1. 情報セキュリティブログ ホーム
  2. セキュリティニュース
  3. IPA、夏休みなどの長期休暇に備えたセキュリティ対策を喚起

IPA、夏休みなどの長期休暇に備えたセキュリティ対策を喚起

独立行政法人 情報処理推進機構(IPA)は、7月28日、企業等が夏季休業に入るお盆の時期を前に、長期休暇前後のセキュリティ対策につき注意喚起した。

これは、夏期休暇中はシステム管理者が不在になることでトラブル対応が遅れるといった事態が想定されることから、企業のシステム管理者や社員、個人に向けたセキュリティ上の注意事項などを紹介したものだ。

IPAによると、最近ではWebサイトが不正に改ざんされ、閲覧したユーザーのパソコンにウィルスを感染させる被害が増えている。また、Webサービスに対するサービス妨害(DDoS)攻撃や、USBメモリーなどを介した機密情報の漏えい、パスワード漏えいによる成りすましなどの事例が増えているという。

同様に、家庭では、Webサイトを閲覧しただけで、パソコンがウィルスに感染させられる(ドライブバイダウンロード)事例や、TwitterなどのSNSを介した攻撃、アダルトサイトなどのワンクリック架空請求などが増加している。

こうした被害に逢わないよう、以下の注意事項を確認することが推奨される。

システム管理者

(1)不測の事態が発生した場合に備えて、委託先企業を含めた緊急連絡体制や対応の手順が明確になっているかを確認。電力不足による計画停電や自然災害による停電が発生する可能性がゼロではないため、考慮しておく。サービス妨害攻撃を隠れみのにしながら侵入し、個人情報を盗むサイバー攻撃の事件も増加しているので注意する。

(2)業務用のパソコンやデータなどを組織外に持ち出す場合のルールを明確にし、従業員に徹底する。データを保管したUSBメモリーなどの外部記憶媒体を紛失した場合に備え、適切な暗号化を施すその手続きが適切に運用されているかも確認する。

(3)Winnyなどのファイル共有ソフトによる情報漏えい事故が起きないよう、業務関係の情報を扱う場合の注意点を従業員に徹底しておく。

(4)組織の情報システムにアクセスできる権限が適切に割り当てられているか確認する。外部から接続できるサーバで、不要なサービスが動作していないかを確認する。節電のため、休暇中に使用しないサーバやパソコンの電源を切るよう従業員に徹底する。

(5)管理するサーバやパソコンのOSに修正プログラムを適用して、最新のバージョンに更新し、脆弱性を解消する。

(6)管理するサーバやパソコンのアプリケーションも修正プログラムを適用して、最新のバージョンに更新しておく。

(7)管理するサーバやパソコンで使用しているウィルス対策ソフトの定義ファイルを常に最新の状態になるように設定する。

(8)業務で使用するIDやパスワードを他の業務や私的に利用しているインターネットサービスなどで使い回している場合、速やかにパスワードを変更する。

企業でのパソコンユーザー

長期休暇明けには、以下の対策の実施が推奨される。

(1)長期休暇中にOSやアプリケーションの修正プログラムが公開される可能性があり、休暇後には修正プログラムの有無を確認し、必要な修正プログラムを適用する。更新する際はシステム管理者の指示に従う。

(2)休暇中に電源を切っていたパソコンは、ウィルス対策ソフトの定義ファイルが休暇前のままになっていることがある。電子メールやWebサイトを閲覧する前に定義ファイルを更新し、最新の状態にしておく。

(3)休暇中に持ち出したパソコンやデータを格納していたUSBメモリーなどの外部記憶媒体にウィルスが感染している可能性があるのでウィルスチェックをしてから使用する。Windows パソコンには外部記憶媒体を接続した際に自動的に実行される機能があり、この機能を悪用されてウィルスに感染してしまうことがある。この機能は無効にすることができるので、システム管理者の指示に従って設定する。

家庭でのパソコンユーザー

(1)使用しているパソコンのOSやアプリケーションに修正プログラムを適用して、最新のバージョンに更新し、脆弱性を解消しておく。またウィルス対策ソフトの定義ファイルを常に最新の状態に保つ。

(2)USBメモリーなどの外部記憶媒体のうち、所有者不明や自身が管理していないものは接続しないこと。Windows パソコンには外部記憶媒体を接続した際に自動的に実行される機能があり、この機能を悪用されてウィルスに感染してしまうことがある。この機能は無効にできるので、事前に設定しておきたい。IPAが提供する無償ツールを活用しても設定が行える。

(3)ウィルス感染などでパソコンが動かなくなってしまう場合に備えて、必要なデータは外部記憶媒体などへバックアップする。

(4)Winnyなどのファイル共有ソフトを使用しているパソコンが「暴露ウィルス」に感染すると、保存してあるファイルが不特定多数の第三者に流出してしまう。過去を含め、業務関係のデータを扱ったパソコンでWinnyなどのファイル共有ソフトを使わないこと。家族と共用しているパソコンでは、自身がファイル共有ソフトを使っていなくても家族が使えば情報漏えいする可能性がある。

(5)SNSを悪用して相手の個人情報を収集したり、不正なプログラムに感染させようとしたりする人間がいる。他人の情報に書かれているURLを不用意にクリックしないこと。特にTwitterでは、本来のURLが見えない「短縮URL」を悪用した攻撃が確認されているので、不用意に短縮URLをクリックしない。

(6)「ワンクリック請求」を行うWebサイトを含め、年齢確認の同意を求める画面が表示された場合は、年齢確認以外にサイト利用時の規約も表示されることがある。この利用規約も熟読し、その先の利用を判断すること。利用規約内に料金が明示されていれば有料サイトの可能性がある。トラブルに巻き込まれないようにするには、それ以上は先に進まず、利用を中止するべき。

(7)複数のインターネットサービスでIDやパスワードを使い回している場合、異なるパスワードに変更する。

なお、詳細は以下のIPAのページを参照してほしい。

夏休みにおける注意喚起(IPA)
夏休みに心掛けたい会社や家庭でのセキュリティ対策(ITmedia)

関連キーワード:

IPA

Twitter

Winny

  • Wi-Fiダイレクト(Wi-Fi Direct)とは
  • カテゴリートップへ
  • MacBookのバッテリーファームウェアに脆弱性