HOME >> 情報セキュリティ >> ゴールデンウィーク前に対策を

【注意喚起】ゴールデンウィーク前に対策を

第13-23-291号

掲載日:2013年4月24日
独立行政法人情報処理推進機構
技術本部 セキュリティセンター(IPA/ISEC)


1.システム管理を担当されている方へ
ゴールデンウィークの連休前の対策について

 ゴールデンウィークの連休中は、システム管理者が不在になるケースが多くなると思われます。この間にトラブルが発生した場合、対処が遅れてしまい、自社のコンピュータ環境に大きな被害が及んだり、顧客に対してもウイルス感染の被害が及んでしまう可能性があります。
 最近の攻撃手口やウイルス感染後の被害事例としては、以下のようなものがあります。

  • ウェブサイトからのウイルス感染 [対策事項1該当No.:1234
    ウェブサイトを閲覧した利用者のパソコンにウイルスを感染させる手口として、パソコン利用者の意図に関わらず、ウイルスなどの不正プログラムをパソコンにダウンロードさせる“ドライブ・バイ・ダウンロード”攻撃が主流となっている。ウェブサイトが改ざんされるケースには、攻撃者によって、システム管理者、ウェブサイト管理者が気付かない内にウェブサイト自体を改ざんされてしまうケースと、そのウェブページに表示している他の組織のバナー広告等に、ウイルス感染の仕掛けを施されてしまうケースがある。
  • 標的型攻撃メール [対策事項1該当No.:12349
    攻撃対象の組織や個人を絞り、特別に作成、送信された“標的型攻撃メール”によってだまされて、メールの添付ファイルを開いたり、メール本文に書かれているリンクをクリックしたりしてしまうと、パソコンがウイルスに感染し、攻撃者が内部システムへ侵入するための足掛りとして悪用されてしまう場合がある。
  • 組織情報漏えい被害 [対策事項1該当No.:123457
    従業員が連休中に自宅で仕事をするために、秘密情報や顧客の個人情報をパソコンやUSBメモリ、CD/DVD等の外部記憶媒体で組織外に持ち出した結果、Winny等のファイル共有ソフト経由で情報が漏えいしたり、パソコンやスマートフォン、タブレットや外部記憶媒体を紛失したり盗難されてしまう。
  • ID、パスワードの不正利用 [対策事項1該当No.:8
    複数の業務アカウントやインターネットサービスにおいて同じIDやパスワードを使用したために、1つのサービスで個人情報が流出した場合に、そのIDやパスワードを使って他の業務システムやインターネットサービスを不正に利用されてしまう。
  • DoS攻撃(サービス妨害攻撃) [対策事項1該当No.:1689
    ウェブサービスに大量のアクセスをされることでサービス停止や大幅な遅延に陥る、いわゆるDoS攻撃(サービス妨害攻撃)を受ける。
  • SQLインジェクション攻撃 [対策事項1該当No.:19
    ウェブアプリケーションの多くは利用者からの入力情報を基にSQL文を生成している。この生成方法に問題があると、悪意を持って細工されたSQL文もデータベースへの問い合わせの一部として埋め込んで(Injection)しまう可能性がある。この問題を悪用した攻撃はSQLインジェクション攻撃と呼ばれる。この攻撃により、データベースに蓄積された情報の漏えい・改ざん、不正操作などの被害を受けるケースがある。
 システム管理者、ウェブサイト管理者の方は、このような攻撃や被害を予防するため、以下の対策事項1を連休前に実施してください。

対策事項1

1.

[緊急対応体制、盗難・紛失時の連絡体制] (ご参考:1
不測の事態が発生した場合に備えて、委託先企業を含めた緊急連絡体制や、パソコン、スマートフォン、タブレットの盗難・紛失時の連絡体制などの対応手順が明確になっているか再確認してください。
2.

