1. 情報セキュリティブログ ホーム
  2. セキュリティニュース
  3. IPAが組織のウィルス感染の早期発見と対応を呼びかけ

IPAが組織のウィルス感染の早期発見と対応を呼びかけ

IPAが組織のウィルス感染の早期発見と対応を呼びかけ独立行政法人 情報処理推進機構(IPA)は6月10日、企業・組織の経営者、システム管理者に対し、ウィルスの活動の痕跡の確認を行ない、早期の検知と被害低減に取り組む必要があると呼びかけた。

これは、組織や企業等を標的にした標的型攻撃の被害事案が相次いで報道される現状に鑑み、ウィルス感染の早期発見と対応をシステム運用管理の定常的な業務として取り込んでいくことを提言する内容だ。

IPAが提示する、ウィルス活動の痕跡を確認するポイントは以下の4点だ。

(1)ファイアウォール、プロキシサーバーの確認
ファイアウォールやプロキシサーバーのログを確認し、人間によるWebサイトの閲覧などでは起こりえない特徴的な通信が、特定の端末から発生していないかを確認する。

(2)業務上想定していない通信の確認
「プロキシを経由しない直接外部に向かう通信のログ」「意図しない外部に向かう通信のログ」などがないかを確認する。ただし、国内のWebサイトが改ざんされC&Cサーバー(コマンド&コントロールサーバー:マルウェアに感染したコンピュータ群に指令を送り、制御の中心となるサーバーのこと)になっている可能性もあるため、国内のWebサーバーへの通信も内容を精査する必要がある。

(3)Active Directoryのログの確認
Active Directory(Windowsサーバーでユーザーおよびコンピュータ管理を実行する機能)の運用をする組織は、「想定されないアカウントでのログイン」「想定されない端末やサーバーへのログイン」など、不審なログインなどのログがないかを確認する。

(4)Active Directoryサーバーやファイルサーバーなどの確認
見覚えのないタスクがタスクスケジューラーに登録されていないか、タスクのイベントログに見覚えの無いタスクの実行履歴が残っていないかを確認する。

また、上記を確認した結果、万が一、不審と思われる通信などを行っている端末を発見した際は、以下の対応を推奨している。

(1)該当の端末のネットワークからの切り離し
(2)ファイアウォールやプロキシサーバーでのブロック
(3)セキュリティベンダーなどの専門家への相談

そして、クライアント端末だけでなく、Active Directoryサーバーなどの内部サーバーにも、ソフトウェアの更新プログラムを適用するなどの脆弱性対策を継続するよう呼びかけている。

【注意喚起】組織のウィルス感染の早期発見と対応を(IPA)
サイバー攻撃調査をすぐにして――IPAが緊急提言(ITmedia)

【関連製品またはソリューションのご紹介】
サイバー攻撃対策ソリューション 
高度化する標的型攻撃、マルウェア、DDoS攻撃に加え、リスト型攻撃、オンライン不正送金などに対応する最適なサイバー攻撃対策をコンサルテーションからシステム運用・監視までトータルに提供します。

関連キーワード:

IPA

ウィルス

ファイアウォール

プロキシサーバー

標的型攻撃

  • セキュリティコンテスト「SECCON 2015」の開催概要が発表される
  • カテゴリートップへ
  • サイバー攻撃とは