[1] 概要

JPCERT/CCでは、Web アプリケーションや Apache Struts 2 などのフレームワークの脆弱性に関して、複数の攻撃を確認しています。脆弱性によってはリモートから任意のコードを実行され、情報漏洩や Web サイトの改ざんなどの被害を受けるおそれがあります。このような攻撃による被害を受けないために、［2］対策を参考に、適切な対策を実施してください。

[2] 対策

これらの対策に加え、Web アプリケーションの脆弱性を悪用した攻撃に備えるため、Web Application Firewall (WAF) の導入などの防御策も有効です。休暇期間中において必要のないサーバなどは、サービスを停止しておくこともご検討ください。
また、Web サイトの管理者は、自身が管理する Web サイトに対して、脆弱性診断やペネトレーションテストを実施するなど、脆弱性の有無を日頃から確認しておくことも重要です。脆弱性が見つかった場合に、アップデートや回避策の適用が早期に実施できるように、必要な手順や体制等を備えておくことをおすすめします。

[JPCERT/CC]
注意喚起「Apache Struts 2 の脆弱性 (S2-045) に関する注意喚起」
https://www.jpcert.or.jp/at/2017/at170009.html

注意喚起「WordPress の脆弱性に関する注意喚起」
https://www.jpcert.or.jp/at/2017/at170006.html

[独立行政法人 情報処理推進機構(IPA)]
「安全なウェブサイトの作り方 改訂第７版」
https://www.ipa.go.jp/security/vuln/websecurity.html

ウェブサイトの攻撃兆候検出ツール iLogScanner
https://www.ipa.go.jp/security/vuln/iLogScanner/

Web Application Firewall 読本
https://www.ipa.go.jp/security/vuln/waf.html

[1] 概要

JPCERT/CCでは、日本語で書かれた業務メールなどを装い、情報窃取型マルウエアへの感染を誘導するばらまき型メール攻撃を確認しています。メールに添付されているファイルを実行したり、メール本文中の URL リンクをクリックしたりすることにより、使用している PC などの機器がマルウエアに感染する可能性があります。情報窃取型マルウエアに感染すると、保存されているインターネットバンキングなどの認証情報が窃取され、不正送金などの被害を受ける可能性があります。
ばらまき型メール攻撃で誘導される情報窃取型マルウエアとして、昨年は「URSNIF（別名：GOZI）」を確認していましたが、今年に入ってからは、Tor（The Onion Router）を使用することで通信経路を秘匿する機能が追加された新たなマルウエア「DreamBot」も確認しています。マルウエアへの感染を防ぐため、休暇明けにメールを開く際には、添付ファイルや本文の内容に十分ご注意ください。

マルウエアへの感染を誘導する不審なメールの例やマルウエア「DreamBot」については、以下の情報をご参照ください。

[一般財団法人日本サイバー犯罪対策センター(JC3)]
インターネットバンキングマルウェア「DreamBot」による被害に注意
https://www.jc3.or.jp/topics/dreambot.html

インターネットバンキングマルウェアに感染させるウイルス付メールに注意
https://www.jc3.or.jp/topics/virusmail.html

DreamBot・Gozi感染チェックサイト
https://www.jc3.or.jp/info/dgcheck.html

[2] 対策

マルウエア感染を未然に防ぎ、感染時の被害を低減するために、以下のような対策を実施することをおすすめします。

1. OS などのソフトウエアのセキュリティアップデートを適用する
2. ウイルス対策ソフトなどの定義ファイルを更新する
3. ハードディスクなどのウイルスチェックを行う
4. 使用している機器やソフトウエアのセキュリティ関連情報を確認する

休暇明けに組織内部のネットワークに、以下の PC などの機器を接続する際にはセキュリティ対策を実施してください。

・休暇中に使用していなかった PC などの機器
・休暇中に外部へ持ち出した PC などの機器

なお、ソフトウエアのアップデート情報に関しては、「VI. 修正プログラム情報」をご参照ください。

長期休暇に入る前に、以下の対応を行ってください。

　[システム管理者向け]

