2016年12月15日
一般社団法人JPCERTコーディネーションセンター (JPCERT/CC)
冬期の長期休暇期間におけるコンピュータセキュリティインシデント発生の予防および緊急時の対応に関して、要点をまとめましたので、以下を参考に対策をご検討ください。
年末年始の休暇期間中は、インシデントの発生に気がつきにくく、発見が遅れる可能性があります。休暇期間中にインシデントが発生した場合に備えて、対応体制や関係者への連絡方法などを事前に整理し、休暇明けには、不審なアクセスや侵入の痕跡がないか、サーバのログを確認することをおすすめします。
また、インシデントの発生を未然に防止するため、休暇期間に入る前に、自組織のサーバのセキュリティ対策が十分か、今一度ご確認ください。
I. Web サイト改ざんや不正アクセスへの注意[1] 概要
JPCERT/CCでは、Web サイトの改ざんに関して、複数の報告が寄せられています。
最近では、攻撃者が国内の複数の Web サイトを改ざんして、Web サイトの利用状況等について調査しているとみられる事例も報告されています。この調査活動で、水飲み場型攻撃などのサイバー攻撃の踏み台として悪用するために、ユーザの情報を収集しているとみられます。
Web サイトの管理者は、管理している Web サイトのコンテンツが改ざんされていないかを確認するとともに、「[2] 対策 」の実施をご検討ください。
Web サイトの管理者は、管理している Web サイトのコンテンツが改ざんされていないかを確認するとともに、「[2] 対策 」の実施をご検討ください。
[JPCERT/CC]
Web サイト改ざんに関する注意喚起
[@Police]
Web サイト改ざんに関する注意喚起について (PDF)
[2] 対策
サーバ管理者は、休暇中のインシデントを未然に防ぐため、以下の対策をご検討ください。
| 1. | 緊急時の対応体制を確認 |
| インシデントの発生に備え、対応フローや各サーバ管理者の連絡先を確認してください。 | |
| 2. | 使用製品のバージョンが最新であることを確認 |
| Web サーバで使用している OS やソフトウエア (プラグインなど追加の拡張機能も含む) が最新のバージョンに更新されているかを確認し、必要に応じてアップデートを実施してください。 | |
| 3. | 休暇中の業務に不要なサーバが稼働していないかを確認 |
| サイバー攻撃の踏み台として悪用されることを防ぐため、開発時に用いるサーバなど、休暇中の業務には必要がないサーバが稼働していないかを確認し、必要に応じて停止してください。 | |
| 4. | ログイン ID とパスワードの確認 |
| 安易に推測できるパスワードを使用していないか、同じパスワードを使いまわしていないかを確認し、適切な設定を行ってください。 |
[JPCERT/CC]
サイバー攻撃に備えてWebサイトの定期的な点検を
STOP!! パスワード使い回し!!~そのパスワードを知っているのは、本当にあなただけですか?~
II. 不審なメールへの注意
[1] 概要
JPCERT/CCではマルウエアが添付された不審なメールを複数確認しています。不審なメールに添付されているファイルを実行したり、メール本文中の URL リンクをクリックしたりすることにより、使用している端末がマルウエアに感染する可能性があります。休暇中でも、このような不審なメールを受信する可能性があるため、休暇明けにメールを開く際には、添付ファイルや本文の内容に十分ご注意ください。
[一般財団法人日本サイバー犯罪対策センター(JC3)]
[2] 対策
マルウエアの感染被害を低減する為に、セキュリティ関連情報の収集や、以下のようなセキュリティ対策を講じることをおすすめします。
| 1. | OS などのソフトウエアのセキュリティアップデートを適用する |
| 2. | ウイルス対策ソフトなどの定義ファイルを更新する |
| 3. | ハードディスクなどのウイルスチェックを行う |
| 4. | 使用している機器やソフトウエアのセキュリティ関連情報を確認する |
休暇明けに組織内部のネットワークに、以下の PC を接続する際にはセキュリティ対策を実施してください。
| ・ | 休暇中に使用していなかった PC |
| ・ | 休暇中に外部へ持ち出した PC |
なお、ソフトウエアのアップデート情報に関しては、「VI. 修正プログラム情報」の項目を参考にしてください。
III.休暇前の対応
長期休暇に入る前に、以下の対応を行ってください。
[システム管理者向け]| 1. | インシデント発生時の連絡網が整備・周知されていることを確認する。 |
| 2. |
休暇中に不要な機器の電源が切られていることを確認する。 休暇中に起動する機器がある場合、不要なサービスを起動していないか、起動したサービスに不要な権限が付加されていないかを確認する。 |
| 3. | 重要なデータのバックアップを行う。 |
| 4. | サーバの OS やソフトウエアなどに最新の修正プログラムが適用されていることを確認する。Web サーバ上で動作する Web アプリケーションの更新もあわせて行う。 |
