IPAは6月10日、組織のウイルス感染の早期発見と対応に関する注意喚起を公表した。この喚起は、企業・組織の経営者、システム管理者を対象に行われたものだ。

標的型サイバー攻撃の被害事案増加を踏まえ、その対策と運用管理の注意喚起が6月2日に行われた。今回の注意喚起は、相次ぐ報道を受け、多くの組織においてウイルス感染の有無に関する懸念が広がっていると想定されることから実施された。

ウイルス感染の懸念がある場合、まずウイルスに感染して攻撃活動が始まっていないか、ウイルスの活動の痕跡の確認を行う必要がある。このような確認が、ウイルスの早期検知と被害低減につながるという。ウイルス活動の痕跡を確認するには、以下の4つのポイントがある。

ファイアウォール、プロキシサーバーの確認

ファイアウォールやプロキシサーバーのログにおいて、ウイルスによる外部のC&Cサーバー(感染PCに命令を送るサーバー)への通信を確認する。このログで、数秒や数分間隔で繰り返し行われているなど、人間によるウェブサイトの閲覧では起こりえない特徴的な通信が行われていないか、注意する必要がある。

業務上想定していない通信の確認

ウイルスはプロキシサーバーを経由せずに直接外部へ通信を試みる場合がある。そのため、端末のインターネット接続がすべてプロキシ経由で、直接のインターネット接続は遮断されている場合は注意が必要だ。直接外部と通信を行おうとして遮断されている通信がないか、ファイアウォールにおいてブロックされた通信のログを確認することも重要だという。

また、Active Directoryサーバーやファイルサーバーなどの端末からWindows Updateなどの通信を除いたインターネット向けの通信が無いか確認したい。もし通信があれば、意図的なものか注意が必要だ。なお、国内のサイトが改ざんされ、C&Cサーバーとなっている可能性もある。そのため、国内のウェブサーバーへの通信だから安全とは判断せずに、通信内容を精査する必要がある。

Active Directoryのログの確認

Active Directoryを運用している組織は、ログなどから下記のような不審な兆候がないか確認する必要がある。

  • 想定されないアカウントでのログイン

  • 想定されない端末やサーバーへのログイン

  • 想定されない端末での管理者ログイン

  • 想定されない時間帯のアクセス

  • 想定されない管理者操作やポリシーの変更

Active Directoryサーバーやファイルサーバーなどの確認

見覚えのないタスクがタスクスケジューラーに登録されていないか確認する。また、タスクのイベントログに見覚えのないタスクの実行履歴が残っていたら注意する必要がある。

また、不審と思われる通信などを行っている端末を発見した際はすぐに対応する必要がある。対処方法は下記の4点だ。

該当の端末をネットワークから切り離す

これにより、被害は最小限に抑えられる。その上で該当の端末や通信ログなどを詳細に調査する。

ファイアウォールやプロキシサーバーでのブロック

不審な通信先を発見した場合、ファイアウォールやプロキシサーバー、導入済みの場合はウェブフィルタリングシステムで、不審な通信先との通信をブロックする。これにより、更なる通信が防げる。

セキュリティベンダなどの専門家に相談する

正確な被害範囲や感染原因を把握した上で対応を進める。これにより、該当の端末が踏み台とされ、既に他の端末へウイルス感染が広がっている場合の被害拡大を防げる。

このほか、継続的な脆弱性対策を実施することも重要だという。攻撃者に一度侵入されてしまうと、Active Directoryサーバーなどの内部サーバーの脆弱性も攻撃者に悪用される恐れがある。IPAでは、クライアント端末だけではなく、Active Directoryサーバーなどの内部サーバーにもソフトウェアの更新プログラム(パッチ)の適用することを推奨している。