~被害報道が相次ぐ組織のウイルス感染。端末内の痕跡チェックを~
対象
情報セキュリティ責任者、システム管理者・利用者
概要
このところのウイルス感染被害の報道では、外部の機関からの通報等によって初めて感染に気づかされるケースがほとんどです。こうしたことから「自組織においても感染に気が付かないまま、潜伏されているのでは」との懸念が高まっているものと考えられます。IPAでは6月1日の公的機関からの個人情報漏洩の報道を受け、対策と運用管理に関する注意喚起を6月2日(*1)、6月10日(*2)に行っています。本日の注意喚起では、“検知をすり抜けて侵入してしまったウイルスによる感染”の検査を推奨する目的で、端末内に潜伏するウイルスの有無を確認するための情報とノウハウを公開します。
たとえ組織内全ての端末検査は困難でも、業務で外部からのメールを頻繁に受け付けていて、“組織内への感染の突破口となり得る”部署の端末など、優先順位の高い端末から、可能な限り検査を進めることを推奨します。
標的型攻撃メールを使った攻撃は、(1)メールの着信、(2)ウイルス感染、(3)ウイルスの攻撃活動、が一連の流れです(図参照)。今回被害にあった組織への攻撃メールは、件名に「医療費のお知らせ」「医療費通知のお知らせ」「健康保険のお知らせ」「謹賀新年」「新年のご挨拶」などのほか、標的となった組織の業務固有の件名などが用いられていたことがわかっています。こうした件名のメールの添付ファイルを開く、あるいはリンク先のクリックなどによって、ウイルスが潜入している可能性があります。下記の手順で潜伏するウイルスの有無の確認を行ってください。
なお、この手順はIPAが現時点で把握している情報を基にしたもので、必ずしも全ての感染端末が発見できるものではありません。
確認手順
以下に確認手順を示します。具体的な手順は「詳細手順」(PDFファイル)にまとめています。
システム管理者は、「詳細手順」を参考に、利用者端末の検査を実施してください。
1.不審なファイルの存在有無確認
利用者の端末(パソコン)にウイルス感染の可能性がないか、不審ファイルの名称と、不審なファイルが存在する可能性のある箇所を検査します。ファイルの存在確認と、自動起動の2つの観点で検査します。
2.不審な通信の確認
利用者の端末にウイルス感染が疑われる場合、その端末からウイルス活動の痕跡となる外部通信の情報を確認します。具体的な手順は、「詳細手順」に記載しています。
不審なファイル、通信を発見した際の対応
「1.不審なファイルの存在有無の確認」により不審なファイルを発見した場合は、ウイルスが侵入を試みた可能性が高くなります。そのため、「2.不審な通信の確認」により、ウイルスの活動による不審な通信が行われていないか確認することをお勧めします。万が一、ウイルス感染が疑われた場合の対応を以下に示します。
- 該当端末をネットワークから切り離す
- ファイアウォールやプロキシサーバーで通信をブロックする
- セキュリティベンダなどの専門家への相談
該当端末が踏み台とされ、他の端末へウイルス感染が広がっている可能性も考えられます。セキュリティベンダなどの専門家に相談するなど、正確な被害範囲や感染原因を把握した上で対応を進めることが重要です。
詳細手順(PDFファイル)のダウンロード
脚注
(*1) 【注意喚起】ウイルス感染を想定したセキュリティ対策と運用管理を(多層防御)
https://www.ipa.go.jp/security/ciadr/vul/20150602-secop.html
(*2) 【注意喚起】組織のウイルス感染の早期発見と対応を
https://www.ipa.go.jp/security/ciadr/vul/20150610-checklog.html
本件に関するお問い合わせ先
E-mail:
更新履歴
2015年6月29日 | 掲載 |
---|