HOME >> 情報セキュリティ >> 夏休みにおける注意喚起

夏休みにおける注意喚起

第11-27-225号

掲載日:2011年7月28日
独立行政法人情報処理推進機構
技術本部 セキュリティセンター(IPA/ISEC)


システム管理者へ
〜 夏休みなどの長期休暇前の対応について 〜

 お盆休みや夏休みなどの長期休暇中は、システム管理者が不在になることが予想され、この間にトラブルが発生した場合、対処が遅れてしまい、自社のコンピュータ環境に大きな被害が及んだり、顧客にウイルス感染の被害が及ぶ可能性があります。
 最近話題になっているトラブルとしては、以下のようなものがあります。

  • ウェブサイトを閲覧した利用者のパソコンにウイルスを感染させる仕掛けを施される。ウェブサイト自体が改ざんされる場合と、そのウェブページに表示している他の組織のバナー広告等にウイルス感染の仕掛けがされている場合がある。
  • ウェブサービスに大量のアクセスをされることでサービス停止や大幅な遅延に陥る、いわゆるサービス妨害攻撃を受ける。
  • 従業員が休暇中に自宅で仕事をするために、機密情報や顧客の個人情報をパソコンやUSBメモリ、CD/DVD等の外部記憶媒体で組織外に持出し、Winny等のファイル共有ソフトから情報漏えいしたり、パソコンや外部記憶媒体が紛失、盗難等の事故にあう。
  • 複数の業務アカウントやインターネットサービスにおいて同じIDやパスワードを使用したために、1つのサービスで個人情報が流出した場合に、そのIDやパスワードを使って他の業務システムやインターネットサービスを不正に利用されてしまう。
 このような被害は長期休暇に係らず発生する可能性がありますが、システム管理者、ウェブサイト管理者は、長期休暇前に改めて以下の対策事項1を実施されることをお勧めします。

対策事項1

1.
 不測の事態が発生した場合に備えて、委託先企業を含めた緊急連絡体制や対応の手順が明確になっているか再確認してください。休暇中に電力不足による計画停電や台風など自然災害による停電が発生する可能性はゼロとは言えないことも、考慮しておきましょう。また、サービス妨害攻撃を隠れ蓑にしながら侵入し、個人情報を盗むサイバー攻撃の事件も増加していますので注意しましょう。
2.
 業務用のパソコンやデータ等を組織外に持ち出す場合のルールを明確にし、従業員に再徹底してください。パソコンやデータを保管したUSBメモリ等の外部記憶媒体を紛失した場合に備え、適切な暗号化を施してください。また、その手続きが適切に運用されているかを確認してください。
3.
 Winny等のファイル共有ソフトによる情報漏えい事故が起きないよう、業務関係の情報を扱う場合の注意点を従業員に再徹底してください。
4.
 組織の情報システムにアクセスできる権限が適切に割り当てられているか再確認してください。
外部から接続できるサーバで不要なサービスが動作していないか再確認してください。
東日本大震災の影響で、経済産業省から節電への協力依頼が出ています。休暇中に使用しないサーバやパソコンの電源は切るよう従業員に再徹底してください。
5.
 管理しているサーバやパソコンの OS(オペレーティングシステム)に修正プログラムを適用し、最新のバージョンに更新することで、脆弱性(ぜいじゃくせい。セキュリティホールともいう)を解消してください。Windows ユーザーは、「Windows Update」や 「Microsoft Update」を利用してください。
 利用の手順:
 http://www.microsoft.com/japan/security/bulletins/j_musteps.mspx
Mac ユーザーは、「ソフトウェア・アップデート」を利用してください。
 利用の手順:
 http://support.apple.com/ja_JP/downloads/
6.
 管理しているサーバやパソコンのアプリケーションソフト(インターネット閲覧ソフト、メールソフト、動画閲覧ソフト、ドキュメントファイル閲覧ソフト等)も修正プログラムを適用し、最新のバージョンに更新してください。
IPAが提供する次の無償ツールを利用することで、利用者のパソコンにインストールされているソフトウェア製品のバージョンが最新であるかを、簡単な操作で確認することができますので、ご活用ください。
 MyJVNバージョンチェッカ
  http://jvndb.jvn.jp/apis/myjvn/#VCCHECK
7.
 管理しているサーバやパソコンで使用しているウイルス対策ソフトの定義ファイル(パターンファイル)を、常に最新の状態になるように設定してください。
8.
 業務で使用しているIDやパスワードを他の業務や私的に利用しているインターネットサービスなどで使い回している(同じにしている)場合、速やかにパスワードを変更してください。

