情報処理推進機構(IPA)は6月29日、潜伏している可能性のあるウイルスの感染検査を行うよう、注意喚起を行った。
IPAは6月1日の公的機関からの個人情報漏洩の報道を受け、対策と運用管理に関する注意喚起を6月2日、6月10日に行ってきた。今回の注意喚起は、「検知をすり抜けて侵入してしまったウイルスによる感染」の検査を推奨する目的で、端末内に潜伏するウイルスの有無を確認するための情報とノウハウを公開するもの。
全ての端末を検査することが困難だとしても、業務で外部からのメールを頻繁に受け付けていて、「組織内への感染の突破口となり得る」部署の端末などの優先順位の高いものから、可能な限り検査を進めることを推奨している。
標的型攻撃メールを使った攻撃は、(1)メールの着信、(2)ウイルス感染、(3)ウイルスの攻撃活動という流れで行われる。今回、被害にあった組織への攻撃メールは、件名に「医療費のお知らせ」「医療費通知のお知らせ」「健康保険のお知らせ」「謹賀新年」「新年のご挨拶」などのほか、標的となった組織の業務固有の件名などが用いられていたことが判明している。同様の件名のメールの添付ファイルを開く、あるいはリンク先のクリックなどによって、ウイルスが潜入している可能性があるという。
IPAが公開したウイルス潜伏の確認方法は、不審ファイルの名称や不審なファイルがある可能性のある箇所を、ファイルの存在と自動起動の2つの観点から検査すること。不審なファイルを発見した場合は、ウイルスが侵入を試みた可能性が高い。そのため、ウイルス活動の痕跡である端末からの外部通信情報を確認することを勧めている。
さらに、ウイルス感染が疑われた場合は、該当端末をネットワークから切り離し、ファイアウォールやプロキシサーバーで通信をブロックするよう勧告。該当端末が踏み台とされ、他の端末へウイルス感染が広がっている可能性も考えられるので、セキュリティベンダなどの専門家に相談するなど、正確な被害範囲や感染原因を把握した上で対応を進めることが重要。
詳細な手順はIPAサイトからダウンロードできる。
なお、この手順はIPAが現時点で把握している情報を基にしたもので、必ずしも全ての感染端末が発見できるものではない。