企業や組織のシステム管理者と社員・職員向けの主な対応項目は次の通りだ。
- インシデント(事故)発生時の連絡網が整備、周知されているか確認する
- 休暇中に不要な機器の電源は切り、起動する必要がある機器は設定を見直し、不要なサービスがないか、起動中のサービスに不要な権限が付加されていないかを確認する
- 重要なデータをバックアップする
- サーバのOSやソフトウェアなどに最新のセキュリティ更新プログラムが適用されていることを確認する。Webアプリケーションも忘れずに更新する
- 社員や職員が業務で使用するPC、スマートフォンなどOS、ソフトウェアのセキュリティ更新プログラムの適用もれがないか社員や職員に周知する
- インシデント発生時の連絡先を確認する
- 業務で使用するPCやスマートフォンのOS、ソフトウェアなどに最新のセキュリティ更新プログラムを適用する
- パスワードに、容易に推測できる文字列(名前、生年月日、電話番号、アカウントと同一のものなど)や、安易な文字列(12345、abcde、qwert、passwordなど)を設定していないか確認する
- 業務のためにPCやデータを持ち出す際には、ポリシーに従い、その取り扱いや情報漏えいに細心の注意を払う
- 休暇中にセキュリティ更新プログラムが公開されていないか確認し、公開されていた場合は適用して社員や職員向けに周知する
- 社員や職員向けに休暇中に持ち出していたPCなどを組織内のネットワークへ接続する前に、ウイルスチェックを行うように周知する(確認用のネットワークを別途用意するなどの準備する)
- 休暇中にサーバへの不審なアクセスがなかったか確認する(サーバへのログイン認証エラーの多発や利用者がいない深夜時間帯などのログイン、サーバやアプリケーションなどの脆弱性を狙う攻撃など)
- Webサーバで公開しているコンテンツが改ざんされていないか確認する(コンテンツが別のものに書き変わっていないか、マルウェアサイトに誘導する不審なコードが埋め込まれていないか、など)
- 休暇中にセキュリティ更新プログラムが公開されたかどうか確認し、システム管理者の指示に従って適用する
- 出社後すぐにウイルス対策ソフトの定義ファイルを最新の状態に更新する
- 休暇中に持ち出したPCやUSB メモリなどは、事前にウイルスチェックしてから使用する
- 休暇中に受信したメールの中には標的型攻撃メールが含まれている可能性がある。安易に添付ファイルを開いたり、メールに記載されているリンク先にアクセスしたりしない
2015年は企業や組織に対する標的型サイバー攻撃によって情報漏えい事故が多発している。標的型サイバー攻撃は高度な手口が使われるため、平時でも企業や組織が自分たちで発見するのは非常に難しいと言われる。特に監視の目が行き届きにくくなる長期休暇では特に注意が必要だ。
ただ、企業や組織の機器のログなどから標的型サイバー攻撃の可能性が考えられる痕跡を発見できる場合もあり、JPCERT/CCではログから痕跡を見つけ出す方法などを紹介している。「休暇明けでのサーバのログの確認などに参考にしてほしい」としている。
攻撃の痕跡が残る機器の一例。なお、機器によっては標準設定でログ出力が行われないものがあるため、ログを取得できるように設定を変更する必要がある(出典:JPCERT/CC)
Copyright © ITmedia, Inc. All Rights Reserved.