第15-06-331号
掲載日:2015年 4月22日
独立行政法人情報処理推進機構
技術本部 セキュリティセンター(IPA/ISEC)
~ 長期休暇前の対策について ~
ゴールデンウィークの長期休暇中は、システム管理者が不在になることが多くなると思われます。この間にトラブルが発生した場合、対処が遅れてしまい、自組織のコンピュータ環境に大きな被害が及んだり、顧客に対してもウイルス感染の被害が及んだりする可能性があります。
最近の攻撃手口やウイルス感染後の被害事例としては、以下のようなものがあります。
ウェブサービスへの大量のアクセスによりサービスの停止や大幅な処理遅延に陥らせる。
インターネットに公開している自組織のサーバーに脆弱性があると、第三者にそのサーバーを悪用されて、他組織のサーバーへDoS攻撃を行うための踏み台にされることがある。
ウェブアプリケーションにおけるSQL文は、利用者の入力を基に生成される。この生成方法に問題があると、SQL文がデータベースへの問い合わせ文の一部として埋め込まれて(Injection)しまう可能性がある。この問題を悪用した攻撃はSQLインジェクション攻撃と呼ばれる。この攻撃により、データベースに蓄積された情報の漏えい・改ざん、不正操作などの被害を受けるケースがある。
ウェブサイトを閲覧した利用者のパソコンにウイルスを感染させる手口として“ドライブ・バイ・ダウンロード”攻撃が主流となっている。これはウェブサイトを見ただけで利用者のパソコンにウイルスなどの不正なプログラムがダウンロードされてしまう攻撃である。この場合のウェブサイトは悪意ある者によって改ざんされている。この手口では、ウェブサイトが改ざんされたことにシステム管理者やウェブサイト管理者が気づくことが難しいため、閲覧者に感染を許してしまうケースがある。また、ウェブサイトに表示されるバナー広告を配信する事業者のウェブサーバーが改ざんされた結果、バナー広告を掲出している企業もウイルスに感染させられてしまうケースなどもあった。
複数の業務アカウントやインターネットサービスで同じIDやパスワードを使用していると、どれか1つのサービスでIDやパスワードを含むアカウント情報が流出した場合、そのIDやパスワードを自動的に連続入力するプログラムなどを用いて、ウェブサイトにログインを試みるパスワードリスト攻撃を受ける。
従業員が休暇中に自宅で仕事をするために職場から持ち出した機密情報等が不注意などにより漏えいすることがある。例えば、データを保存したパソコンやスマートフォン、USBメモリ、CD/DVD等の外部記憶媒体の紛失や盗難、私用パソコン等の個人の環境下で使用していたWinny等のファイル共有ソフトによる漏えいなどのケースがある。
システム管理者、ウェブサイト管理者は、このような事態を回避するため、長期休暇前に以下の「システム管理者向け対策事項」を実施してください。
| 1. |
[緊急対応体制、盗難・紛失時の連絡体制]
(ご参考:1)
不測の事態が発生した場合に備えて、委託先企業を含めた緊急連絡体制や、パソコン、スマートフォン、タブレットの盗難・紛失時の連絡体制などの対応手順が明確になっているか再確認してください。 |
|---|---|
| 2. |
[最新バージョンの利用]
(ご参考:2、3、4、5、12)
管理しているサーバーやパソコンのOS(オペレーティングシステム)に修正プログラムを適用し、最新のバージョンに更新することで、脆弱性を解消してください。Windows ユーザーは、「Windows Update」や 「Microsoft Update」を利用してください。 Mac ユーザーは、「ソフトウェア・アップデート」を利用してください。 |
| 3. |
[修正プログラムの適用]
(ご参考:2、3、4、5、12)
管理しているサーバーやパソコンのアプリケーションソフト(インターネット閲覧ソフト、メールソフト、動画閲覧ソフト、ドキュメントファイル閲覧ソフト、CMS[Content Management System]、サーバー管理ツール等)に修正プログラムを適用し、最新のバージョンに更新してください。 |
| 4. |
[定義ファイルの更新]
(ご参考:4、5、12)
管理しているサーバーやパソコンで使用しているセキュリティソフトの定義ファイル(パターンファイル)を最新な状態に設定すると共に、休暇明けにも確認してください。 |
| 5. |
[情報持出しルールの徹底]
(ご参考:1、14)
業務用のパソコンやスマートフォン、タブレットやデータ等を組織外に持ち出す場合のルールを明確にし、従業員に再徹底してください。また、パソコンやスマートフォン、タブレットに本来入れてはいけないデータが入っていないか、貸し出す前にその都度確認してください。また、個人が所有するパソコンやスマートフォン、タブレットを業務に活用している場合、組織のルールから逸脱していないか確認してください。 |
| 6. |
[アクセス権限の再確認]
(ご参考:7)
