフト」のことを指し、ランダムなポートを使っていろんなIPアドレスと短時間の間にものすごい量の通信をする。しかし、このケースは、本当の意味でのPeerToPeerな通信ぽい。相手のアドレスは固定で、DNSでちゃんと名前が引ける。しかも某有名国立大学。うちは研究所なので、メッセンジャーか何かのファイル送信機能で、研究データか何かの大きなファイルを送ったのだろうか。しかし、有名どころのメッセンジャーでは別にalertは出ないのだが。何を使ったのかなあ。

まあいいや、今日はこれくらいにしてやろう。明日居室を特定して、何のソフトを使っていたか確認してみよう。というわけで、今日は２時間の残業だった也。明日は女バレなので早く帰るぞ！

仕事が忙しい。やらないといけないタスクがつみあがっているのに、火の手は上がる。何とかタイムシェアリングで優先度をつけながら少しずつ進捗率をあげていく。

しかし、その騒動は本部からのメールがきっかけだった。きのうはP2Pソフトの通信を２つ検知した。その１つめの対応については昨日書いたのだが、２つめがあったのだ。

２つめは昨日の夕方のこと。居室を突き止めて乗り込んでいったら、かなり広い居室で、入口のところの人に事情を説明したら、

「P2Pソフトを使うことはうちのポリシーに反していることを周知徹底させればいいんですね？使用した個人の特定までするのですか？それはプライバシーの問題に関わるのではないですか？」

と言われ、まだここに来て１ヶ月の私は、どこまで厳しく取り締まればいいのかわからず、他のネットワーク担当者もいなくて、とりあえず

「それでは、使用したらこちらで検知されるということを踏まえて、周知徹底させてください」

と引き下がってきたのだ。一応、そこのメーリングリストに流すとその人は言っていた。

しかし、その対応では甘かった。昨日のP2Pの通信量は莫大だったらしく、本部の情シス（うちは情シス部門の横浜支部）から

「なんじゃこれは！！！」

とのメールが。とりあえず私がこういう対応をした、ということを同じネットワーク担当のＮさんが説明したのだが、

「プライバシーもへったくれもあるか！使用した奴は始末書だ！」

とのこと。実際は禁止とは書いてあるが、使用したら始末書、とまでは明文化されてないので厳重注意で終わるだろうが、とりあえず使用者を特定せねばなるまい。

それで、私とＮさんと、各部門にネットワーク担当者が本業と兼任でいるのだが、その人と一緒に３人で居室に乗り込む。間に部門の担当者が入ってくれるとやりやすい。

改めて経緯を説明し、ＩＰアドレスと情報コンセントの番号までわかっているので、ここのシマのどこかだ、というところまで突き止めて、そこの人に許可を得て１台ずつＩＰアドレスを調べていったが、見つからない。一番窓際の開きっぱなしのノートＰＣが残った。

「そこのＰＣは誰のですか？」

「その持ち主は、今ちょっと席を外しているみたいです」

「調べさせていただいてもよろしいですか？」

「あ、いいと思います」

ＩＰアドレスを調べるとビンゴ。ちょうどそこへ

「あ、今戻ってきました」

入口の方を振り返ると、、、１人の西洋人。（またかよまたかよまたかよまたかよ…）

今日の人はかなり日本語が喋れたので助かったが、どうもP2Pソフトは使ってないと言う。本人の了解を得てPCを調べてみたが、確かにそれらしきものは入ってない。ロシア語の何かが入っていたが、彼はロシア人で、単なるロシア語のメールソフトだった。

しかし、事態は急変した。Symantecの画面を開いてみると、昨日に大量にウイルスに感染している。Infectedと書いているから駆除はされてない。よく見るとしばらくLiveUpdateはされてない。

「ウイルスチェックはしてないんですか？」

「イッカゲツクライ、シゴトヤスンデマシタ。キノウカエッテキマシタ」

他に調べたら、少なくともWindowsUpdateも４月以降はやっていない。

つまりだ、セキュリティ対策を怠っていて、１ヶ月ぶりにWindowsUpdateもしてないPCを開いてSymantecのLiveUpdateもせずに、なんか変なところにアクセスしたか何か開いたかして、ウイルスを頂戴したか、ひょっとしたらスパイウェアが入り込んだ可能性もある。

