情報処理推進機構(IPA)は4月22日、ゴールデンウィークの長期休暇中およびその前後における情報セキュリティに関する注意喚起を発表した。
注意喚起はPCやスマートフォン、タブレットなどの利用により休暇中や休暇明けに、企業でのトラブルや顧客へのウイルス感染、情報漏えい、及び家庭でのトラブルに遭わないようにするために行なっている。万が一トラブルが発生した場合に被害が拡大しないよう、システム管理者や企業の一般利用者、家庭での利用者、スマートフォンやタブレットの利用者を対象にした情報セキュリティ対策で構成されている。
システム管理者向けの対策としては以下の項目を挙げている。
OpenSSLの脆弱性への対応
OpenSSLに情報漏えいの脆弱性が発見された。この脆弱性を悪用された場合、本来秘匿すべき情報が漏えいする可能性があるため、OpenSSLを利用しているサイトの管理者は至急対策を実施する。
緊急対応体制、盗難・紛失時の連絡体制
不測の事態が発生した場合に備えて、委託先企業を含めた緊急連絡体制や、パソコン、スマートフォン、タブレットの盗難・紛失時の連絡体制などの対応手順が明確になっているか再確認する。
最新バージョンの利用
管理しているサーバーやパソコンのOSに修正プログラムを適用し、最新のバージョンに更新することで、脆弱性を解消する。Windowsユーザーは、「Windows Update」や「Microsoft Update」が利用できる。
修正プログラムの適用
管理しているサーバーやパソコンのアプリケーションソフト(ブラウザやメールソフト、動画閲覧ソフト、ドキュメントファイル閲覧ソフト、CMS、サーバー管理ツール等)に修正プログラムを適用し、最新のバージョンへ更新する。
パターンファイルの更新
管理しているサーバーやパソコンで使用しているセキュリティソフトの定義ファイル(パターンファイル)を最新な状態に設定すると共に、休み明けにも確認する。
情報持出しルールの徹底
業務用のパソコンやスマートフォン、タブレットやデータ等を組織外に持ち出す場合のルールを明確にし、従業員に再徹底し、パソコンやスマートフォン、タブレットに本来入れてはいけないデータが入っていないか、貸し出す前にその都度確認する。
個人が所有するパソコンやスマートフォン、タブレットを業務に活用している場合、組織のルールから逸脱していないか確認し、パソコン、スマートフォン、タブレットやデータを保管したUSBメモリ等の外部記憶媒体を紛失した場合に備え、適切な暗号化を施すことを推奨する。また、その手続きが適切に運用されているかの確認する。
アクセス権限の再確認
組織の情報システムにアクセスできる権限が適切に割り当てられているかの再確認、外部から接続できるサーバーで不要なサービスが動作していないかの再確認、休暇中に使用しないサーバーやパソコンの電源は切るよう従業員へ再徹底する。
情報取扱いルールの徹底
Winny等のファイル共有ソフトによる情報漏えいが起きないよう、業務関係の情報を扱う場合の注意点を従業員に再徹底する。
パスワード管理の徹底
業務で使用しているIDやパスワードと同じものを他の業務や私的に利用しているインターネットサービスなどでも使っている場合、速やかにパスワードを変更し、パスワードを初期設定のままで利用していないかどうか確認する。
サイバー攻撃対策の点検
現在運用しているシステムやサービスについて、サイバー攻撃への対策状況を点検し、対策の強化が必要であれば早急に実施する。
また、企業の一般利用者が行う対策についても詳細に説明している
修正プログラムの適用
休暇中にOSやアプリケーションソフトの修正プログラムが公開される可能性がある。休暇明けには、修正プログラムの有無を確認し、必要な修正プログラムを適用し、更新を行う場合は、システム管理者の指示に従う。
パターンファイルの更新
休暇中に電源を切っていたパソコンは、セキュリティソフトの定義ファイル(パターンファイル)が休暇前の古いままになっていることがある。電子メールを送受信したりWebサイトを閲覧したりする前にセキュリティソフトの定義ファイルを更新し、最新の状態にする。
利用前のウイルスチェック
休暇中に持ち出したパソコンや、データを格納していたUSBメモリ等の外部記憶媒体にウイルスが感染している可能性があるため、ウイルスチェックを行ってから使用する。
メールの取り扱いの徹底
特定の企業や組織を装い、ウイルスメールを送りつける"標的型攻撃"が多く見受けられる。
当該メールは、政府機関や関連企業を思わせる組織名やメールアドレスを詐称し、一見もっともらしいタイトルや本文、業務に関連するキーワードを使ったリンク、マイクロソフトワード文書やエクセルファイルなどに見せかけた(実はウイルス)ファイルの添付など、メール受信者がうっかり信じて開封するような仕掛けがされている。
添付ファイルを開いたり、リンクをクリックしたりすることで、パソコンがコンピュータウイルスに感染する可能性がある。少しでも不自然だと感じたメールの添付ファイルやリンクは、絶対開いたりクリックしたりしない。
一方、家庭におけるPCを利用する際の対策も言及している。
最新バージョンの利用や修正プログラムの適用
使用しているパソコンのOS(基本ソフト)に修正プログラムを適用し、最新のバージョンに更新することで、ぜい弱性を解消する。 Windowsユーザーは、「Windows Update」や 「Microsoft Update」が利用できる。
なおWindows XPは既にサポートが終了しており、修正プログラムが提供されないため、ぜい弱性を解消できず非常に危険。Windows XP利用者は直ちに他のOS(基本ソフト)に移行することを推奨する。
