HOME情報セキュリティ【注意喚起】攻撃の早期検知と的確な初動による深刻な被害からの回避を

本文を印刷する

情報セキュリティ

【注意喚起】攻撃の早期検知と的確な初動による深刻な被害からの回避を

最終更新日:2016年6月23日

~標的型攻撃メールに対しては リテラシの向上適切な運用管理セキュアなシステムの構築 の三位一体での対策を~

対象

 企業・組織の経営者、システム管理者、従業員(システムユーザー)

概要

 標的型攻撃メールに起因にした個人情報流出の事案が後を絶ちません。最近の事案(*1)では、主に以下のような要因があると考えられます。

要因

 これらの要因は、昨年発生した大規模情報流出の事案と類似しています(*2)。企業・組織は以下のポイントを踏まえ、改めて標的型攻撃メール対策の確認・見直しを行ってください。

標的型攻撃メールへの備え

1. 受信時のメールの取扱方法の再確認と報告の習慣化 【リテラシ】【運用管理】

(1) メールに対する警戒意識の向上と維持

 最近の標的型攻撃メールの文面、タイトル等の内容は、標的となる組織の通常業務に合わせるなど非常に巧妙化しており、一見では判断することが非常に困難となっています。従業員に定期的な教育を行い、標的型攻撃メールに対する警戒心の向上・維持を図ってください。IPAでは、標的型攻撃メールの見分け方に関する ガイド を公開していますので、参考にしてください。

(2) 標的型攻撃メールへの対応訓練の充実

 組織として攻撃を検知し、被害を最小限に抑えるためには、標的型攻撃メール訓練を行い、対応を習慣化することが重要です。訓練を行う際は、添付ファイルやリンクのクリック率を測るだけでなく、以下のような対応を徹底することも検討してください。

  • 従業員は、違和感や不審な点に気付いたり、万一添付ファイルやリンクをクリックしてしまったりした場合は、組織の対応体制に従い、所定の担当部門(システム管理者など)に報告する。
  • 担当部門は、添付ファイルやリンクをクリックしたにも関わらず、取るべき行動(担当部門への報告など)を行わなかった従業員に対してフォローアップを行うなどし、取るべき行動の習慣化を促す。

 訓練においては効果を最大限に引き出すため、別紙「標的型攻撃メール訓練の目的と活用 ~効果を上げる方法~」を参照してください。

(3) 受信メールの真正性を保証する仕組みの導入

 取引先を詐称する標的型攻撃メールを抑止するため、関係組織と協力し、メールへの電子署名や、SPF(*3)、DKIM(*4)といったメールの真正性を保証する仕組みを導入すること等も検討してください。


2. 被害を回避、低減するためのシステム上の見直し 【システム】【運用管理】

(1) 大量の重要情報を保有するデータベース(以後、DB)が存在するセグメントの分離

 重要情報を保有するDBは、外部から容易にアクセスできないよう保護する必要があります。そのようなDBは、インターネットにアクセスする部署のコンピュータが存在するセグメントから堅固に切り分け、適切なアクセス制限がされているか、確認してください。また、結果的に保護策を回避するなど、安易な運用をすることのないよう、運用管理が適切に行われているか、確認・見直しを行ってください。

(2) ファイルの安全性を確認する環境の整備

 不特定多数の顧客とメールのやり取りをする部署等では、不審な添付ファイルだと思っても、業務上開かざるを得ないことがあります。そのような場合は、ネットワークから切り離したPCや仮想環境(仮想マシン)で開くなど、添付ファイル確認用の環境を用意し、安全性を検証する仕組みを導入すること等も検討してください(*5)

3. インシデント発生に備えた体制の整備と訓練の実施 【運用管理】

 深刻な被害を回避・低減するためには、異常や問題をできるだけ早く検知するだけでなく、初動対応をいかに早く、適切に行えるかが重要です(*6)。有事に迷わず初動対応に着手できるよう、以下のような準備を行ってください。

  • 組織内の関係者の連絡体制の整備、外部関係者(調査ベンダなど)の連絡先のリスト化
  • インシデント発生時の、問題の切り分けや対応の手順書の整備
  • サービス停止など、有事の対応に関する社内調整フローの確立

4. 「IPA標的型サイバー攻撃特別相談窓口」の活用

 IPAでは、標的型サイバー攻撃を受けた際に専門的知見を有する相談員が対応を支援する「標的型サイバー攻撃特別相談窓口」を設置し、相談を受け付けています。標的型サイバー攻撃を受けて対応に困った場合は、ご相談ください。


 標的型サイバー攻撃は、標的や組織の規模に関わらず、今後も一層巧妙化していくことが予測されます。対策を実施したら終わりでなく、侵入を想定した実践的な訓練を行い、対応力を養成しつつ、警戒を怠らないことが肝要です。

脚注

(*1) 不正アクセスによる個人情報流出の可能性について
http://www.jtbcorp.jp/jp/160614.html

(*2) 日本年金機構不正アクセス事案についてのお詫びとお願い
http://www.mhlw.go.jp/file/05-Shingikai-12601000-Seisakutoukatsukan-Sanjikanshitsu_Shakaihoshoutantou/shi2-3.pdf

(*3) なりすましメール撲滅に向けたSPF(Sender Policy Framework)導入の手引き
http://www.ipa.go.jp/security/topics/20120523_spf.html

(*4) DKIM(Domainkeys Identified Mail)
http://salt.iajapan.org/wpmu/anti_spam/admin/tech/explanation/dkim/

(*5) 注意喚起:本年8月から10月に「やり取り型」攻撃を国内5組織で新たに観測
https://www.ipa.go.jp/about/press/20141121.html

(*6) 【注意喚起】組織のウイルス感染の早期発見と対応を
https://www.ipa.go.jp/security/ciadr/vul/20150610-checklog.html

本件に関するお問い合わせ先

IPA標的型サイバー攻撃特別相談窓口

Tel: 03-5978-7599      Fax: 03-5978-7518      E-mail:

更新履歴

2016年6月23日 掲載