2017年4月24日
一般社団法人JPCERTコーディネーションセンター (JPCERT/CC)
ゴールデンウィークの長期休暇期間におけるコンピュータセキュリティインシデント発生の予防および緊急時の対応に関して、要点をまとめましたので、以下を参考に対策をご検討ください。
長期休暇期間中は、インシデント発生に気がつきにくく、発見が遅れる可能性があります。休暇期間中にインシデントが発覚した場合に備えて、対応体制や関係者への連絡方法などを事前に調整し、休暇明けには、不審なアクセスや侵入の痕跡がないか、サーバのログを確認することをおすすめします。
また、インシデントの発生を未然に防ぐためにも、休暇期間に入る前に自組織のサーバのセキュリティ対策が十分か、今一度ご確認ください。
I. システムにおける脆弱性への注意 (Apache Struts 2 など)
[1] 概要
JPCERT/CCでは、Web アプリケーションや Apache Struts 2 などのフレームワークの脆弱性に関して、複数の攻撃を確認しています。脆弱性によってはリモートから任意のコードを実行され、情報漏洩や Web サイトの改ざんなどの被害を受けるおそれがあります。このような攻撃による被害を受けないために、[2]対策を参考に、適切な対策を実施してください。

[2] 対策
1. | Web アプリケーションを最新の状態に保つ |
使用している Web アプリケーションや Web サーバを脆弱性の対策が施された最新のバージョンにアップデートしてください | |
2. | 製品のサポート期限を確認する |
製品の開発が既に終了している場合や、サポート期限が終了している場合があります。別の対策済みの製品に置き換えることも併せて検討してください |
これらの対策に加え、Web アプリケーションの脆弱性を悪用した攻撃に備えるため、Web Application Firewall (WAF) の導入などの防御策も有効です。休暇期間中において必要のないサーバなどは、サービスを停止しておくこともご検討ください。
また、Web サイトの管理者は、自身が管理する Web サイトに対して、脆弱性診断やペネトレーションテストを実施するなど、脆弱性の有無を日頃から確認しておくことも重要です。脆弱性が見つかった場合に、アップデートや回避策の適用が早期に実施できるように、必要な手順や体制等を備えておくことをおすすめします。
[JPCERT/CC]
注意喚起「Apache Struts 2 の脆弱性 (S2-045) に関する注意喚起」
https://www.jpcert.or.jp/at/2017/at170009.html
注意喚起「WordPress の脆弱性に関する注意喚起」
https://www.jpcert.or.jp/at/2017/at170006.html
[独立行政法人 情報処理推進機構(IPA)]
「安全なウェブサイトの作り方 改訂第7版」
https://www.ipa.go.jp/security/vuln/websecurity.html
ウェブサイトの攻撃兆候検出ツール iLogScanner
https://www.ipa.go.jp/security/vuln/iLogScanner/
Web Application Firewall 読本
https://www.ipa.go.jp/security/vuln/waf.html
また、Web サイトの管理者は、自身が管理する Web サイトに対して、脆弱性診断やペネトレーションテストを実施するなど、脆弱性の有無を日頃から確認しておくことも重要です。脆弱性が見つかった場合に、アップデートや回避策の適用が早期に実施できるように、必要な手順や体制等を備えておくことをおすすめします。
[JPCERT/CC]
注意喚起「Apache Struts 2 の脆弱性 (S2-045) に関する注意喚起」
https://www.jpcert.or.jp/at/2017/at170009.html
注意喚起「WordPress の脆弱性に関する注意喚起」
https://www.jpcert.or.jp/at/2017/at170006.html
[独立行政法人 情報処理推進機構(IPA)]
「安全なウェブサイトの作り方 改訂第7版」
https://www.ipa.go.jp/security/vuln/websecurity.html
ウェブサイトの攻撃兆候検出ツール iLogScanner
https://www.ipa.go.jp/security/vuln/iLogScanner/
Web Application Firewall 読本
https://www.ipa.go.jp/security/vuln/waf.html
II. 日本語で添付される情報窃取型マルウエアへの注意
[1] 概要
JPCERT/CCでは、日本語で書かれた業務メールなどを装い、情報窃取型マルウエアへの感染を誘導するばらまき型メール攻撃を確認しています。メールに添付されているファイルを実行したり、メール本文中の URL リンクをクリックしたりすることにより、使用している PC などの機器がマルウエアに感染する可能性があります。情報窃取型マルウエアに感染すると、保存されているインターネットバンキングなどの認証情報が窃取され、不正送金などの被害を受ける可能性があります。
