オフショア開発失敗事例9 納品物にウィルスが混入

納品物からウィルスを検出

以前勤めていた会社で、韓国のある会社にあるシステムの開発作業を依頼したときのことです。
プロジェクトは無事完了し、相手の会社のファイル転送サーバから成果物をダウンロードしたところ、PCに警告メッセージが表示されました。
ダウンロードしたファイルにウィルスが混入しているというものです。
ウィルス自体はワクチンファイルが除去していましたが、ウィルス検出のメッセージは、既に社内のIT部門にも飛んでいます。経緯と原因、再発防止策をまとめて報告しなければなりませんでした。

過去にオンサイトでも発生していた

実は、それまでにも2回、社内のPCが感染しそうになったことがありました。
いずれも、韓国の同じ会社のオンサイト技術者が、プログラミングに関する情報を調べようと韓国のサイトを参照したときに起こっていました。
私の会社では、インターネットの接続先が安全かどうかをURLから判断し、危険な場合アクセスを禁止するフィルタリング・ソフトが入っていました。アメリカや日本のサイトはよくチェックされていたようですが、韓国のサイトはチェックが不十分だったようです。
ちょっと可哀想だったのですが、オンサイト要員の韓国のサイトへのアクセスを禁止することにしました。

この件で、韓国の情報技術が良くも悪くも進んでいることを実感しました。
プログラミングをするときにインターネットの情報を調べることは必須です。書かれていることが本当かどうかを見極める目を持つことは日本でも必要ですが、ウィルスを混入させているようなサイトは見かけません。
それが、日本人のモラルの高さゆえなのか、ウィルスを扱えるハッカーが少ないせいなのかは分かりません。

ワクチンソフトの製品名、パターンファイルの更新まで確認が必要

本件はウィルスが納品物まで混入してしまったケースで、私が経験したのはこの1件だけですが、委託先のPCが感染したというケースは、中国、ベトナムなど他の国でもありました。

今は、どの国のどの会社でも、ワクチンソフトを入れているのが当たり前ですから、心配はないと思われるかもしれません。しかし、ワクチンソフトは何を使っているか、どのバージョンかまで確認されているでしょうか?
また、運用体制(パターンファイルの更新間隔等)を確認していますか?

検出力の低いソフトを使っていたり、パターンファイルが更新されていなかったりすると、ワクチンソフトが入っていても安心できないので、しっかり確認することが必要です。