[最新バージョンの利用] (ご参考:2311
管理しているサーバやパソコンのOS(オペレーティングシステム)に修正プログラムを適用し、最新のバージョンに更新することで、ぜい弱性を解消してください。Windows ユーザーは、「Windows Update」や 「Microsoft Update」を利用してください。
 利用の手順:
 http://www.microsoft.com/japan/security/bulletins/j_musteps.mspx
Mac ユーザーは、「ソフトウェア・アップデート」を利用してください。
 利用の手順:
 http://support.apple.com/ja_JP/downloads/

3.

[修正プログラムの適用] (ご参考:2311
管理しているサーバやパソコンのアプリケーションソフト(インターネット閲覧ソフト、メールソフト、動画閲覧ソフト、ドキュメントファイル閲覧ソフト等)に修正プログラムを適用し、最新のバージョンに更新してください。
4.

[パターンファイルの更新] (ご参考:411
管理しているサーバやパソコンで使用しているウイルス対策ソフトの定義ファイル(パターンファイル)を、常に最新の状態になるように設定してください。
5.

[情報持出しルールの徹底] (ご参考:1
業務用のパソコンやスマートフォン、タブレットやデータ等を組織外に持ち出す場合のルールを明確にし、従業員に再徹底してください。また、持ち出すパソコンやスマートフォン、タブレットに本来入れてはいけないデータが入っていないか、持ち出される前にその都度確認してください。また、個人が所有するパソコンやスマートフォン、タブレットを業務に活用している場合、組織のルールから逸脱していないか確認してください。
パソコン、スマートフォン、タブレットやデータを保管したUSBメモリ等の外部記憶媒体を紛失した場合に備え、適切な暗号化を施してください。また、その手続きが適切に運用されているかを確認してください。
6.

[アクセス権限の再確認] (ご参考:6
組織の情報システムにアクセスできる権限が適切に割り当てられているか再確認してください。
外部から接続できるサーバで不要なサービスが動作していないか再確認してください。
連休中に使用しないサーバやパソコンの電源は切るよう従業員に再徹底してください。
7.

[情報取扱いルールの徹底] (ご参考:7
Winny等のファイル共有ソフトによる情報漏えいが起きないよう、業務関係の情報を扱う場合の注意点を従業員に再徹底してください。なお、IPAではファイル共有ソフト(Winny、Winnyp、Share)による『情報漏えい』を防ぐためのソフトウェアを公開中です。ぜひご活用ください。
 情報漏えい対策ツール:
 http://www.ipa.go.jp/security/winny119/
8.

[パスワード管理の徹底] (ご参考:8
業務で使用しているIDやパスワードと同じものを他の業務や私的に利用しているインターネットサービスなどでも使っている場合、速やかにパスワードを変更してください。
9.

[サイバー攻撃対策の点検] (ご参考:1568910
現在運用しているシステムやサービスについて、サイバー攻撃への対策状況を点検し、対策の強化が必要であれば早急に実施してください。
IPAでは、対策の方法として、組織におけるシステムやネットワークのセキュリティ対策状況を確認するための「チェックリスト」を、以下のページに載せています。ぜひご活用ください。
 情報窃取を目的としたウェブサイトへのサイバー攻撃に関する注意喚起:
 http://www.ipa.go.jp/security/topics/alert230527.html

(ご参考)


2.企業でパソコンやスマートフォン、タブレットを利用される方へ
ゴールデンウィークの連休明け等の対応について

 企業でパソコンなどの端末を使用している方は、以下の対策事項2を実施してください。特に連休明けは、OSやアプリケーションソフトの修正プログラムや、ウイルス対策ソフトの定義ファイルが更新されている場合があるため対応が必要です。

対策事項2

1.

[修正プログラムの適用] (ご参考:129
連休中にOSやアプリケーションソフトの修正プログラムが公開される可能性があります。連休明けには、修正プログラムの有無を確認し、必要な修正プログラムを適用してください。なお、更新を行う場合は、システム管理者の指示に従ってください。
2.