ばらまき型メール攻撃で誘導される情報窃取型マルウエアとして、昨年は「URSNIF(別名:GOZI)」を確認していましたが、今年に入ってからは、Tor(The Onion Router)を使用することで通信経路を秘匿する機能が追加された新たなマルウエア「DreamBot」も確認しています。マルウエアへの感染を防ぐため、休暇明けにメールを開く際には、添付ファイルや本文の内容に十分ご注意ください。
ばらまき型メール攻撃で誘導される情報窃取型マルウエアとして、昨年は「URSNIF(別名:GOZI)」を確認していましたが、今年に入ってからは、Tor(The Onion Router)を使用することで通信経路を秘匿する機能が追加された新たなマルウエア「DreamBot」も確認しています。マルウエアへの感染を防ぐため、休暇明けにメールを開く際には、添付ファイルや本文の内容に十分ご注意ください。

マルウエアへの感染を誘導する不審なメールの例やマルウエア「DreamBot」については、以下の情報をご参照ください。
[一般財団法人日本サイバー犯罪対策センター(JC3)]
インターネットバンキングマルウェア「DreamBot」による被害に注意
https://www.jc3.or.jp/topics/dreambot.html
インターネットバンキングマルウェアに感染させるウイルス付メールに注意
https://www.jc3.or.jp/topics/virusmail.html
DreamBot・Gozi感染チェックサイト
https://www.jc3.or.jp/info/dgcheck.html
[一般財団法人日本サイバー犯罪対策センター(JC3)]
インターネットバンキングマルウェア「DreamBot」による被害に注意
https://www.jc3.or.jp/topics/dreambot.html
インターネットバンキングマルウェアに感染させるウイルス付メールに注意
https://www.jc3.or.jp/topics/virusmail.html
DreamBot・Gozi感染チェックサイト
https://www.jc3.or.jp/info/dgcheck.html
[2] 対策
マルウエア感染を未然に防ぎ、感染時の被害を低減するために、以下のような対策を実施することをおすすめします。
1. OS などのソフトウエアのセキュリティアップデートを適用する
2. ウイルス対策ソフトなどの定義ファイルを更新する
3. ハードディスクなどのウイルスチェックを行う
4. 使用している機器やソフトウエアのセキュリティ関連情報を確認する
休暇明けに組織内部のネットワークに、以下の PC などの機器を接続する際にはセキュリティ対策を実施してください。
1. OS などのソフトウエアのセキュリティアップデートを適用する
2. ウイルス対策ソフトなどの定義ファイルを更新する
3. ハードディスクなどのウイルスチェックを行う
4. 使用している機器やソフトウエアのセキュリティ関連情報を確認する
休暇明けに組織内部のネットワークに、以下の PC などの機器を接続する際にはセキュリティ対策を実施してください。
・休暇中に使用していなかった PC などの機器
・休暇中に外部へ持ち出した PC などの機器
・休暇中に外部へ持ち出した PC などの機器
なお、ソフトウエアのアップデート情報に関しては、「VI. 修正プログラム情報」をご参照ください。
III.休暇前の対応
長期休暇に入る前に、以下の対応を行ってください。
[システム管理者向け]
[社員、職員向け]
IV.休暇後の対応[システム管理者向け]
(1) | インシデント発生時の緊急連絡網が整備・周知されていることを確認する |
(2) |
休暇中に不要な機器の電源が切られていることを確認する 休暇中に起動する機器がある場合、不要なサービスを起動していないか、起動したサービスに不要な権限が付加されていないかを確認する |
(3) | 重要なデータのバックアップを行う |
(4) | サーバの OS やソフトウエアなどに最新の修正プログラムが適用されていることを確認する。Web サーバ上で動作する Web アプリケーションの更新もあわせて行う |
(5) | 社員、職員が業務で使用している PC や、スマートフォンの OS やソフトウエア、その他のネットワークにつながる機器に修正プログラムの適用漏れがないかを確認し、社員、職員向けに同様の確認を行うように周知する |
[社員、職員向け]
(1) | インシデント発生時の連絡先を確認する。 |
(2) |
業務で使用している PC や、スマートフォンの OS やソフトウエアなどに、最新の修正プログラムが適用されていることを確認する - Adobe Acrobat/Reader - Adobe Flash Player - Microsoft Office - Microsoft Windows - Oracle Java ※これら以外の OS やソフトウエアも必要に応じて修正プログラムを適用する |
(3) | パスワードに、容易に推測できる文字列 (名前、生年月日、電話番号、アカウントと同一のものなど) や安易な文字列 (12345, abcde, qwerty, password など) を設定していないかを確認し、設定している場合は、適切に変更する |
(4) | 業務遂行の為、PC やデータを持ち出す際には、自組織のポリシーに従い、取り扱いや情報漏えいに細心の注意を払う |
休暇明けは、以下の対応を行ってください。
[システム管理者向け](1) | 導入している機器やソフトウエアについて、休暇中に修正プログラムが公開されていないかを確認し、公開されていた場合は、それを適用し、その情報を社員、職員に向けて周知する |