組織の情報システムにアクセスできる権限が適切に割り当てられているか再確認してください。
|
| 7. |
[情報取扱いルールの徹底]
(ご参考:8)
Winny等のファイル共有ソフトによる情報漏えいが起きないよう、業務関係の情報を扱う場合の注意点を従業員に再徹底してください。なお、IPAではファイル共有ソフト(Winny、Winnyp、Share)による『情報漏えい』を防ぐためのソフトウェアを公開中です。活用してください。 |
| 8. |
[パスワード管理の徹底]
(ご参考:4、9、13)
業務で使用しているIDやパスワードと同じものを、他の業務や私的利用のインターネットサービスなどでも使っている場合、速やかにパスワードを変更してください。
また、パスワードを初期設定のままで利用していないかどうか確認してください。 |
| 9. |
[サイバー攻撃対策の点検]
(ご参考:1、6、7、9、10、11、14)
現在運用しているシステムやサービスについて、サイバー攻撃への対策状況を点検し、対策の強化が必要であれば早急に実施してください。
IPAでは、対策の方法として、組織におけるシステムやネットワークのセキュリティ対策状況を確認するための「チェックリスト」を、以下のページに載せています。活用してください。 |
(ご参考)
インターネットバンキングにおいて、パソコンがウイルスに感染してしまったことが原因で、不正送金の被害に遭うケースが続いています。
パソコンのウイルス感染を防ぐために、パソコンのOSと各種ソフトウェアは常に最新の状態で使ってください。
~ 長期休暇明けの対応について ~
企業でパソコンなどの端末を使用している方は、以下の「企業におけるパソコン利用者向け対策事項」を実施してください。特に休暇明けは、OSやアプリケーションソフトの修正プログラムや、セキュリティソフトの定義ファイルが更新されている場合があるため対応が必要です。
| 1. |
[修正プログラムの適用]
(ご参考:1、2、7)
休暇中にOSやアプリケーションソフトの修正プログラムが公開される可能性があります。休暇明けには、修正プログラムの有無を確認し、必要な修正プログラムを適用してください。なお、更新を行う場合は、システム管理者の指示に従ってください。 |
|---|---|
| 2. |
[定義ファイルの更新]
(ご参考:1、2、7)
休暇中に電源を切っていたパソコンは、セキュリティソフトの定義ファイル(パターンファイル)が休暇前の古いままになっていることがあります。電子メールの送受信および、ウェブサイト閲覧の前にセキュリティソフトの定義ファイルを更新し、最新の状態にしてください。 |
| 3. |
[利用前のウイルスチェック]
(ご参考:3)
休暇中に持ち出したパソコンや、データを格納していたUSBメモリ等の外部記憶媒体にウイルスが感染している可能性があります。ウイルスチェックを行ってから使用してください。 |
| 4. |
[メールの取り扱いの徹底]
(ご参考:4、5、6、7)
特定の企業や組織を装い、ウイルスメールを送りつける“標的型攻撃メール”が多く見受けられます。当該メールは、政府機関や関連企業を思わせる組織名やメールアドレスを詐称し、一見もっともらしいタイトルや本文、業務に関連するキーワードを使っています。また、実はウイルスが仕込まれた本文中のリンクや、マイクロソフトのWordファイルやExcelファイルなどに見せかけたファイルの添付など、メール受信者が信じてクリックや開封してしまうような巧妙な仕掛けがされています。添付ファイルを開いたり、リンクをクリックしたりすることで、パソコンがコンピュータウイルスに感染する可能性があります。少しでも不自然だと感じたメールの添付ファイルやリンクは、絶対に開いたりクリックしたりしないでください。 |
※コンピュータウイルスや不正アクセスの届出・相談はこちらにお願いいたします。
※標的型メール攻撃の情報提供や相談はこちらにお願いいたします。
(ご参考)
インターネットバンキングにおいて、パソコンがウイルスに感染してしまったことが原因で、不正送金の被害に遭うケースが続いています。
パソコンのウイルス感染を防ぐために、パソコンのOSと各種ソフトウェアは常に最新の状態で使ってください。
~ ウイルス感染やワンクリック請求の被害等に遭わないように ~
最近、以下のようなトラブルに見舞われる例が増えています。
パソコンでインターネットバンキングにログインすると、ウイルスが不正なポップアップ画面を表示して、合言葉や乱数表の全てを利用者に入力させようとする。
ウイルス感染により以下のような現象を引き起こします。
アダルトサイトで無料の動画を見ようと画像をクリックして、次へ次へと進んで行ったところ、有料のサービスに会員登録してしまい、ウイルス感染により料金請求画面が出続ける、いわゆる「ワンクリック請求」の被害に遭う。
パソコンに脆弱性が残ったままの状態で、改ざんされたウェブサイトを閲覧すると、パソコンがウイルスに感染してしまう、“ドライブ・バイ・ダウンロード”攻撃。