(ご参考)


企業でパソコンを利用される方へ
〜 夏休みなどの長期休暇明けの対応について 〜

 長期休暇明けには、業務を開始する前に以下の対策事項2を実施してください。

対策事項2

1.
 長期休暇中(*)に OS(オペレーティングシステム)やアプリケーションソフトの修正プログラムが公開される可能性があります。休暇明けには、修正プログラムの有無を確認し、必要な修正プログラムを適用してください。なお、更新を行う場合は、システム管理者の指示に従ってください。
  注(*) 8月10日(水)はマイクロソフト製品 の月例更新日です。
2.
 休暇中に電源を切っていたパソコンは、ウイルス対策ソフトの定義ファイル(パターンファイル)が休暇前の古いままになっていることがあります。電子メールやウェブサイトを閲覧する前にウイルス対策ソフトの定義ファイルを更新し、最新の状態にしてください。
3.
 休暇中に持ち出したパソコンやデータを格納していた USB メモリ等の外部記憶媒体にウイルスが感染している可能性があります。ウイルスチェックを行ってから使用してください。
なお、Windows パソコンには USB メモリ等の外部記憶媒体を接続したとき、自動的に実行される機能がありますが、この機能を悪用されて接続しただけでウイルスに感染してしまうことがあります。この機能を無効にすることができます。自動実行機能を無効にする場合は、システム管理者の指示に従ってください。

(ご参考)


ご家庭でパソコンを利用される方へ
〜 ウイルス感染やワンクリック請求の被害等に遭わないように 〜

 最近、以下のようなトラブルに見舞われる例が増えています。

  • ウェブサイトを閲覧しただけで、パソコンがウイルスに感染させられる。これは、ウェブサイトが改ざんされ、ウイルスをパソコンに感染させる仕掛けが組み込まれていることがあるためです。
  • USB メモリ等の外部記憶媒体からウイルスに感染する。
  • SNS(ソーシャルネットワーキングサービス)の利用者増加に伴い、SNS利用者を狙った攻撃が増加している。例えば、Twitterにおいて、本来のURLが見えない"短縮URL"をクリックして悪意のあるサイトに接続させられる。
  • アダルトサイトで無料の動画を見ようと画像をクリックして、次へ次へと進んで行ったところ、有料のサービスに会員登録をされ、パソコン画面に料金請求画面が出続ける、いわゆる「ワンクリック請求」の被害にあう。
  • 休暇中に、自宅で仕事をするために、会社のパソコンを自宅のネットワークに接続したり、USBメモリ等の外部記憶媒体を利用して持ち帰った会社のデータを自宅のパソコンで扱ったところ、ウイルスや不正アクセスによって情報漏えいしてしまう。
  • 私的に利用している複数のインターネットサービスに同じパスワードを設定していたところ、あるサービスからパスワードが漏えいしたら、同じパスワードを用いていた他のサービスも、不正利用されてしまった。
 休暇中は、時間に余裕があり、インターネットを利用する機会も多くなると思われます。上述の被害に遭わないよう、以下の対策事項3を実施してください。

対策事項3

1.

使用しているパソコンの OS(オペレーティングシステム)に修正プログラムを適用し、最新のバージョンに更新することで、脆弱性(セキュリティホールともいう)を解消してください。 Windows ユーザーは、「Windows Update」や 「Microsoft Update」を利用してください。
 利用の手順:
 http://www.microsoft.com/japan/security/bulletins/j_musteps.mspx
Mac ユーザーは、「ソフトウェア・アップデート」を利用してください。
 利用の手順:
 http://support.apple.com/ja_JP/downloads/