[パターンファイルの更新] (ご参考:129
連休中に電源を切っていたパソコンは、ウイルス対策ソフトの定義ファイル(パターンファイル)が連休前の古いままになっていることがあります。電子メールを送受信したりウェブサイトを閲覧したりする前にウイルス対策ソフトの定義ファイルを更新し、最新の状態にしてください。
3.

[利用前のウイルスチェック] (ご参考:3
連休中に持ち出したパソコンや、データを格納していたUSBメモリ等の外部記憶媒体にウイルスが感染している可能性があります。ウイルスチェックを行ってから使用してください。
なお、WindowsパソコンにはUSBメモリ等の外部記憶媒体を接続したとき、自動的に実行する機能がありますが、この機能を悪用されてウイルスに感染してしまうことがあります。この機能は、無効にすることができます。自動実行機能を無効にする場合は、システム管理者の指示に従ってください。
4.

[メールの取り扱いの徹底] (ご参考:4569
特定の企業や組織を装い、ウイルスメールを送りつける“標的型攻撃”が多く見受けられます。当該メールは、政府機関や関連企業を思わせる組織名やメールアドレスを詐称し、一見もっともらしいタイトルや本文、マイクロソフトワード文書やエクセルファイルなどの一見してウイルスとは見抜けないファイルの添付や、業務に関連するキーワードを使ったリンクなどによって、メール受信者を騙そうとします。添付ファイルを開いたり、リンクをクリックすることで、パソコンがコンピュータウイルスに感染する可能性があります。少しでも不自然だと感じたメールの添付ファイルやリンクは、安易に開いたりクリックしないでください。
5.

[スマートフォン、タブレット使用時の注意] (ご参考:78
スマートフォンやタブレットで使用するアプリには、内部の情報を窃取するものが存在します。個人利用のスマートフォンやタブレットを業務に利用している場合は、所属する団体の業務規程に従ってください。


※ コンピュータウイルスや不正アクセスの届出・相談はこちらにお願いいたします。
  ●コンピュータウイルスに関する届出について
   http://www.ipa.go.jp/security/outline/todokede-j.html
  ●不正アクセスに関する届出について
   http://www.ipa.go.jp/security/ciadr/index.html
  ●コンピュータウイルスや不正アクセスの相談について
   http://www.ipa.go.jp/security/anshin/

※ 標的型メール攻撃の情報提供や相談はこちらにお願いいたします。
  ●サイバー攻撃特別相談窓口
   03-5978-7591 (10:00〜12:00、13:30〜17:00 土・日・祝日は対応外となります)


(ご参考)


