はじめに 本情報セキュリティ対策のしおりは これから情報セキュリティ対策を実施していこうと考えている企業 ( 組織 ) の経営者 ( 運営者 ) 管理者 従業員の方を対象と想定しています 本しおりの内容は 既に理解しているとおっしゃる方には 情報セキュリティ対策の見直し 委託先や子会社に対するセキュ

0

企業(組織)における最低限の

情報セキュリティ

対策のしおり

http://www.ipa.go.jp/security/

2017年6月30日 第5版

(1)

1

はじめに

本情報セキュリティ対策のしおりは、これから情報セキュリティ対策を実施してい こうと考えている企業(組織)の経営者(運営者)、管理者、従業員の方を対象と想定 しています。 本しおりの内容は、既に理解しているとおっしゃる方には、情報セキュリティ対策 の見直し、委託先や子会社に対するセキュリティ教育のための参考資料であると 理解してください。 本しおりに関する質問・相談につきましては、isec-info@ipa.go.jp まで電子メ ールにて連絡ください。

情報

資産

情報セキュリティ対策とは

企業（組織）はセキュリティ上の脅威に取り囲まれています

それらの脅威により問題が発生するリスク（危険性）を

減らす（予防する）必要があります

守るものは情報資産

（情報および情報を管理する機器やネットワーク等）

個人・顧客・企業(組織)情報を脅威から守る

会社内の設備を脅威から守る

言い換えれば…

お客様に迷惑をかけないようにすること

それが情報セキュリティ（対策）です

2

情報セキュリティにかかわる脅威の中で、最も深刻な情報漏えい・情報流出。ま た、コンピュータウイルス感染による情報システムの停止やデータの破壊等も顧客 からの社会的な信頼を大きく失墜することとなります。情報セキュリティ問題は経営 のリスクであり、全ての企業(組織)において取り組む必要があります。 情報セキュリティ対策の進め方は、リスク分析からスタートし、自社に合った対策 基準や実施手順を策定しますが、企業(組織)にとっては「何をすれば良いか分か らない」というのが実情ではないでしょうか。そこで IPA では、『中小企業における情 報セキュリティ対策ガイドライン』を作成し、企業(組織)におけるセキュリティ強化を 支援しています。是非ともご活用ください。

5 分でできる！

中小企業のための情報セキュリティ自社診断

企業(組織)で実施しなければいけない最低限の情報セキュリティ対策を 25 項目 に絞込みました。この項目の実施状況を点検し、パンフレットの解説編と合わせて ご覧いただくことで、以下の内容を実現します。  どこにどのような問題点があるのかが把握できる  問題点の把握により、次のステップとして具体的な対策の道筋が見えてくる  情報セキュリティ対策の強化 第 5 版への改訂は、本しおりのベースとなっている自社診断シートが、「5 分でできる 自社診断シート」から「新 5 分でできる診断シート」に改訂されたことによるものですが、 「新 5 分でできる診断シート」の診断項目に合わせた内容にするだけでなく、最近の中小 企業を取りまく IT 環境の変化(無線 LAN やネットワークに接続できる事務機器等の普及) や、新しい形態のコンピュータウイルスやサイバー攻撃の増加に合わせた解説や対策も盛 り込んでみました。 従来の「5 分でできる自社診断シート」の診断項目は項目の統合等でそのまま残しつつ、 新たな診断項目を追加する形で、25 の診断項目としています。そこで、本しおりのタイ トルも、「企業(組織)における最低限の情報セキュリティ対策のしおり」から「企業(組織) における最低限の情報セキュリティ対策のしおり ＋１」に変更しました。 本しおりが、皆様のお役に立つことを期待しています。 2017 年 6 月 Zousan