私的に利用している複数のインターネットサービスで同じID、パスワードの使い回しをしていると、あるサービスからID、パスワードが漏えいした場合、使い回していた他の複数のサービスにもログインされてしまい、芋づる式に不正利用されてしまう。
ウイルスに感染したUSBメモリ等の外部記憶媒体を使用することでパソコンにも感染が広がる。
SNS(ソーシャルネットワーキングサービス)の利用者増加に伴い、SNS利用者を狙った手口が増加している。例えば、Twitterにおいて、本来のURLがわからない“短縮URL”をクリックさせ、リンク先の悪意あるウェブサイトに誘導する。その誘導先のウェブサイトを閲覧することでウイルスに感染してしまう。
休暇中、自宅で仕事をするために、勤務先のパソコンを自宅のネットワークに接続したり、USBメモリ等の外部記憶媒体に勤務先のデータを入れて持ち帰り、自宅のパソコンで扱ったりした際、それが原因でウイルスに感染する。そのウイルス感染によって不正アクセスを受け、情報漏えいしてしまう。
休暇中は、時間に余裕があり、インターネットを利用する機会も多くなると思われます。上述のような被害に遭わないよう、以下の「家庭でのパソコン利用者向け対策事項」を実施してください。
| 1. |
[最新バージョンの利用や修正プログラムの適用]
(ご参考:1、2、9、10、14)
使用しているパソコンのOS(オペレーティングシステム)に修正プログラムを適用し、最新のバージョンに更新することで、脆弱性を解消してください。 Windows ユーザーは、「Windows Update」や「Microsoft Update」を利用してください。 Mac ユーザーは、「ソフトウェア・アップデート」を利用してください。
また、使用しているパソコンのアプリケーションソフト(インターネット閲覧ソフト、メールソフト、動画閲覧ソフト、ドキュメントファイル閲覧ソフト等)にも修正プログラムを適用し、最新のバージョンに更新してください。さらに、セキュリティソフトの定義ファイル(パターンファイル)を常に最新の状態にして使用してください。 |
|---|---|
| 2. |
[USBメモリ等の取り扱いの徹底]
(ご参考:4)
所有者が不明もしくは自身が管理していないUSBメモリ等の外部記憶媒体は自身のパソコンに接続しない、また、自身が管理していないパソコンに自身の外部記憶媒体を接続しないこと、などでウイルス感染を防いでください。 |
| 3. |
[必要データのバックアップの推奨]
(ご参考:3、5)
ウイルス感染等でパソコンそのものが動かなくなってしまう場合に備え、必要なデータは外部記憶媒体等へバックアップしてください。
例えば「ランサムウェア」と呼ばれるウイルスに感染してしまった場合、パソコン内のファイルが暗号化され、ウイルス自体を駆除しても、そのままの状態となって元に戻せない可能性があります。 |
| 4. |
[情報取扱いルールの徹底]
(ご参考:6)
Winny等のファイル共有ソフトを使っているパソコンが、Antinny等の暴露ウイルスに感染すると、パソコン内に保存してあるファイルがインターネット上に流出してしまいます。業務関係のデータを扱ったことのあるパソコンでWinny等のファイル共有ソフトを使うのは情報漏えいの危険性が高いので止めてください。家族と共用しているパソコンの場合、自分がファイル共有ソフトを使っていなくても家族が使えば情報漏えいする可能性がありますので、業務関係のデータを共用のパソコンで扱うのは絶対に避けるべきです。
IPAでは、ファイル共有ソフト(Winny、Winnyp、Share)による『情報漏えい』を防ぐためのソフトウェアを公開中です。活用してください。 |
| 5. |
[SNS利用上の注意]
(ご参考:7、13)
SNS(ソーシャルネットワーキングサービス)は、人と人とのコミュニケーションツールであり、信頼関係で成り立っていますが、それを悪用して相手の個人情報を収集したり、ウイルスに感染させようとしたりする人もいます。SNSにおいて他人のページ等に書かれているURLを不用意にクリックしないようにしましょう。特にTwitterでは、本来のURLがわからない“短縮URL”を悪用した手口が確認されています。不用意に“短縮URL”をクリックしないように注意しましょう。また、SNSから情報を発信する場合は、情報公開の範囲を確認し、不用意に情報が公開されてしまうことのないようにしましょう。 |
| 6. |
[ウェブサイト利用時の注意]
(ご参考:3)
「ワンクリック請求」などで年齢確認の同意を求める、『はい』か『いいえ』のボタンをクリックさせる画面が表示された場合、年齢確認以外にウェブサイト利用時の規約も表示されていますので、この利用規約をよく読み、その先のウェブサイトの利用を判断してください。利用規約内に料金が明示されていれば有料サイトかもしれませんので、トラブルを避けるため、それ以上先に進まず、そのウェブサイトの利用は中止することをお勧めします。 |
| 7. |
