ITインフラ系エンジニアの日記

ITインフラ系エンジニアがITのことや投資のことなどを綴ります。

WindowsのICSにご注意を

先日、社内のユーザーからネットにつながらなくなったとの問い合わせが来た。この類いの問い合わせはよくあることなので、事情を聞いていると、80名ほどいるフロアで10名ほど同じ事象の人がいる事がわかった。

 

さっそく現地に行き、話を聞いた。ユーザーへヒアリングした結果を整理すると以下のようになる。

  • お昼までは使えていた。
  • インターネットアクセスも社内システムへのアクセスもできない。
  • 再起動したら一時的には使えるが、しばらくすると使えない。
  • 使えている人もいる。
  • 無線LANは全員、使える。

 

事象が発生しているユーザーがフロアにまんべんなく広がっていたが、念のため島ハブを調査した。島ハブの設定やログには問題は無かった。フロアスイッチも調べたが、不審なログは見当たらず、設定も正常で、物理的な故障も無かった。

 

事象の発生しているPCにてipconfig /all をしたところ、会社のDHCPサーバから割り当てているIPとは異なるIPを取得している事がわかった。

会社のDHCPでは172.16.0.0/16 を渡しているのだが、それが192.168.137.0/24 のアドレスになっていた。また、あるPCはDNSだけ192.168.137.1 となっていた。

 

いったいどういうことかと思いつつ、フロア内を回ってみるとタワー型のサーバが設置されている事に気がついた。サーバの近くにいた人に話を聞くと、管理者が休みなので詳しい事はよくわからないとのことだったが、直感的に怪しさを感じたため、ログインしてもらった。

 

ログイン後、ipconfig /all をするとビンゴ!

 

固定IPで192.168.137.1が設定されていた。ログインしてもらったユーザーに許可をとってLANケーブルを抜くと、不正なIPやDNS情報を取得していたPCたちが正常に戻った。

 

原因だったサーバのサービスやアプリケーションを見てもDHCPサーバ機能を司っているようなプロセルが見つからなかったので、一旦LANケーブルをつながないように伝えてその場を引き上げた。

 

その後、Googleで検索していると以下のリンクにたどり着いた。

 

windows.microsoft.com

 

さらに調査を進めると、ICSを有効にするとデフォルトで192.168.137.1 が固定設定されることも判明したため、これが原因である事がわかった。

 

ICSを使うと、PCがルーターのような機能を持つ事になる。これは通信ログなんかを取得〜分析を同じ機械でできたりしそうなので、便利そうだ。また、PCの台数が少ない小規模オフィスなんかで、電話も契約していて、モデムの下にルーターとかをつけないような場合には便利だろう。

 

今回の場合はメリットがそのままデメリットになってしまった。ウイルスでなくて本当に良かった…