(2) | 社員、職員に対して、休暇中に持ち出していた PC などの機器を確認するとともに、それらを組織内のネットワークに接続する前に、ウイルスチェックを行うよう周知する (必要に応じて確認用のネットワークを別途用意する) |
(3) |
休暇期間中のサーバへの不審なアクセスやサーバの不審な挙動がないかを確認する (サーバへのログイン認証エラーの多発、深夜など利用者がいない時間帯のログイン、サーバやアプリケーションなどの脆弱性を狙う攻撃など) |
(4) |
Web サーバで公開しているコンテンツが改ざんされていないかを確認する (不正なファイルが設置されていないか、コンテンツが別のものに書き変わっていないか、マルウエア設置サイトに誘導する不審なコードが埋め込まれていないかなど) |
(1) | 出社後すぐに、ウイルス対策ソフトの定義ファイルを最新の状態に更新する |
(2) | 休暇中に持ち出していた PC などの機器や USB メモリなどは、使用前にウイルスチェックを行う |
(3) | 休暇中に修正プログラムが公開されていた場合は、システム管理者の指示に従い、修正プログラムを適用する |
(4) | 休暇中に受信したメールの中には標的型攻撃メールが含まれている可能性があるため、本文の内容および添付ファイルを十分に確認し、安易に添付ファイルを開いたり、メールに記載されているリンク先にアクセスしたりしないように注意する |
V.JPCERT/CCからのお願い
JPCERT/CCでは、改ざんされた Web サイトや不正なプログラムの配布サイトなどに対して、関係機関を通じて調整活動を行っています。もし、これらに関する情報をお持ちの場合は、以下の Web フォーム、または電子メールで、JPCERT/CCまでご連絡ください。
Web フォーム: https://form.jpcert.or.jp/電子メール : info@jpcert.or.jp
※インシデントの報告についてはこちらをご参照ください
https://www.jpcert.or.jp/form/
VI.修正プログラム情報
最近公開された重要な修正プログラムは以下をご参照ください。
[Microsoft]
2017 年 4 月のセキュリティ更新プログラム
https://portal.msrc.microsoft.com/ja-jp/security-guidance/releasenotedetail/42b8fa28-9d09-e711-80d9-000d3a32fc99
Microsoft Update
http://www.update.microsoft.com/
Windows Update
http://windowsupdate.microsoft.com/
Microsoft Update Catalog
https://catalog.update.microsoft.com/
https://portal.msrc.microsoft.com/ja-jp/security-guidance/releasenotedetail/42b8fa28-9d09-e711-80d9-000d3a32fc99
Microsoft Update
http://www.update.microsoft.com/
Windows Update
http://windowsupdate.microsoft.com/
Microsoft Update Catalog
https://catalog.update.microsoft.com/
[Adobe]
Security updates available for Adobe Flash Player
https://helpx.adobe.com/security/products/flash-player/apsb17-10.html
Security Updates Available for Adobe Acrobat and Reader
https://helpx.adobe.com/security/products/acrobat/apsb17-11.html
https://helpx.adobe.com/security/products/flash-player/apsb17-10.html
Security Updates Available for Adobe Acrobat and Reader
https://helpx.adobe.com/security/products/acrobat/apsb17-11.html
[Oracle Java]
Oracle Critical Patch Update Advisory - April 2017
http://www.oracle.com/technetwork/security-advisory/cpuapr2017-3236618.html
http://www.oracle.com/technetwork/security-advisory/cpuapr2017-3236618.html
VII.参考情報
[JPCERT/CC]
インシデント報告対応四半期レポート
高度サイバー攻撃(APT)への備えと対応ガイド~企業や組織に薦める一連のプロセスについて
高度サイバー攻撃への対処におけるログの活用と分析方法
以上
一般社団法人JPCERTコーディネーションセンター (JPCERT/CC)
Email: ww-info@jpcert.or.jp WWW: https://www.jpcert.or.jp/
TEL: 03-3518-4600 FAX: 03-3518-4602