[パスワード管理の徹底]
(ご参考:8)
複数のインターネットサービスで同じIDやパスワードを使っている場合、異なるパスワードに変更してください。 |
| 8. |
[インターネットバンキング利用時の注意]
(ご参考:11、12)
インターネットバンキングにおいて、第二認証情報(乱数表や合言葉など)すべての入力を利用者に求めることはありません。第二認証情報「すべて」の入力を促す画面が表示された場合は、絶対に情報を入力しないでください。 |
万が一、ワンクリック請求の被害に遭い、パソコンのデスクトップ上に請求画面等が表示されてしまった場合は、あわてずに以下の注意事項を守ってください。
| 1. |
入会登録画面や請求書画面等に表示されている「IP アドレス」、「利用しているプロバイダ名」等の情報からは、個人を特定することはできません。契約が成立しているか心配な場合は、最寄りの消費生活センターに相談してください。 |
|---|---|
| 2. |
入会登録画面や請求書画面等に、「問い合わせ先」が表示されていても、自分から問い合わせ(電話やメール等)は絶対にしないでください。上述したように、これらの画面に表示されている情報では個人を特定することは困難で、問い合わせをすることで個人が特定されてしまうおそれがあります。 |
| 3. |
ワンクリック請求に関する最近の手口および対策については、以下の対策ページを参照してください。
【注意喚起】ワンクリック請求に関する相談急増!
~パソコン利用者にとっての対策は、まずは手口を知ることから!~: https://www.ipa.go.jp/security/topics/alert20080909.html https://www.youtube.com/watch?v=8VHBkZi9sHg |
(ご参考)
SNSで知り合った異性から言葉巧みに不正なアプリのインストールを持ちかけられ、そのアプリでプライベートな動画を撮影したことが原因で、セクストーション(性的脅迫)の被害に遭うケースが発生しています。
このような被害に遭わないために、アプリは信頼できるマーケットから入手し、第三者に見られたら困るプライベートな写真や動画を撮影したり、そのデータを送ったりしてはいけません。
~ 不正アプリの被害に遭わないように ~
スマートフォンやタブレットで使用するアプリには、利用者にそれとはわからないよう電話帳に登録されたすべての名前や電話番号、メールアドレスの情報を窃取するなど不正なものが存在します。
上述した不正アプリの被害に遭わないよう、以下の「スマートフォン、タブレット利用者向け対策事項」を実施してください。
| 1. |
[スマートフォン、タブレット使用ルールの徹底]
(ご参考:1、2、3)
スマートフォンやタブレットで使用するアプリには、端末に保存されている情報を窃取するものが存在します。個人利用のスマートフォンやタブレットを業務に利用している場合は、所属する組織の業務規程に従ってください。 |
|---|---|
| 2. |
[スマートフォン、タブレット使用時の注意]
(ご参考:1、2、3、4、5、6、7)
不正アプリのインストールを防ぐためには、パソコンと同様に信頼できない場所からアプリをダウンロードしないことが重要です。さらに、Android OSのスマートフォンやタブレットにおいてアプリをインストールする際に表示される「パーミッション」(アプリがスマートフォンやタブレットのどの情報/機能にアクセスするのか、許可を定義したもの)の一覧には必ず目を通し、不自然なアクセス許可や求めているアクセス許可を疑問に感じた場合には、そのアプリのインストールを中止してください。
また、スマートフォンやタブレットを机などに置いたままでその場を離れた際、誰かに不正に使用されることのない様、スマートフォンやタブレットはパスワードなどの入力が必要な画面ロック機能を必ず有効にし、ロックまでの待ち時間を1分程度の短い時間で設定してください。 |
| 3. |
[セキュリティアプリの導入]
(ご参考:1、5、6)
不正アプリの被害以外にも、正規のアプリ名に似せた偽のアプリをインストールしてしまうことでウイルスの感染被害に遭ってしまう場合があります。こうした被害に遭わないように、Android OSのスマートフォンやタブレットの利用者は、ウイルス感染の可能性を低減させるためにセキュリティアプリを導入してください。セキュリティアプリを入れて最新の状態に保っておくと、ウイルスの感染を事前に食い止められる場合があります。 |
(ご参考)
情報セキュリティ 安心相談窓口
https://www.ipa.go.jp/security/anshin/
ウイルス対策トップページ
https://www.ipa.go.jp/security/isg/virus.html
不正アクセス対策トップページ
https://www.ipa.go.jp/security/fusei/ciadr.html
| 2015年4月22日 | 掲載 |
|---|