3.ご家庭でパソコンやスマートフォン、タブレットを利用される方へ
〜 ウイルス感染やワンクリック請求の被害等に遭わないように 〜

 最近、以下のようなトラブルに見舞われる例が増えています。

  • 「偽セキュリティ対策ソフト」型ウイルスの感染 [対策事項3該当No.:13
    インターネットの利用中に突然、勝手に知らないプログラムがパソコン内を調べ始め、“ウイルスに感染している”、“ハードディスク内にエラーが見つかりました”といった偽の警告画面を表示して、それらを解決するためとして有償版製品の購入を迫る、「偽セキュリティ対策ソフト」型ウイルスに感染する。
  • ワンクリック請求被害 [対策事項3該当No.:36
    アダルトサイトで無料の動画を見ようと画像をクリックして、次へ次へと進んで行ったところ、有料のサービスに会員登録をされ、パソコン画面に料金請求画面が出続ける、いわゆる「ワンクリック請求」の被害に遭う。
    スマートフォンやモバイル端末、インターネットを閲覧できるゲーム機から「ワンクリック請求」の被害に遭う。
  • インターネットバンキングを狙ったウイルスの感染 [対策事項3該当No.:18
    パソコンでインターネットバンキングにログインすると、ウイルスが不正なポップアップ画面を表示して、合言葉や乱数表を利用者に入力させようとする。
  • ウェブサイトからのウイルス感染 [対策事項3該当No.:13
    パソコンに脆弱性が残ったままの状態で、改ざんされたウェブサイトを閲覧したら、パソコンがウイルスに感染してしまう。(“ドライブ・バイ・ダウンロード”攻撃)
  • 外部記憶媒体等からウイルス感染 [対策事項3該当No.:123
    USBメモリ等の外部記憶媒体からウイルスに感染する。
  • SNSからウイルス感染 [対策事項3該当No.:135
    SNS(ソーシャルネットワーキングサービス)の利用者増加に伴い、SNS利用者を狙った攻撃が増加している。例えば、Twitterにおいて、本来のURLが見えない"短縮URL"をクリックすることで悪意のあるウェブサイトに接続させられる。
  • 情報漏えい被害 [対策事項3該当No.:1234
    連休中、自宅で仕事をするために、会社のパソコンを自宅のネットワークに接続したり、USBメモリ等の外部記憶媒体を利用して持ち帰った会社のデータを自宅のパソコンで扱った際、ウイルスや不正アクセスが原因で情報漏えいしてしまう。
  • ID、パスワードの「使いまわし」による不正利用被害 [対策事項3該当No.:7
    私的に利用している複数のインターネットサービスに同じパスワードを設定してしまうと、あるサービスからパスワードが漏えいした際、同じパスワードを用いていた他のサービスも、芋づる式に不正利用されてしまう。
  • スマートフォンやタブレットがウイルス感染 [対策事項3該当No.:6
    偽アプリをインストールしてウイルスに感染してしまったり、不正アプリをインストールして、スマートフォンやタブレットの電話帳に登録されたすべての名前や電話番号、メールアドレスが情報漏えいしてしまう。
 連休中は、時間に余裕があり、インターネットを利用する機会も多くなると思われます。上述の被害も含めたウイルス感染の被害に遭わないよう、基本的な対策を含め、以下の対策事項3を実施してください。

対策事項3

1.

[最新バージョンの利用や修正プログラムの適用] (ご参考:12111215
使用しているパソコンの OS(オペレーティングシステム)に修正プログラムを適用し、最新のバージョンに更新することで、ぜい弱性を解消してください。 Windows ユーザーは、「Windows Update」や 「Microsoft Update」を利用してください。
 利用の手順:
 http://www.microsoft.com/japan/security/bulletins/j_musteps.mspx
Mac ユーザーは、「ソフトウェア・アップデート」を利用してください。
 利用の手順:
 http://support.apple.com/ja_JP/downloads/

また、使用しているパソコンのアプリケーションソフト(インターネット閲覧ソフト、メールソフト、動画閲覧ソフト、ドキュメントファイル閲覧ソフト等)にも修正プログラムを適用し、最新のバージョンに更新してください。さらに、ウイルス対策ソフトの定義ファイル(パターンファイル)を常に最新の状態にして使用してください。
2.

[USBメモリ等の取り扱いの徹底] (ご参考:4
所有者が不明もしくは自身が管理していないUSBメモリ等の外部記憶媒体は自身のパソコンに接続しない、また自身が管理していないパソコンに自身の外部記憶媒体を接続しない、などでウイルス感染を防いでください。
WindowsパソコンにはUSBメモリ等の外部記憶媒体を接続したとき、自動的に実行される機能がありますが、この機能を悪用されてウイルスに感染してしまうことがあります。この機能は無効にすることができます。

3.

[必要データのバックアップの推奨] (ご参考:5
ウイルス感染等でパソコンそのものが動かなくなってしまう場合に備え、必要なデータは外部記憶媒体等へバックアップすることをお勧めします。
4.

