インターネットに接続されていないクローズドな環境に保管してある重要情報の"USBメモリによる移動"をターゲットにした攻撃を確認したとして30日、JPCERT/CCや@Policeが注意喚起を行っている。
攻撃は、接続されたUSBメモリの中のファイル一覧を取得し、標的とするファイルリストを作成、対象ファイルを圧縮してネットワークに繋がる感染端末に保存。外部へ送信するという仕組みを持つ。そのため、ネットワークに接続されていないPCに重要情報を保管し、USBメモリで移動しているようなケースでの情報窃取が懸念される。
 |
攻撃の概要 @Policeより |
対策として、以下を推奨している。
調査
・「C:¥intel¥logs」や「C:¥Windows¥system32」の下に正規の実行ファイルに似た名前の実行ファイル(例:「intelUPD.exe」、「intelu.exe」、「IgfxService.exe」など)
・「interad.log」や「slog.log」といった不正なファイル
・使用していない「RAR」形式のファイル
がないかを確認する。(具体名は現在判明の例、ファイルやパスも異なる場合がある)
情報漏えい防止対策
・機密性が高い情報を扱うネットワークからデータを持ち出す際は、暗号化を行う。
・インターネットに接続したネットワークにUSBメモリを接続し、当該データをメール等を利用し外部に送信する場合は、当該データを暗号化したままの状態で送信する。
・ USBメモリ内のデータは速やかに消去する。
・不要な端末間通信を無効にする。
その他、プロキシログの監視、ファイアウォールの設定や侵入検知システム(IDS)、侵入予防システム(IPS)の導入、ウイルス対策、OSやアプリケーションの最新版への更新、脆弱性診断など一般的な措置を定期的に行う