3

目次

診断項目 診断内容 頁 №1 パソコン等の脆弱 性対策 Windows Update を行うなどのように、常に OS やソフト ウェアを安全な状態にしていますか？ 6 頁 №2 パソコン等のウイ ルス対策 パソコンにはウイルス対策ソフトを入れてウイルス定義フ ァイルを自動更新するなどのように、パソコンをウイルスか ら守るための対策を行っていますか？ 10 頁 №3 パソコン等のパス ワード管理 パスワードは自分の名前、電話番号、誕生日など推測されや すいものを避けて複数のウェブサービスで使い回しをしな いなどのように、強固なパスワードを設定していますか？ 21 頁 №4 重要情報へのアク セス(権)管理 ネットワーク接続の複合機やハードディスクの共有設定を 必要な人だけに限定するなどのように、重要情報に対する適 切なアクセス制御を行っていますか？ 29 頁 №5 脅威情報等の情報 共有 利用中のウェブサービスや製品メーカーが発信するセキュ リティ注意喚起を確認して社内共有するなどのように、新た な脅威や攻撃の手口を知り対策を社内共有する仕組みはで きていますか？ 31 頁 №6 標的型攻撃メール 対策等 受信した不審な電子メールの添付ファイルを安易に開いた り本文中のリンクを安易に参照したりしないようにするな ど、電子メールを介したウイルス感染に気をつけています か？ 35 頁 №7 電子メールの誤送 信防止 電子メールを送る前に目視にて送信アドレスを確認するな どのように、宛先の送信ミスを防ぐ仕組みを徹底しています か？ 40 頁 №8 電子メールでの重 要情報漏えい対策 重要情報をメールで送るときは重要情報を添付ファイルに 書いてパスワード保護するなどのように、重要情報の保護を していますか？ 45 頁 №9 無線 LAN のセキ ュリティ対策 無線 LAN を利用する時は強固な暗号化を必ず利用するなど のように、無線 LAN を安全に使うための対策をしています か？ 51 頁 №10 インターネットを 介したトラブル防 止 業務端末でのウェブサイトの閲覧や SNS への書き込みに関 するルールを決めておくなどのように、インターネットを介 したトラブルへの対策をしていますか？ 55 頁 №11 重要情報のバック アップ等の保全対 策 重要情報のバックアップを定期的に行うなどのように、故障 や誤操作に備えて重要情報が消失しないような対策をして いますか？ 57 頁 №12 重要情報の事務所 等での管理 重要情報を机の上に放置せず書庫に保管し施錠するなどの ように、重要情報の紛失や漏えいを防止する対策をしていま すか？ 62 頁

4

診断項目 診断内容 頁 №13 重要情報の持ち出 し等の管理 重要情報を社外へ持ち出す時は、パスワード保護や暗号化し て肌身離さないなどのように、盗難や紛失の対策をしていま すか？ 65 頁 №14 パソコン等の第三 者利用制限 離席時にコンピュータのロック機能を利用するなどのよう に、他人に使われないようにしていますか？ 69 頁 №15 事務所等への不正 侵入対策 事務所で見知らぬ人を見かけたら声をかけるなどのように、 無許可の人の立ち入りがないようにしていますか？ 74 頁 №16 事務所等での重要 機器の管理 退社時に机の上のノートパソコンや備品を引き出しに片付 けて施錠するなどのように、盗難防止対策をしていますか？ 76 頁 №17 事務所等での入退 出管理 最終退出者は事務所を施錠し退出の記録(日時、退出者)を残 すなどのように、事務所の施錠を管理していますか？ 78 頁 №18 不要になった重要 情報の廃棄管理 重要情報を廃棄する場合は、書類は細断したり、データは消 去ツールを使ったりするなどのように、重要情報が読めなく なるような処分をしていますか？ 80 頁 №19 守秘義務等の従業 員への徹底 従業員を採用する際に守秘義務や罰則規定があることを知 らせるなどのように、従業員に秘密を守らせていますか？ 88 頁 №20 従業員へのセキュ リティ意識付け 情報管理の大切さなどを定期的に説明するなどのように、従 業員に意識付けを行っていますか？ 90 頁 №21 BYOD 対応のセ キュリティ対策 社内外での個人所有のパソコンやスマートフォンの業務利 用を許可制にするなどのように、業務での個人所有端末の利 用の可否を明確にしていますか？ 94 頁 №22 取引先とのセキュ リティ協議 契約書に秘密保持(守秘義務)の項目を盛り込むなどのよう に、取引先に秘密を守ることを求めていますか？ 97 頁 №23 外部サービスのセ キュリティ対策 クラウドサービスなど外部サービスを利用する時は利用規 約やセキュリティ対策を確認するなどのように、サービスの 安全・信頼性を把握して選定していますか？ 100 頁 №24 BCP を踏まえた セキュリティ事故 対策 秘密情報の漏えいや紛失、盗難があった場合の対応手順書を 作成するなどのように、事故が発生した場合に備えた準備を していますか？ 103 頁 №25 セキュリティルー ルの策定と運用 情報セキュリティ対策(上記 1 から 24 など)を会社のルール にするなどのように、情報セキュリティ対策の内容を明確に していますか？ 106 頁

