本文
企業・団体の皆様へ サイバー犯罪への備えと被害時の通報を!
企業・団体を狙ったサイバー犯罪が発生しています
企業・団体を狙った様々なサイバー犯罪が発生しています。
業務システムの停止や機密情報、顧客の個人情報などの漏えいが発生すれば、信頼失墜、売上低下など、経営を揺るがす問題となりかねません。
被害を防ぐには、平素からの備えが重要となります。
また、万が一、被害に遭った場合は警察への通報をお願いします。
ウェブサイト対策
ウェブサイトが改ざんされると
ウェブサイトが改ざんされると、ウェブサイトのコンテンツが管理者の意図しない状態に変更されたり、意図しないファイルを蔵置されます。
その結果、自社のウェブサイトで正しい情報を発信できなくなるだけでなく、
●ウェブサイトの管理画面にアクセスできなくなる
●ウェブサイトにウイルスが埋め込まれ閲覧者が感染する
●ECサイトの商品注文フォームに不正なコマンドが入力され顧客の個人情報が流出する
●顧客が偽の商品注文フォームに誘導され入力した個人情報が盗まれる
などの被害が発生します。
被害に遭ったら
被害に遭った機器の調査
再発防止のため、パソコン、サーバー、ネットワーク機器等のログを確認するなどして、ウェブサイト改ざんの原因を調査してください。
他のマルウェアやハッキングツール等の影響を受けている可能性があるため、改ざんが確認されていないパソコンやサーバも含めて調査することを推奨します。
ウェブアプリケーション、CMSなどのぜい弱性対策
調査結果を踏まえ、利用しているOSやCMS(コンテンツ・マネージメント・システム)、ソフトウェア、ネットワーク機器の更新ファイルを適用して脆弱性対策を施しましょう。
特に、CMSの脆弱性を狙われてウェブサイトが改ざんされる被害が多数確認されています。
パスワードの変更
再発を防止するため、攻撃者からアクセスされた可能性があるパソコン、サーバー、ネットワーク機器のパスワードを速やかに変更しましょう。
アクセスログの保管
改ざんを受けたウェブサイトのサービスを直ちに停止し、管理者画面やデータベースへのアクセスログの保存、印字などを行い証拠を保全してください。
警察への通報・相談
アクセスログ等の資料を準備して、最寄りの警察署または警察本部サイバー犯罪対策課まで通報、相談してください。
なお、 事前に電話で担当者と日時や提出する資料を調整していただくと対応がスムーズに進みます。
被害を防ぐためには
ウェブサーバーのセキュリティ対策
ウェブサイト改ざん被害を防ぐため、
●ウェブサーバーのOSやソフトウェアを最新の状態に保つ
●管理者用ID、パスワードを適切に管理する
●ウイルス対策ソフトの導入、更新
●ウェブサーバー上の不要なサービスやアカウントを削除、停止する
●公開用ディレクトリに公開を想定していないファイルを置かない
●WAFなどのセキュリティ製品を導入する
●定期的にバックアップを取得し、正常なコンテンツと比較して不正ファイルが置かれていないか確認する
などを行いましょう。
通信経路の暗号化
ネットワークの盗聴による情報漏洩を防ぐため、
●重要な情報を扱うウェブページでは利用者との通信経路を暗号化する
●利用者に通知する重要情報はメールではなく、暗号化されたhttps://のページに表示する
●ウェブサイト運営者が利用者からメールで重要情報を受け取る場合はメールを暗号化する
などの対策をとりましょう。
利用者のパスワードはソルト付きハッシュ値の形で保管する
利用者のパスワードを平文で保存していたため、不正アクセスを受けた際に被害が拡大した事例が確認されています。
サーバー内でパスワードを保存する際は、平文ではなくソルト付きハッシュ値の形で保管し、入力フィールドではパスワードは伏せ字で表示されるよう設定してください。
参考リンク
◆ 独立行政法人情報処理推進機構(IPA)
「安全なウェブサイトの作り方」
◆ 総務省
「SQLインジェクションへの対策」
ログ管理、メールセキュリティ対策
ログの保管、管理
各種機器のログは、不正アクセスの予兆を把握したり、被害を受けた際の原因究明や再被害防止に役立ちます。
ランサムウェアへの感染事案では、攻撃者はログを暗号化、削除して痕跡を消そうとします。
これらのことから
●定期的にログを取得し、オフラインで保管する
●システムの目的、要件を踏まえ、適切な保存期間を設定する
ことを推奨します。
メールセキュリティ対策
フィッシングの攻撃者は、企業になりすましたメールを送信し、利用者をフィッシングサイトへ誘導します。
自社ドメインの悪用を防止する観点で 「送信ドメイン認証」の導入を検討してください。
主な「送信ドメイン認証技術」として
●SPF:メール送信元IPアドレスの正当性を認証するもの
●DKIM:メールに付した電子署名を検証し認証するもの
●DMARC:SPF、DKIMで認証されなかった場合の措置を示すもの
があります。
特に、DMARCは認証に失敗したメールの取扱いを送信側で指定できるため、「なりすまされているメールは受け取らない」といった強いポリシーを受信側に実施させることができるようになります。
DMARCを含めた送信ドメイン認証に関する技術的な導入マニュアルが迷惑メール対策推進協議会から公表されています。
参考リンク
◆ 迷惑メール対策推進協議会
迷惑メール推進対策協議会関連資料
ランサムウェア対策
ランサムウェア対策については「ランサムウェアへの注意喚起」のページをご覧ください。