使用しているパソコンのアプリケーションソフト(インターネット閲覧ソフト、メールソフト、動画閲覧ソフト、ドキュメントファイル閲覧ソフト等)にも修正プログラムを適用し、最新のバージョンに更新する。さらに、セキュリティソフトの定義ファイル(パターンファイル)を常に最新の状態にして使用する。
ログインが必要なサイト利用時の注意
通常、ネットバンキング等のWebサイトではログインに必要なIDやパスワード等が漏えいしないよう、暗号化のためのソフトウェアが使われている。しかしそのソフトウェアの1つであるOpenSSLに脆弱性が発見されました。OpenSSLが使われたWebサイトでは情報漏えいの危険性がある。
URLの冒頭に「https」があれば、本来暗号化されていることを示すものだが、OpenSSLの影響を受けていないかどうか、Webサイト運営者に確認し、安全を確認した上でWebサイトを使用する。
インターネットバンキング利用時の注意
インターネットバンキングにおいて、パソコンがウイルスに感染してしまったことが原因で、不正送金の被害に遭うケースが増えている。パソコンのウイルス感染を防ぐために、パソコンのOSと各種ソフトウェアは常に最新の状態で使う。
インターネットバンキングなどの金融機関が、第二認証情報(乱数表や合言葉など)すべての入力を利用者に求めることはない。第二認証情報「すべて」の入力を促す画面が表示された場合は、絶対に情報を入力しないようにする。
通常の利用時と異なる入力の要求があった場合は、入力せずに、サービス提供元に電話などで確認する。
USBメモリ等の取り扱いの徹底
所有者が不明もしくは自身が管理していないUSBメモリ等の外部記憶媒体は自身のパソコンに接続しない、また自身が管理していないパソコンに自身の外部記憶媒体を接続しない、などでウイルス感染を防ぐ。
必要データのバックアップの推奨
ウイルス感染等でパソコンそのものが動かなくなってしまう場合に備え、必要なデータは外部記憶媒体等へバックアップすることを勧める。
特にランサムウェアと呼ばれるウイルスに感染すると、ウイルス自体を駆除しても、ファイルやフォルダは暗号化されたままの状態となって元に戻せない可能性がある。
情報取扱いルールの徹底
Winny等のファイル共有ソフトを使っているパソコンが、Antinny等の暴露ウイルスに感染すると、パソコン内に保存してあるファイルがインターネット上に流出してしまう。業務関係のデータを扱ったことのあるパソコンでWinny等のファイル共有ソフトを使うのは情報漏えいの危険性が高いのでやめる。
家族と共用しているパソコンの場合、自分がファイル共有ソフトを使っていなくても家族が使えば情報漏えいする可能性があるので、業務関係のデータを共用パソコンで扱うのは絶対に避ける。
SNS利用上の注意
SNSは、人と人とのコミュニケーションツールであり、信頼関係で成り立っていますが、それを悪用して相手の個人情報を収集したり、ウイルスに感染させようとする人もいる。SNSにおいて他人のページ等に書かれているURLを不用意にクリックしないようにする。
特にTwitterでは、本来のURLがわからない"短縮URL"を悪用した攻撃が確認されている。不用意に"短縮URL"をクリックしないように注意し、また、SNSから情報を発信する場合は、情報公開の範囲を確認し、不用意に情報が公開されてしまうことのないようにする。
Webサイト利用時の注意
「ワンクリック請求」などの年齢確認の同意を求める、『はい』か『いいえ』のボタンをクリックさせる画面が表示された場合、年齢確認以外にWebサイト利用時の規約も表示されているので、この利用規約をよく読み、その先のWebサイトの利用を判断する。
利用規約内に料金が明示されていれば有料サイトかもしれないので、トラブルに巻き込まれたくなければ、それ以上先に進まず、そのWebサイトの利用は中止することを勧める。
パスワード管理の徹底
複数のインターネットサービスで同じIDやパスワードを使っている場合、異なるパスワードに変更する。
最後に、近年利用者が増えつつあるスマートフォン、タブレットを利用するユーザーへの注意喚起も行なわれる。
スマートフォン、タブレット使用ルールの徹底
スマートフォンやタブレットで使用するアプリには、内部の情報を窃取するものが存在する。個人利用のスマートフォンやタブレットを業務に利用している場合は、所属する組織の業務規程に従う。
スマートフォン、タブレット使用時の注意
不正アプリのインストールを防ぐためには、パソコンと同様に信頼できない場所からアプリをダウンロードしないことが重要だという。
さらに、アプリをインストールする際に表示される「パーミッション」(アプリがスマートフォンやタブレットのどの情報/機能にアクセスするのか、許可を定義したもの)の一覧には必ず目を通し、不自然なアクセス許可や求めているアクセス許可を疑問に感じた場合には、そのアプリのインストールを中止する。
スマートフォンやタブレットを机などに置いたままでその場を離れた際、誰かに不正に使用されることのない様、スマートフォンやタブレットはパスワードロック機能を必ず有効にし、ロックまでの待ち時間を1分程度の短い時間で設定する。
セキュリティアプリの導入
不正アプリの被害以外では、正規のアプリ名に似せた偽のアプリをインストールしてしまうことでウイルスの感染被害に遭ってしまう場合がある。
こうした被害に遭わない様に、Android OSのスマートフォンやタブレットの利用者は、ウイルス感染の可能性をより低減させるためにセキュリティアプリを導入する。
セキュリティアプリを入れて最新の状態に保っておくと、ウイルスの感染を事前に食い止められる場合がある。