5

Part1. 基本的対策

№1 パソコン等の脆弱性対策 №2 パソコン等のウイルス対策 №3 パソコン等のパスワード管理 №4 重要情報へのアクセス(権)管理 №5 脅威情報等の情報共有

6

Windows Update とは、Microsoft 社の Windows OS を利用しているパソコンに対 して、定期的（通常 1 ヶ月に 1 度）に OS（オペレーティングシステム：パソコンが基本 動作するために必要なシステム）および関連する Microsoft 社の提供するアプリケ ーションソフトウェア（Microsoft Office：Excel、Word、Internet Explorer 等）のバグ修 正、バージョンアップ等の更新プログラムを提供するサービスです。特に、OS やア プリケーションが持つセキュリティ上の問題点（プログラムの欠陥や仕様上の問題 点）を修正するセキュリティ更新は、パソコンを安全に利用するためには必須のも のなので、速やかな適用が必要です。 Microsoft 社以外の OS を利用しているパソコンの場合も、OS の提供元から定期 的あるいは随時にセキュリティ更新が提供されています。Windows OS 以外を利用 している場合も、こういった更新の提供が、パソコンを安全に利用するためには必 須のものなので、速やかな適用が必要です。 ちなみに、ここに挙げたセキュリティ上の問題点を、情報セキュリティ対策の分野 では、セキュリティホールとか脆弱性（ぜいじゃくせい）と呼んでいます。この脆弱性 を悪用されると、パソコンが遠隔（リモート）操作で乗っ取られたり、コンピュータウイ ルスに感染させられたりしてしまう危険性があります。こういった脆弱性に関する情

№1 パソコンの脆弱性対策

Windows Update を行うなどのように、

常にソフトウェアを安全な状態にしています

か？

最新の状態に

更新しました!!

7

報は、OS やアプリケーションを提供する開発元（ベンダー）や配布元が情報発信し ていますが、IPA でも JVN（Japan Vulnerability Notes：脆弱性対策情報ポータルサ イト）を通じて情報発信しています（参考情報を参照されたい）。 最近では、Microsoft 社を含む OS やアプリケーションのベンダーでは、OS やアプ リケーションの脆弱性を解消するためのセキュリティ更新を自動的に適用する設定 やボタン（クリック）ひとつで更新を適用する方法を推奨しています。こういった設定 をパソコン上で実施することで、パソコンをより安全に利用することができるので、 利用している OS やアプリケーションの設定がどうなっているか、あるいは最新の状 態であるか確認することをお勧めします（JVN でも利用者の多いアプリケーション等 のバージョンが最新であるかチェックするためのツールを提供しています：参考情 報を参照されたい）。 蛇足（ウンチク）ネタ その 1：Windows Update はいつ公開されるのか？

Microsoft の Windows(Microsoft) Update は、日本では 毎月 1 回、第 2 火曜日の翌日の水曜日（第 2 水曜日では ありません）に公開されます。これは、米国での英語版の Windows Update の公開が米国時間の第 2 火曜日に実施 されるためです。どうでもいい情報ですが、ウンチクとし て覚えておくとよいかもしれません。 その 2：リモートでコードが実行される？

