昨今流行したEMOTETやIcedIDなどを含み、未だに感染経路として気を付けないといけない経路です。
また、日本語表記が不自然なメールは減少傾向にあり、最近は取引先を装った自然な内容のメールに見える文面が増えてきています。
中小企業によくある課題
「間違って知らないメールの添付ファイルを開いてしまった」「ブラウザで変なダイアログが開いていたのでとりあえず「OK」を押したら変なソフトがダウンロードされていた」という問い合わせを、自社のスタッフから受けたことはあるでしょうか?
いずれも典型的なサイバー攻撃を疑うケースです。
こうしたわかりやすいケースであればまだ疑うこともできますが、ウイルス感染の手口は日々巧妙化しており中には気づかないうちにウイルス感染しているケースもあります。絶対に感染しないという保証はありません。
情シス担当者としては「感染しないようにするためには」も重要ですが、同時に「感染してしまった場合の症状や対策・対応方法」についても確認しておく必要があります。
今回はそうした事後対応について基本的な内容をお伝えします。
最初に、ウイルス感染の経路をご紹介します。
主な原因としては以下のようなパターンがあります。
昨今流行したEMOTETやIcedIDなどを含み、未だに感染経路として気を付けないといけない経路です。
また、日本語表記が不自然なメールは減少傾向にあり、最近は取引先を装った自然な内容のメールに見える文面が増えてきています。
こちらも感染経路として非常にメジャーです。
最近では安全なサイトであってもそこに表示される広告経由でウイルス汚染されたサイトへ誘導しようとするなど、より巧妙化しているケースが見られます。
数は多くないものの、ハードウェアを利用した感染方法もあります。
マルウェアを仕込んだUSBメモリを関係者からの荷物を装って送り付けるケースです。
気付かずに差し込むと自動的に実行され感染してしまうというケースが発生し注意喚起が行われました。
いわゆるクラッキングやソーシャルハッキングと言った攻撃となります。
続いて、主な症状をみていきます。
他のネットワークへの攻撃の踏み台にされたり、spamメール送信用のbotにされたりした場合の特徴的な症状です。
本人には直接的な被害が見えないため、ただの不調や経年劣化として見過ごされてしまうケースもあります。
ウイルス感染の典型的な症状であり、感染端末自体が狙われたケースです。
ランサムウェアなどに感染した場合もこうした症状が発生します。
上記以外に、そもそも表面上は特に不審な動きをしないケースもあり注意が必要です。
おかしな挙動はしていないから問題はない、というわけではなく定期的なセキュリティソフトでのスキャンを実行して問題がないことを確認しておくのが重要です。
ウイルス感染した場合に発生するリスクは様々ですが、代表的なものとしては以下があります。
キーロガーなどを仕込まれてネット通販やネットバンクへのアクセスを行った際の記録を窃取され、外部へ送信されるケースです。
その後不正注文やアクセスが発生し被害が出てからでないとなかなか気づきにくい部分があります。
国内で送られている迷惑メールは全Eメールの40%を占めているといわれています。
この配信に使われているのがウイルスに感染しbot化された端末になります。
また、どこかの企業に対して攻撃する際にアクセス元をたどられにくくするように中間地点として踏み台にされるケースもあります。
ユーザーの個人情報の流出や技術に関する機密情報が窃取されるケースです。
特に前者はその後のユーザーへの補償等も発生してしまうため、企業として非常に大きなダメージを受けてしまうケースとなります。
取引先への攻撃の踏み台とされてしまうケースです。
取引先窓口となっている担当者の端末が感染した状態で相手方へ勝手にウイルス付メールが送信されるなどのケースがあり、直接的な被害に対する保証だけではなく信用問題にも発展します。
気づかないうちに感染して端末の動きが遅くなってしまうと単純に仕事の効率が落ちてしまいます。
また、ランサムウェアなどに引っかかってしまうと企業として情報資産という“人質”を取られた状態となり、復旧が完了するまで業務自体がすべて停止になるケースも発生します。
最後に、ウイルス感染時の基本的な対応方法及び手順についてみてきましょう。
まずは判明した瞬間、感染が疑われる端末をすべてネットワークから遮断しましょう。
個人情報の入ったサーバなどの感染が疑われる場合、ケースによってはルータからケーブルを抜き社外からすべての端末を切り離す必要があります。
これはウイルス感染が判明した時点から、バックドアによる外部からの不正アクセスや外部への情報流出が想定されるためです。
業務に支障が出る可能性はありますが、リスクを検討したうえでどちらが重要かを判断したうえで実行しましょう。
感染している端末がどれかを正しく特定し、同時に対処(セキュリティソフトによる復旧等)を行います。
サーバ側にも影響が出ている可能性があるため、できればログ解析などを行い不審な通信がないかログでの確認が必要です。
セキュリティソフトの定義ファイルを更新し、フルスキャンを実行します。
もしネットワークを切り離している場合、問題ない端末での定義ファイルダウンロード、USBメモリなどに保存、感染端末にコピーなどの手順で外部に影響が出ない状態で実行し、問題がないことを確認する必要があります。
感染が疑われる端末を含めた影響範囲に問題がないことを確認したうえで再度ネットワークの接続を行います。
感染から発覚の間までにIDやパスワードが流出している可能性があるため、できれば感染端末で利用していたサービス等のパスワードは全て変更しましょう。
感染発覚までの行動に何か問題はなかったか、報告含め感染発覚後の行動に滞りはなかったかを振り返り、同様のインシデントが発生しないための対応策を検討します。
感染原因が特定できない場合や除去ができなかった場合などは、必要なデータのみ感染端末から外付けHDDなどに移動し端末のOSの再インストールなども検討しましょう。
※外付けHDDを利用する際は必ず最新の定義ファイルに更新したセキュリティソフトによる
スキャンを実行後に使用しましょう(できればネットワークから切り離した状態が良い)
セキュリティソフトだけによるウイルス対策は、決して万能ではありません。
常日頃から攻撃者に脆弱性を調べられ、検知機能に対する対策を行われているため単独での防御には不安が残るのが現状です。
こうしたケースに対応するためには、EPP(Endpoint Protection Platform)だけでなくEDR(Endpoint Detection and Response )を併用したソリューションをお勧めします。
通常では考えにくい挙動を自動検知してアラートを上げることができるため、新しい脅威に対しても対応できる可能性が高まります。
また、万が一の感染時には、サイバーインシデントをサイバー保険で保障することもでき、会社としての安心感も高まると思われます。
記載した通り、セキュリティソフトは決して万能ではありません。
こうした中でウイルスを防御するEPP機能と感染を早期に発見するEDRでの多層防御が効果的です。
SOMPOリスクマネジメントでは、サイバー攻撃の早期発見に特化したEDRと駆除支援も可能なサイバー保険付きセキュリティサービス「SOMPO SHERFF」を提供しております。
SOMPOリスクマネジメントがご提供するSOMPO SHERIFFは、収集したログから不審な挙動を分析し、ウイルス対策ソフトをすり抜けて感染したウイルスも検知します。
検知して特定されたウイルスは、自動付帯のサイバー保険で駆除支援します。
SOMPO SHERIFFは独立行政法人情報処理推進機構(IPA)が中小企業向けのサイバーセキュリティサービスとして制定した「サイバーセキュリティお助け隊サービス基準」を満たすサービスとして登録され「サイバーセキュリティお助け隊サービスマーク」を付与されました。 ※詳細はこちら