| 5. | 社員、職員が業務で使用している PC や、スマートフォンの OS やソフトウエア、その他のネットワークにつながる機器に修正プログラムの適用漏れがないかを確認し、社員、職員向けに同様の確認を行うように周知する。 |
[社員、職員向け]
| 1. | インシデント発生時の連絡先を確認する。 |
| 2. |
業務で使用している PC や、スマートフォンの OS やソフトウエアなどに、最新の修正プログラムが適用されていることを確認する。 - Adobe Acrobat/Reader - Adobe Flash Player - Microsoft Office - Microsoft Windows - Oracle Java ※これら以外の OS やソフトウエアも必要に応じて修正プログラムを適用する。 |
| 3. | パスワードに、容易に推測できる文字列 (名前、生年月日、電話番号、アカウントと同一のものなど) や安易な文字列 (12345, abcde, qwerty, passwordなど) を設定していないかを確認し、設定している場合は、適切に変更する。 |
| 4. | 業務遂行の為、PC やデータを持ち出す際には、自組織のポリシーに従い、取り扱いや情報漏えいに細心の注意を払う。 |
IV.休暇後の対応
休暇明けは、以下の対応を行ってください。
[システム管理者向け]| 1. | 導入している機器やソフトウエアについて、休暇中に修正プログラムが公開されていないかを確認し、公開されていた場合は、それを適用し、その情報を社員、職員に向けて周知する。 |
| 2. | 社員、職員に対して、休暇中に持ち出していた PC などを確認するとともに、それらを組織内のネットワークに接続する前に、ウイルスチェックを行うよう周知する。(必要に応じて確認用のネットワークを別途用意する。) |
| 3. | 休暇期間中のサーバへの不審なアクセスやサーバの不審な挙動がないかを確認する。(サーバへのログイン認証エラーの多発、深夜など利用者がいない時間帯のログイン、サーバやアプリケーションなどの脆弱性を狙う攻撃など。) |
| 4. | Web サーバで公開しているコンテンツが改ざんされていないかを確認する。(不正なファイルが設置されていないか、コンテンツが別のものに書き変わっていないか、マルウエア設置サイトに誘導する不審なコードが埋め込まれていないかなど。) |
[社員、職員向け]
| 1. | 出社後すぐに、ウイルス対策ソフトの定義ファイルを最新の状態に更新する。 |
| 2. | 休暇中に持ち出していた PC や USB メモリなどは、使用前にウイルスチェックを行う。 |
| 3. | 休暇中に修正プログラムが公開されていた場合は、システム管理者の指示に従い、修正プログラムを適用する。 |
| 4. | 休暇中に受信したメールの中には標的型攻撃メールが含まれている可能性があるため、本文の内容及び添付ファイルを十分に確認し、安易に添付ファイルを開いたり、メールに記載されているリンク先にアクセスしたりしないように注意する。 |
V.JPCERT/CCへ報告のお願い
JPCERT/CCでは、改ざんされた Web サイトや不正なプログラムの配布サイトなどに対して、関係機関を通じて調整活動を行っています。もし、これらに関する情報をお持ちの場合は、以下の Web フォーム、または電子メールで、JPCERT/CCまでご連絡ください。
Web フォーム: https://form.jpcert.or.jp/
電子メール : info@jpcert.or.jp
※インシデントの報告についてはこちらをご参照ください
https://www.jpcert.or.jp/form/
VI.修正プログラム情報
最近公開された重要な修正プログラムは以下です。
[Microsoft]
2016 年 12月のマイクロソフト セキュリティ情報の概要
Microsoft Update
Windows Update
Microsoft Update Catalog
[Adobe]
Security updates available for Adobe Flash Player
Adobe Flash Player ダウンロードセンター
[Oracle Java]
Oracle Critical Patch Update Advisory - October 2016
無料Javaのダウンロード (JRE 8、日本語)
VII.参考情報
[JPCERT/CC]
インシデント報告対応四半期レポート
高度サイバー攻撃(APT)への備えと対応ガイド~企業や組織に薦める一連のプロセスについて
高度サイバー攻撃への対処におけるログの活用と分析方法
一般社団法人JPCERTコーディネーションセンター (JPCERT/CC)
Email: ww-info@jpcert.or.jp WWW: https://www.jpcert.or.jp/
TEL: 03-3518-4600 FAX: 03-3518-4602
