ニュース

組織内に潜伏するウイルスの感染検査実施を、IPAが注意喚起

 独立行政法人情報処理推進機構(IPA)は29日、被害が相次ぐ組織のウイルス感染に対する注意喚起として、“検知をすり抜けて侵入してしまったウイルスによる感染”の検査を推奨する目的で、端末内に潜伏するウイルスの有無を確認するための情報とノウハウを公開した。

 最近のウイルス感染被害では、外部の機関からの通報などによって初めて感染に気付かされるケースが多くなっている。こうしたことから、「自組織においても感染に気が付かないまま、潜伏されているのでは」との懸念が高まっていると説明。IPAではこれまでも対策と運用管理に関する注意喚起を行ってきたが、今回の注意喚起では端末内に潜伏するウイルス感染の有無を検査する方法を紹介している。

 標的型攻撃メールを使った攻撃は、1)メールの着信、2)ウイルス感染、3)ウイルスの攻撃活動――が一連の流れとなっている。最近、被害にあった組織への攻撃メールでは、件名に「医療費のお知らせ」「医療費通知のお知らせ」「健康保険のお知らせ」「謹賀新年」「新年のご挨拶」などのほか、標的となった組織の業務固有の件名などが用いられており、こうした件名のメールの添付ファイルを開いたり、リンクのクリックなどによりウイルスが潜入している可能性があるとして、潜伏するウイルスの有無の確認を行うことを呼び掛けている。

 確認手順としては、まず不審なファイルの有無を確認する方法として、昨今の標的型攻撃で用いられたウイルスのファイル名と、それらのファイルが保存されているフォルダ名を挙げ、該当ファイルが存在するかを検索する手順を紹介している。

 次に、自動起動設定に不審なファイルが登録されていないかを、スタートアップフォルダ、タスクスケジューラ、レジストリのそれぞれで検索。不信なファイルを発見した場合には、該当端末をネットワークから切り離すことや、セキュリティベンダーなど専門家に相談することを対策として挙げている。

 また、不審な通信を確認する方法として、通信状況の取得、通信先の確認、接続を行っているプロセスの確認を行う方法を紹介。不審な通信を対応した場合も同様に、該当端末をネットワークから切り離すことや、セキュリティベンダーなど専門家に相談することと、ファイアウォールやプロキシサーバーで通信をブロックすることを挙げている。

 IPAでは、組織内すべての端末検査は困難でも、業務で外部からのメールを頻繁に受け付けていて、“組織内への感染の突破口となり得る”部署の端末など、優先順位の高い端末から、可能な限り検査を進めることを推奨するとしている。

三柳 英樹