[情報取扱いルールの徹底] (ご参考:6
Winny等のファイル共有ソフトを使っているパソコンが、Antinny等の暴露ウイルスに感染すると、パソコン内に保存してあるファイルがインターネット上に流出してしまいます。業務関係のデータを扱ったことのあるパソコンでWinny等のファイル共有ソフトを使うのは情報漏えいの危険性が高いのでやめましょう。家族と共用しているパソコンの場合、自分がファイル共有ソフトを使っていなくても家族が使えば情報漏えいする可能性がありますので、業務関係のデータを共用パソコンで扱うのは絶対に避けるべきです。
IPAでは、ファイル共有ソフト(Winny、Winnyp、Share)による『情報漏えい』を防ぐためのソフトウェアを公開中です。ぜひご活用ください。
 情報漏えい対策ツール:
 http://www.ipa.go.jp/security/winny119/
5.

[SNS利用上の注意] (ご参考:7
SNS(ソーシャルネットワーキングサービス)は、人と人とのコミュニケーションツールであり、信頼関係で成り立っていますが、それを悪用して相手の個人情報を収集したり、ウイルスに感染させたりしようとする人もいます。SNSにおいて他人のページ等に書かれているURLを不用意にクリックしないようにしましょう。特にTwitterでは、本来のURLがわからない"短縮URL"を悪用した攻撃が確認されています。不用意に"短縮URL"をクリックしないようにしましょう。
6.

[スマートフォン、タブレット使用時の注意] (ご参考:10131617
2012年以降、スマートフォンの電話帳の中身などの重要な情報を外部に送信する不正アプリが多く見られます。このような不正アプリをインストールすることを防ぐためには、パソコンと同様に信頼できない場所からアプリをダウンロードしないことが重要です。
さらに、アプリをインストールする際に表示される「パーミッション」(アプリがスマートフォンやタブレットのどの情報/機能にアクセスするのか、許可を定義したもの)の一覧には必ず目を通し、不自然なアクセス許可や求めているアクセス許可が疑問に感じた場合には、そのアプリのインストールを中止しましょう。
7.

[パスワード管理の徹底] (ご参考:8
複数のインターネットサービスで同じIDやパスワードを使っている場合、異なるパスワードに変更してください。
8.

[インターネットバンキング利用時の注意] (ご参考:14
インターネットバンキングなどの金融機関が、第二認証情報(乱数表や合言葉など)すべての入力を求めることはありません。第二認証情報「すべて」の入力を促す画面が表示された場合は、絶対に情報を入力しないようにしてください。
通常の利用時と異なる入力の要求があった場合は、入力せずに、サービス提供元に電話などで確認をしてください。

 

 万が一、ワンクリック請求の被害に遭い、パソコンのデスクトップ上に請求画面等が表示されてしまった場合は、あわてずに以下の注意事項を守ってください。

注意事項

1.

入会登録画面や請求書画面等に表示されている「IP アドレス」、「利用しているプロバイダ名」等の情報からは、個人を特定することはできません。契約が成立しているか心配な場合は、最寄りの消費生活センターに相談してください。
全国の消費生活センターはこちらから検索できます:
http://www.kokusen.go.jp/map/
2.

入会登録画面や請求書画面等に、「問い合わせ先」が記入されていても、自分から問い合わせ(電話やメール等)を行うことは絶対にしないでください。上述したように、これらの画面に表示されている情報では個人を特定することは困難ですが、問い合わせをすることで個人の特定ができてしまうおそれがあります。
3.

ワンクリック請求に関する最近の手口および対策については、以下の対策ページをご参照ください。
  【注意喚起】ワンクリック請求に関する相談急増!
 〜パソコン利用者にとっての対策は、まずは手口を知ることから!〜:
  http://www.ipa.go.jp/security/topics/alert20080909.html
  http://www.youtube.com/watch?v=8VHBkZi9sHg

 

(ご参考)


情報セキュリティ 安心相談窓口
 http://www.ipa.go.jp/security/anshin/
ウイルス対策トップページ
 http://www.ipa.go.jp/security/isg/virus.html
不正アクセス対策トップページ
 http://www.ipa.go.jp/security/fusei/ciadr.html

更新履歴

2013年4月24日 掲載
ページトップへ