JPCERT/CC、冬の長期休暇に備えたセキュリティインシデント発生の予防および緊急時の対応に関する要点を発表
- 2018/12/20 10:30
- SecurityInsight
JPCERTコーディネーションセンター(JPCERT/CC)は12月18日、冬の長期休暇におけるコンピューターセキュリティインシデント発生の予防および緊急時の対応に関する要点を発表した。その概要は以下のとおり。
1.不審なメールへの注意(例:ばらまき型メール攻撃)
以前から見られる業務メールや広告メールを装い、情報窃取型マルウエアへの感染を誘導する「ばらまき型メール攻撃」は、攻撃手法の変化や巧妙化が進んでおり、引き続き攻撃を確認している。被害を防ぐために、下の「対策」を参考に、適切な対策を実施する。
「対策」
マルウエア感染を未然に防ぎ、感染時の被害を低減するために、次のような対策を実施することを勧める。また、休暇中に外部へ持ち出したPCなどの機器を組織内部のネットワークに接続する際にはセキュリティ対策が行なわれていることを確認すること。
・OSなどのソフトウエアのセキュリティアップデートの適用
・ウイルス対策ソフトなどの定義ファイルを更新
・ハードディスクなどのウイルスチェック
・使用している機器やソフトウエアのセキュリティ関連情報の確認
・疑わしい点がないか落ち着いてメールを確認する。また、安易に添付ファイルを開封したり、メール本文に記載されたURLへアクセスしたりしない
・休暇中にメールを閲覧する可能性がある場合は、メール閲覧者の体制や緊急時の連絡先を確認する
2.システムにおける脆弱性への注意(例: Oracle WebLogic Server)
JPCERT/CCでは、Oracle WebLogic Server のシステムにおける脆弱性(CVE-2017-10271)を悪用した複数の攻撃を確認している。この脆弱性は、2017年末に悪用が確認されたが、1年経過した現在も本脆弱性を狙ったアクセスが続いている。悪用されると、仮想通貨マイニングマルウエアに感染し仮想通貨の発掘に利用されたり、遠隔の第三者にシステム上で任意のコードを実行されたりする恐れがある。このような攻撃による被害を受けないために、「対策」を参考に、適切な対策を実施する。
「対策」
・アプリケーションやサーバを最新の状態に保つ
・アクセスに用いる IP アドレスやポートを制限する
3.休暇前の対応
長期休暇に入る前に、次のような対応を行なうこと。
(システム管理者向け)
・インシデント発生時の緊急連絡網が整備・周知されていることを確認する
・休暇中に稼動する機器が必要最小限であることを確認する
休暇中に稼働の必要がない機器は、電源を落とすなどの適切な対応をする
・重要なデータのバックアップを行なう
・サーバーのOSやソフトウエアなどに最新の修正プログラムが適用されていることを確認する。Webサーバー上で動作するWebアプリケーションの更新もあわせて行なう
・社員が業務で使用している機器(PCやスマートフォンを含む)のOSやソフトウエアに修正プログラムの適用漏れがないかを確認し、社員向けに同様の確認を行なうように周知する
(社員、職員向け)
・インシデント発生時の連絡先を確認する
・業務で使用しているPCやスマートフォンのOSやソフトウエアなどに、最新の修正プログラムが適用されていることを確認する
・パスワードに容易に推測できる文字列や単純な文字列を設定していたり、異なるシステムで同じパスワードを設定したりしている場合は、適切に変更する
・業務遂行のためPCやデータを持ち出す際には、自組織のポリシーに従い、取り扱いや情報漏洩に細心の注意を払う
4.休暇後の対応
休暇明けは、次のような対応を行なう。
(システム管理者向け)
・導入している機器やソフトウエアについて、休暇中に修正プログラムが公開されていた場合は、修正プログラムを適用するとともにその情報を社員、職員に向けて周知する
・社員、職員に対して、休暇中に持ち出していたPCなどを確認するとともに、それらを組織内のネットワークに接続する前に、ウイルスチェックを行なうよう周知する(必要に応じて確認用のネットワークを別途用意する)
・休暇期間中のサーバーへの不審なアクセスやサーバーの不審な挙動がないかを確認する(サーバーへのログイン認証エラーの多発、深夜など利用者がいない時間帯のログイン、サーバーやアプリケーションなどの脆弱性を狙った痕跡など)
・Webサーバーで公開しているコンテンツが改竄されていないかを確認する(不正なファイルが設置されていないか、コンテンツが別のものに書き変わっていないか、マルウエア設置サイトに誘導する不審なコードが埋め込まれていないかなど)
(社員、職員向け)
・出社後すぐに、ウイルス対策ソフトの定義ファイルを最新の状態に更新する
・休暇中に持ち出していたPCやUSBメモリーなどは、使用前にウイルスチェックを行なう
・休暇中に修正プログラムが公開されていた場合は、システム管理者の指示に従い、修正プログラムを適用する
・休暇中に受信したメールの中には攻撃者からの不審なメールが含まれている可能性があるため、本文の内容および添付ファイルを十分に確認し、安易に添付ファイルを開いたり、メールに記載されているリンク先にアクセスしたりしないように注意する