また、使用しているパソコンのアプリケーションソフト(インターネット閲覧ソフト、メールソフト、動画閲覧ソフト、ドキュメントファイル閲覧ソフト等)も修正プログラムを適用し、最新のバージョンに更新してください。さらに、ウイルス対策ソフトの定義ファイル(パターンファイル)を常に最新の状態にして使用してください。
IPAが提供する次の無償ツールを利用することで、利用者のパソコンにインストールされているソフトウェア製品のうち、ウイルス等に脆弱性を悪用されることが多い製品のバージョンが最新であるかを、簡単な操作で確認することができますので、ご活用ください。
 MyJVNバージョンチェッカ
  http://jvndb.jvn.jp/apis/myjvn/#VCCHECK
2.
 USB メモリ等の外部記憶媒体については、所有者不明や自身が管理していないものは、自身のパソコンに接続しない、自身が管理していないパソコンに、自身の外部記憶媒体を接続しない、などでウイルス感染を防いでください。
WindowsパソコンにはUSBメモリ等の外部記憶媒体を接続したとき、自動的に実行される機能がありますが、この機能を悪用されて接続しただけでウイルスに感染してしまうことがあります。この機能は無効にすることができます。IPAが提供する次の無償ツールを利用することで、自動実行機能が無効になっているかどうかをチェックしたり、設定の変更方法を参照することができます。USB メモリ経由によるウイルス感染を防ぐ手段の一つとしてご活用ください。
 MyJVNセキュリティ設定チェッカ
  http://jvndb.jvn.jp/apis/myjvn/#CCCHECK
3.
 ウイルス感染等で、パソコンそのものが動かなくなってしまう場合に備えて、必要なデータは外部記憶媒体等へバックアップすることをお勧めします。
4.
 Winny等のファイル共有ソフトを使っているパソコンが、Antinny等の暴露ウイルスに感染すると、パソコン内に保存してあるファイルが不特定多数の第三者に流出してしまいます。過去を含め業務関係のデータを扱ったパソコンでWinny等のファイル共有ソフトを使うのは情報漏えいの危険性が高いのでやめましょう。家族と共用しているパソコンの場合、自分がファイル共有ソフトを使っていなくても家族が使えば情報漏えいする可能性がありますので、業務関係のデータを扱うのは絶対に避けるべきです。
5.
 SNS(ソーシャルネットワーキングサービス)は、人と人とのコミュニケーションツールであり、信頼関係でなりたっていますが、それを悪用して相手の個人情報を収集したり、ウイルスのような不正なプログラムに感染させようとする人もいます。SNSにおいて他人の情報に書かれているURLを不用意にクリックしないようにしましょう。特にTwitterでは、本来のURLが見えない"短縮URL"を悪用した攻撃が確認されています。不用意に"短縮URL"をクリックしないようにしましょう。
6.
 「ワンクリック請求」を行うサイトも含めた、年齢確認の同意を求める、『はい』か『いいえ』のボタンをクリックさせる画面が表示された場合、年齢確認以外にサイト利用時の規約も表示されていますので、この利用規約もよく読み、その先のサイトの利用を判断してください。利用規約内に料金が明示されていれば有料サイトかもしれませんので、トラブルに巻き込まれたくなければ、それ以上先に進まず、そのサイトの利用は中止することをお勧めします。
7.
 複数のインターネットサービスでIDやパスワードを使い回している(同じにしている)場合、異なるパスワードに変更してください。

 

 万が一、ワンクリック請求の被害に遭い、パソコンのデスクトップ上に請求画面等が表示されてしまった場合は、あわてずに以下の注意事項を守ってください。

注意事項

1.

入会登録画面や請求書画面等に表示されている「IP アドレス」、「利用しているプロバイダ名」等の情報からは、個人を特定することはできません。契約が成立しているか心配な場合は、最寄りの消費生活センターに相談してください。
 全国の消費生活センターはこちらから検索できます。
 http://www.kokusen.go.jp/map/
2.
 入会登録画面や請求書画面等に、「問い合わせ先」が記入されていても、自分から問い合わせ(電話やメール等)を行うことは絶対にしないでください。上述したように、これらの画面に表示されている情報では個人を特定することは困難ですが、問い合わせをすることで個人の特定ができてしまうおそれがあります。
3.
 ワンクリック請求に関する最近の手口および対策については、以下の対策ページをご参照ください。
  【注意喚起】ワンクリック請求に関する相談急増!
 〜パソコン利用者にとっての対策は、まずは手口を知ることから!〜
  http://www.ipa.go.jp/security/topics/alert20080909.html

 

(ご参考)


情報セキュリティ 安心相談窓口
 http://www.ipa.go.jp/security/anshin/
ウイルス対策トップページ
 http://www.ipa.go.jp/security/isg/virus.html
不正アクセス対策トップページ
 http://www.ipa.go.jp/security/fusei/ciadr.html

更新履歴

2011年7月28日 掲載
ページトップへ