HOME情報セキュリティ【注意喚起】組織のウイルス感染の早期発見と対応を

本文を印刷する

情報セキュリティ

【注意喚起】組織のウイルス感染の早期発見と対応を

最終更新日:2015年6月10日

  ~できることから実施して、被害の回避と低減を~

対象

 企業・組織の経営者、システム管理者

概要

 標的型サイバー攻撃の被害事案が増えており、それに対する対策と運用管理の注意喚起を6月2日に行いました(参考情報1:「【注意喚起】ウイルス感染を想定したセキュリティ対策と運用管理を」)。相次ぐ報道を受け、多くの組織においてウイルス感染の有無に関する懸念が広がっているものと思われます。まず、ウイルスに感染して攻撃活動が始まっていないか、ウイルスの活動の痕跡の確認を行なって、早期の検知と被害低減に取り組む必要があります。標的型攻撃は今後も絶えることはありませんので、この取り組みは、システム運用管理の定常的な業務として取り込んでいくことも重要となります。

ウイルス活動の痕跡の確認ポイント

1. ファイアウォール、プロキシサーバーの確認

・外部サーバーへの不正な通信のログ
 ファイアウォールやプロキシサーバーのログにおいて、ウイルスによる外部のC&Cサーバー(感染PCに命令を送るサーバー)への通信が、数秒や数分間隔で繰り返し行われている、つまり人間によるウェブサイトの閲覧などでは起こりえない特徴的な通信が、特定の端末から発生していないか確認してください。

2. 業務上想定していない通信の確認

・プロキシを経由しない直接外部に向かう通信のログ
 ウイルスがプロキシサーバーを経由せずに直接外部へ通信を試みる場合があります。端末のインターネット接続はすべてプロキシ経由で、直接のインターネット接続は遮断されている場合、直接外部と通信を行おうとして遮断されている通信が無いか、ファイアウォールにおいてブロックされた通信のログを確認してください。

・意図しない外部に向かう通信のログ
 Active Directoryサーバーやファイルサーバーなどの端末からWindows Updateなどの通信を除いたインターネット向けの通信が無いか、あれば意図したものかどうか確認してください。

 ただし、国内のサイトが改ざんされC&Cサーバーとなっている可能性もありますので、国内のウェブサーバーへの通信だから安全とは判断せずに、通信内容を精査する必要があります。

3. Active Directoryのログの確認

・不審なログインなどのログ
Active Directoryの運用をされている組織はログなどから不審な兆候が無いか確認してください。
(参考情報2:JPCERT/CC「Active Directory のドメイン管理者アカウントの不正使用に関する注意喚起」)

  • 想定されないアカウントでのログイン
  • 想定されない端末やサーバーへのログイン
  • 想定されない端末での管理者ログイン
  • 想定されない時間帯のアクセス
  • 想定されない管理者操作やポリシーの変更

4. Active Directoryサーバーやファイルサーバーなどの確認

・意図せず追加されているタスクの有無
 見覚えのないタスクがタスクスケジューラーに登録されていないか確認してください。タスクのイベントログに見覚えの無いタスクの実行履歴が残っていないか確認してください。

不審なログを発見した際の対応

 上記を確認し、万が一、不審と思われる通信などを行っている端末を発見した際の対応を以下に示します。

・該当の端末のネットワークからの切り離し
 被害を最小限に抑えるためには、まず該当の端末をネットワークから切り離すことが重要です。その上で該当の端末や通信ログなどの詳細な調査を行ってください。

・ファイアウォールやプロキシサーバーでのブロック
 不審な通信先を発見した場合、さらなる通信をさせないために、ファイアウォールやプロキシサーバー、導入済みの場合はウェブフィルタリングシステムで、不審な通信先との通信をブロックしてください。

・セキュリティベンダなどの専門家への相談
 該当の端末が踏み台とされ、既に他の端末へウイルス感染が広がっている可能性も考えられます。セキュリティベンダなどの専門家に相談するなどして、正確な被害範囲や感染原因を把握した上で対応を進めることが重要です。

継続的な脆弱性対策の実施

 一度攻撃者に侵入されてしまうと、Active Directoryサーバーなどの内部サーバーの脆弱性も攻撃者に悪用されてしまいます。クライアント端末だけではなく、Active Directoryサーバーなどの内部サーバーにも、脆弱性を悪用されないためにソフトウェアの更新プログラム(パッチ)を適用してください。

 以下の情報も併せてご参照ください。

参考情報

  1. 【注意喚起】ウイルス感染を想定したセキュリティ対策と運用管理を(多層防御)
    https://www.ipa.go.jp/security/ciadr/vul/20150602-secop.html
  2. JPCERT/CC:Active Directory のドメイン管理者アカウントの不正使用に関する注意喚起(Active Directoryでの攻撃検知)
    https://www.jpcert.or.jp/at/2014/at140054.html
  3. 標的型攻撃メールの傾向と事例分析 <2013年>(感染有無の確認点)
    https://www.ipa.go.jp/security/technicalwatch/20140130.html
  4. 「高度標的型攻撃」対策に向けたシステム設計ガイド(通信の遮断や監視など具体的な標的型対策例)
    https://www.ipa.go.jp/security/vuln/newattack.html

本件に関するお問い合わせ先

IPA 技術本部 セキュリティセンター

E-mail:

更新履歴

2015年6月10日 掲載