HOME情報セキュリティ情報セキュリティ対策ウイルス対策夏休み前にセキュリティ対策の確認を

本文を印刷する

情報セキュリティ

夏休み前にセキュリティ対策の確認を

独立行政法人 情報処理推進機構
セキュリティセンター(IPA/ISEC)

夏休み前にセキュリティ対策の確認を



システム管理者の方へ
~ 夏休みなどの長期休暇前に対策の確認をお願いします ~

 お盆休みや夏休みなどの長期休暇中は、システム管理者が不在になる場合が予想され、この間にトラブルが発生した場合、対処が遅れて大きな被害になる可能性があります。

 特に、昨今、脆弱性(ぜいじゃくせい)を抱えたウェブサイトを狙った、いわゆる SQL(Structured Query Language)インジェクションと呼ばれる不正アクセスの被害が多発しています。被害に遭うと、データベースに格納している情報が漏えいしたり、ウェブサイトが改ざんされたりします。
 さらに、利用者が、改ざんされたウェブサイトを閲覧することでウイルスに感染させられる場合もあり、SQL インジェクションによる被害は深刻な状況を招きます。

 システム管理者(ウェブサイトの開発者や運営者)におかれましては、この問題の重大性を認識するとともに、休暇であると言えどもログのチェックを念入りに行うなど、システムの監視を確実に実施しましょう。また、問題が発生した際に慌てないよう、あらかじめ連絡体制や対応の手順を明確にしておきましょう。

確認事項

1.
使用している OS、ブラウザ等のアプリケーションのバージョンアップと修正プログラムの適用。
2.
ワクチンソフトの定義ファイルを最新版に更新する。また、自動更新の設定にしておく。
3.
ファイアウォールや侵入検知システムに最新のシグネチャファイルを適用。
4.
ブラウザ等のセキュリティレベルの設定。
5.
バックアップの実施。
6.
不測の事態が発生したときの緊急連絡体制。
7.
サーバーにおいて不必要なサービスの停止。
8.
休暇中に使用しないサーバーやパソコンの電源を切る。

 休暇明けには、新たな脆弱性情報等が休暇中に発見されていることもありますので、それらの情報を収集確認し、必要な修正プログラムを当ててから業務を開始するようにしましょう。
 また、新種ウイルスが出現している場合もありますので、業務に入る前に、ワクチンソフトの定義ファイルの更新も忘れず行いましょう。休暇中に持ち出していたパソコンも LAN に接続する前に必ずウイルスチェックを行いましょう。

(ご参考) 対策情報掲載サイト


個人ユーザーの方へ
~ 「ワンクリック不正請求」被害にご用心 ~

  最近、サイト内の画像をクリックするだけで、勝手に入会登録をされて利用料金を請求されたり、パソコン使用時に料金請求画像が表示されたりする等の、いわゆる「ワンクリック不正請求」の被害相談が IPA に数多く寄せられており、2008年7月の相談件数は、457件と過去最悪となっています。
 休暇中は、時間的に余裕があり、インターネットを利用する機会も多くなることから、この様な被害が、さらに増加することが予想されます。この様な被害に遭わないように、セキュリティ対策ソフトの利用、セキュリティホールの解消等の基本的な対策を確実に実施してください。
 なお、夏休みということで、子どもからのワンクリック不正請求被害の相談が急増しています。子どもが使うパソコンには、フィルタリングソフト(有害サイトブロックサービス)を導入し、有害なサイトを閲覧できなくしてしまうのも、有効な対策の一つです。

 上述の技術的対策に加え、日頃の心構えとして、パソコン利用時に表示されるメッセージ画面に注意を払うことが重要になります。
 特に、ウェブ画面をクリックしたときに、プログラムを実行するかどうかの確認を示す「ファイルのダウンロード - セキュリティの警告」画面が表示された場合は、利用者に何らかの悪意のあるプログラムをダウンロードさせようとしていることになりますので、「キャンセル」ボタンをクリックして、これより先に進まないようにしてください。
 また、パソコンの画面に不正請求画面が表示された場合でも、あわてずに以下の注意事項を守って、騙しのテクニックに引っかからないように注意してください。

注意事項

1.
 入会登録画面や請求書画面などに表示されている「IP アドレス」、「利用しているプロバイダ名」などの情報からは、個人を特定することはできませんので、とにかく「無視」してください。また、お金も絶対に振り込まないでください。お金を払うことは、自分の問題だけでなく、このような業者に金銭面の支援をすることになり、今後の被害者を増やす手助けをしていることになってしまいます。
2.
 入会登録画面や請求書画面などに、「問い合わせ先」が記入されていても、こちら側からは問い合わせ(電話やメール等)は絶対にしないでください。上述したように、これらの画面が表示されただけでは個人の特定はされていません。
 電話やメール等で問い合わせをすることで、電話番号やメールアドレスなどの個人情報が相手に伝わると共に、さらに巧みな言葉で支払を正当化する説明をされ、その結果金銭被害に遭う場合があるようです。もし、既に問い合わせてしまった場合でも、以降の電話やメールは無視しましょう。

ウイルス対策のトップページこちら不正アクセス対策のトップページこちらをご覧ください。

更新履歴

2008年8月7日 掲載