ただちにネットワークから切り離し、いったんはデータを全てバックアップしてOSの再インストールを指示した。しかし、こちらでもどういうものが入り込んだか調べたいので、バックアップが終わったら、そのまま電源も切らずにPCを持ってきてもらうことにした。

それにしても今日の人は昨日の人と違ってうろたえまくり。

「アア、ボクノコンピューターハドウナッタノデスカ。ナニガオコッタノデスカ」

それはまあ、後でゆっくりセキュリティ担当者から叱ってもらうとして、とりあえず解析だ。

それが１４時から１５時くらいだったろうか。１時間くらい経って、なにがしチョフから電話があり

「CDにBackupシテル、ジカンカカリマス。イイデスカ」

DVDが書き込めるPCではないのか。するとCD-Rに少しずつ焼いているのだなあ。それは大変だろう。

「時間がかかってもかまいませんからよろしくお願いします」

そして定時になったが、まだ来ない。まあ大量のデータを扱っているようなところだから、苦労しているのだろう。定時の１時間を過ぎてから再び電話があり、

「スミマセン、アシタニナリマス。アシタノアサ、カナラズ、モッテイキマス」

「わかりました。ではアシタモッテキテクダサイ」

いかん、こっちまでしゃべり方がうつりそうだった。

そんなこんなで今日は１時間の残業。そして初めてタイムシートをFAXで派遣会社に送った。これで１５日に給料が振り込まれるはず。給料日が待ち遠しいのだ。

ありゃ？今朝書いたはずの「７月３０日睡眠状況」がない。プレビューだけして、保存しなかったのかな。昨日は２２時から２２時半くらいの間に寝て、寝つきもよくて、夜中も眼を覚ますことはなかったのに、朝６時２０分に眼が覚めたらまた起きるのがおっくうだったのだ。しかも今までよりも「億劫感」が強くなっている。あ〜悪い傾向だ。

１０分近くかけて「えいやっ」と気合いで起き、外に出て伸びをして深呼吸。天気が悪くお日様の光は浴びることができなかったが、それでエンジンがかかって無事会社へ行ったとさ。

今日はいっぱいやることがあったのだが、やらないといけないことをかなりかたづけてスッキリした。ようやくP2Pソフトのalertからその通信をしているPCの特定に慣れてきて、今日は２回もＧメンをやった。

その１回目のこと。週末の間に来ていた外部の業者による不正通信チェックのメールによると、金曜日の夕方にP2Pソフトを使用した形跡ある。その通信があった居室を特定し、そこに行って「失礼します」と入ってみたら、西洋人が一人。固まる私。

“Who?”

…………いかん、固まっている場合ではない。

“I’m a member of Advanced Communication and Computer Center.
We detected P2P software communication in this room last Friday.
Does anyone use P2P software?”

つたない英語で聞いてみる私。するとあっさり彼曰く

“Oh,I’m sorry. It’s my mistake…ほにゃららほにゃらら（聞き取れず）”

えっと何か謝っているしミステイクとか言ってるから、この人が使っていたって言っているのかな。

“Did you use P2P software?”

“Yes, but I removed it last Friday.”

“I’m sure. Thank you.”

自分の喋った英語があってるかどうかわからんが、とりあえず意味は通じたようだ。う〜ん、英語は読むのは得意な方だが、話すのはいまいちな典型的な日本人な私。命からがら帰ってきた、という感じだが、帰ってから報告したら

「ここではよくあることだよ」

とのこと。この施設にいる人の１割は外国人で、P2Pソフトを平気で使うのは外国人が多いんだよなあ。

と言うか、BitTorrentは世間でもLinuxのディストリビューションの配布にも使われてるし、FlashGetなどのダウンロード高速化ソフトにも内部的に採用されてたりするし、OperaとかMoaillaの最新版にも組み込まれているし、もういちいちちＧメンをやってるときりがないし、どうしよう、とかいう話になっている。

私も、こんなことに時間を割いているより、１台余っているというサーバを立ち上げて、今チーム内で使っているテーマ管理システムを元々はテストマシンだったサーバから切り離して、新しいサーバに移したいぞ。