(1)	インシデント発生時の緊急連絡網が整備・周知されていることを確認する
(2)	休暇中に不要な機器の電源が切られていることを確認する 休暇中に起動する機器がある場合、不要なサービスを起動していないか、起動したサービスに不要な権限が付加されていないかを確認する
(3)	重要なデータのバックアップを行う
(4)	サーバの OS やソフトウエアなどに最新の修正プログラムが適用されていることを確認する。Web サーバ上で動作する Web アプリケーションの更新もあわせて行う
(5)	社員、職員が業務で使用している PC や、スマートフォンの OS やソフトウエア、その他のネットワークにつながる機器に修正プログラムの適用漏れがないかを確認し、社員、職員向けに同様の確認を行うように周知する

　[社員、職員向け]

(1)	インシデント発生時の連絡先を確認する。
(2)	業務で使用している PC や、スマートフォンの OS やソフトウエアなどに、最新の修正プログラムが適用されていることを確認する 　- Adobe Acrobat/Reader 　- Adobe Flash Player 　- Microsoft Office 　- Microsoft Windows 　- Oracle Java ※これら以外の OS やソフトウエアも必要に応じて修正プログラムを適用する
(3)	パスワードに、容易に推測できる文字列 (名前、生年月日、電話番号、アカウントと同一のものなど) や安易な文字列 (12345, abcde, qwerty, password など) を設定していないかを確認し、設定している場合は、適切に変更する
(4)	業務遂行の為、PC やデータを持ち出す際には、自組織のポリシーに従い、取り扱いや情報漏えいに細心の注意を払う

休暇明けは、以下の対応を行ってください。

　[システム管理者向け]

(1)	導入している機器やソフトウエアについて、休暇中に修正プログラムが公開されていないかを確認し、公開されていた場合は、それを適用し、その情報を社員、職員に向けて周知する
(2)	社員、職員に対して、休暇中に持ち出していた PC などの機器を確認するとともに、それらを組織内のネットワークに接続する前に、ウイルスチェックを行うよう周知する (必要に応じて確認用のネットワークを別途用意する)
(3)	休暇期間中のサーバへの不審なアクセスやサーバの不審な挙動がないかを確認する (サーバへのログイン認証エラーの多発、深夜など利用者がいない時間帯のログイン、サーバやアプリケーションなどの脆弱性を狙う攻撃など)
(4)	Web サーバで公開しているコンテンツが改ざんされていないかを確認する (不正なファイルが設置されていないか、コンテンツが別のものに書き変わっていないか、マルウエア設置サイトに誘導する不審なコードが埋め込まれていないかなど)

　[社員、職員向け]

(1)	出社後すぐに、ウイルス対策ソフトの定義ファイルを最新の状態に更新する
(2)	休暇中に持ち出していた PC などの機器や USB メモリなどは、使用前にウイルスチェックを行う
(3)	休暇中に修正プログラムが公開されていた場合は、システム管理者の指示に従い、修正プログラムを適用する
(4)	休暇中に受信したメールの中には標的型攻撃メールが含まれている可能性があるため、本文の内容および添付ファイルを十分に確認し、安易に添付ファイルを開いたり、メールに記載されているリンク先にアクセスしたりしないように注意する

JPCERT/CCでは、改ざんされた Web サイトや不正なプログラムの配布サイトなどに対して、関係機関を通じて調整活動を行っています。もし、これらに関する情報をお持ちの場合は、以下の Web フォーム、または電子メールで、JPCERT/CCまでご連絡ください。

　Web フォーム: https://form.jpcert.or.jp/
　電子メール : info@jpcert.or.jp

　※インシデントの報告についてはこちらをご参照ください
　　https://www.jpcert.or.jp/form/

　最近公開された重要な修正プログラムは以下をご参照ください。

[JPCERT/CC]

インシデント報告対応四半期レポート

高度サイバー攻撃(APT)への備えと対応ガイド～企業や組織に薦める一連のプロセスについて

高度サイバー攻撃への対処におけるログの活用と分析方法

以上