2022年1月以降に確認された影響範囲の広い脆弱性情報や脅威情報などに関するトピックをまとめました。以下を参考に対策をご検討ください。
また、⻑期休暇期間中は、インシデント発⽣に気付きにくく、発⾒が遅れる可能性があります。休暇期間中にインシデントが発覚した場合に備えて対応体制や関係者への連絡⽅法などを事前に調整し、休暇明けには不審なアクセスや侵⼊の痕跡がないか、機器のログを確認することを推奨します。
I. マルウェアEmotetの感染再拡大に関する注意喚起
[1]概要
2021年11月後半より活動の再開が確認されているマルウェアEmotetの感染に関して相談を多数受けています。特に2022年2月の第一週よりEmotetの感染が急速に拡大していることを確認しています。
注意喚起を発行した2月の時点で、Emotetに感染しメール送信に悪用される可能性のある.jpメールアドレス数は、Emotetの感染が大幅に拡大した2020年に迫る勢いとなっており、 3月に入ると感染ピーク時の約5倍以上に急増しました。また、国内感染組織から国内組織に対するメール配信も増えています。
感染のさらなる拡大を防ぐため、改めて、取引先などから送られているようにみえるメールでも安易に添付ファイルの実行や文中のURLクリックをしないようご注意いただき、組織内で注意を呼びかけるなど警戒を高めていただくことを推奨します。また、感染の恐れがある場合、EmoCheckやFAQの内容を参考に、感染被疑端末や自組織での感染有無やインフラの悪用有無などの調査や対応を実施してください。
[2]対策
Emotet感染時の対応については次の資料を参照してください。
JPCERT/CC
マルウェアEmotetの感染再拡大に関する注意喚起
https://www.jpcert.or.jp/at/2022/at220006.html
JPCERT/CC
マルウエアEmotetへの対応FAQ
https://blogs.jpcert.or.jp/ja/2019/12/emotetfaq.html
JPCERT/CC 解説動画
日本中で感染が広がるマルウェアEmotet(2022年3月7日公開)
https://www.youtube.com/watch?v=wvu9sWiB2_U
II. 侵入型ランサムウェア攻撃を受けたら読むFAQ
[1]概要
2022年1月13日、JPCERT/CCは「侵入型ランサムウェア攻撃を受けたら読むFAQ」を公開しました。ランサムウェアを用いた攻撃の内、『企業や組織の内部ネットワークに攻撃者が「侵入」した後、情報窃取やランサムウェアを用いたファイルの暗号化などを行う攻撃』を「侵入型ランサムウェア攻撃」として区別し、被害に遭った場合の初動対応のポイントや留意点などをFAQ形式で記載しました。
ランサムウェアを用いた攻撃は、一台から数台の端末の感染被害から、業務停止を引き起こす大規模な感染被害に至るものまでさまざまです。「侵入型ランサムウェア攻撃」の被害を受けてしまった場合に、適切な対応を迅速に行えるよう、被害組織や初動対応支援にあたる関係者の初動対応時の意思決定や対応の円滑化などのために本資料をご活用ください。
侵入型ランサムウェア攻撃を受けたら読むFAQ
https://www.jpcert.or.jp/magazine/security/ransom-faq.html
III.情報漏えいを伴うインシデント対応上の注意点
[1]概要
最近、被害が多く確認されているマルウェアEmotetや侵入型ランサムウェアなどによる攻撃では、被害組織やその取引先の情報の漏えいが伴うケースが多く存在します。 情報の漏えいのしかたや悪用方法はさまざまですが、自組織の情報が漏えいした際の対応について、事前に対応手順を整備しておくことを推奨します。
[2]注意点
マルウェアEmotetや侵入型ランサムウェアなどに見られる最近のインシデントでは、次のような被害が発生することがあります。
- Emotetの感染による自組織等の情報を悪用されたメールの配信
- 二重の脅迫によるリークサイトでの自社情報の公開
- システムの停止による提供サービスの停止
これらの被害は、従来のインシデントと比べ、その被害状況を第三者にすぐに知られてしまう可能性がございます。
攻撃の種類にもよりますが、次のような対応手順、体制を検討してください - 漏えいした可能性のある情報の把握 - リークサイトに公開された内容の真偽の確認 - 個人情報の漏えいの有無 - 侵入経路等の把握およびその対処 - インシデントの報告先の確認 - プレスなどの発信の有無
また、2022年4月より改正個人情報保護法が施行されており、 個人情報の漏えい等が発生した場合に、個人の権利利益を害する恐れの大きい事態については、個人情報保護委員会への報告および本人への通知が義務化されました。
改正個人情報保護法 特集
https://www.ppc.go.jp/news/kaiseihou_feature/
その他、いくつかの変更や新設項目がございますので、自社の体制が本改正に対応できているかどうか確認をすることを推奨します。
V. JPCERT/CCからのお願い
JPCERT/CCでは、改ざんされたWebサイトや不正なプログラムの配布サイトなどに対して、関係機関を通じて調整活動を行っています。 もし、これらに関する情報をお持ちの場合は、以下のWebフォーム、または電子メールで、JPCERT/CCまでご連絡ください。
JPCERT/CCインシデント報告(発見報告・被害報告・被害対応依頼) | |
---|---|
info@jpcert.or.jp | |
Webフォーム | https://www.jpcert.or.jp/form/#web_form |
※インシデント報告、対応依頼の詳細はhttps://www.jpcert.or.jp/form/をご覧ください。
VI. 修正プログラム情報
最近公開された重要な修正プログラムは以下をご参照ください。
[マイクロソフト]
2022 年 4 月のセキュリティ更新プログラム
https://msrc.microsoft.com/update-guide/ja-JP/releaseNote/2022-Apr
Microsoft Update カタログ
https://www.catalog.update.microsoft.com/
Windows Update:よくあるご質問
https://support.microsoft.com/ja-JP/help/12373/windows-update-faq[アドビ]
Security update available for Adobe Commerce | APSB22-13
https://helpx.adobe.com/security/products/magento/apsb22-13.html
Security update available for Adobe Acrobat and Reader | APSB22-16
https://helpx.adobe.com/security/products/acrobat/apsb22-16.html
Security Updates Available for Adobe After Effects | APSB22-19
https://helpx.adobe.com/security/products/after_effects/apsb22-19.html
Security update available for Adobe Photoshop | APSB22-20
https://helpx.adobe.com/security/products/photoshop/apsb22-20.html
VII.参考情報
[JPCERT/CC]
インシデント報告対応レポート
https://www.jpcert.or.jp/ir/report.html
STOP! パスワード使い回し!
https://www.jpcert.or.jp/pr/stop-password.html
適切なパスワードの設定・管理方法について
https://www.jpcert.or.jp/newsflash/2018040401.html
ログを活用したActive Directoryに対する攻撃の検知と対策
https://www.jpcert.or.jp/research/AD.html
[IPA]
サーバ用オープンソースソフトウェアに関する製品情報およびセキュリティ情報
https://www.ipa.go.jp/security/announce/sw_security_info.html
一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)
早期警戒グループ
Email:ew-info@jpcert.or.jp