Microsoft の Windows(Microsoft) Update では、脆弱性の影響として「リモートで コードが実行される」といった表現がされる場合があります。これは、不正なプロ グラムによって脆弱性が悪用され、プログラムに組み込 まれた不正な(パソコン利用者にとって不利益となる)処 理が実行されることです。この不正なプログラムが、パソ コンの外から配布（送り込まれて）されているので、「リモ ートでコードが実行される」と表現しています。例えば、利 用者に隠れて、利用者がパソコンを起動するたびに動作 するプログラムを仕込んだり、利用者の大切な情報を盗 み出すプログラムが仕込まれたりします。最悪の場合は、OS そのものを破壊さ れる場合もあります。コンピュータウイルスが悪用する場合もあり、脆弱性を悪用 してウイルスに感染させる処理が実行されます。「リモートでコードが実行される」 という表現は、英文の Remote Code Execution から訳されたものです。

8

＜参考情報＞

JVN （Japan Vulnerability Notes：脆弱性対策情報ポータルサイト）

http://jvn.jp/

MyJVN （脆弱性対策情報収集ツール、バージョンチェッカ、セキュリティ設定チェ ッカ）

http://jvndb.jvn.jp/apis/myjvn/

9

脆弱性に絡んだ話として… サポート(期間)の切れた OS やソフトウェアの利用はとても危険です。上記までの 説明で理解いただけると思いますが、サポートの切れた OS やソフトウェアは、それ らの脆弱性が見つかったとしても、脆弱性を解消するための修正プログラムが作 成されないからです。できるなら、そういった OS やソフトウェアの利用は中止し、最 新バージョンの OS やソフトウェア（同じ機能を持つ新しいソフトウェア等）を利用す ることをお勧めします。 ＜参考情報＞

延長サポート終了を控える「Office 2007」および「Windows Vista」の速やかな 移行を https://www.ipa.go.jp/security/announce/winvista_office2007_eos.html

OS やソフトウェアのセキュリティ上の問題点を放置している

と、それを悪用したウイルスに感染してしまう危険性がありま

す。お使いのＯＳやソフトウェアに修正プログラムを適用する、

もしくは最新版を利用するようにしましょう。

そこで質問）

Windows Update を行うなどのように、常にソフトウェアを

安全な状態にしていますか？

○：実施している

4 点

△：一部実施している

2 点

×：実施していない

0 点

10

（コンピュータ）ウイルスは、コンピュータやコンピュータ利用者にとって、とても厄 介な存在です。ウイルスは、コンピュータの発達の歴史とともに進化しています。一 昔前であれば、愉快犯的なウイルスが主流でしたが、最近では金銭目的のウイル スが主流になってきています（ただし、イランの核施設を狙ったウイルスのように金 銭目的のみとは思えないものも出現しています）。 注意） 以下、読者が理解しやすいように、ウイルスの感染対象をパソコンと称しますが、いわゆる 個人利用のパーソナルコンピュータだけでなくサーバやネットワーク関連機器も含むものと解 釈してください。そういった機器にもコンピュータウイルスは感染することがあります。 多種多様なウイルス 最近のウイルスは、狭義のコンピュータウイルス の定義に縛られない、不正なプログラム(マルウェ ア)も含まれます。 例えば、スパイウェア＊１_{とか暴露ウイルス}＊２_と呼 ばれるパソコン内の情報を盗み出したりインターネ ット上に流出させたりするものや、スケアウェア＊３_と 呼ばれる偽の脅迫行為を行うウイルス（いわゆる 詐欺ウイルス）、パソコン内のファイルやフォルダを 勝手に暗号化して脅迫するランサムウェア＊４_と呼 ばれるウイルス、インターネット（ネットワーク）を介 してパソコンを遠隔操作できるボット＊５_{と呼ばれる} ウイルス、パソコンの中に潜んで悪さをしたりインターネット（ネットワーク）を介して 侵入できる裏口（バックドア）＊６_{を作成したりするトロイの木馬}＊７_{と呼ばれるウイル}

№2 パソコン等のウイルス対策

パソコンにはウイルス対策ソフトを入れてウ

イルス定義ファイルを自動更新するなどの

ように、パソコンをウイルスから守るための

対策を行っていますか？

11

図 2 悪意の仕掛けがある Web サイトからの感染イメージ ス等、さまざまな形態のものが存在します。しかしながら、最近のウイルスは種類を 区分けすることができないようないろいろな動作をする複合機能型のウイルスとな ってきているようです。こういった背景には、ウイルスを簡単に構築するウイルス作 成(構築)ツールが世の中に出回っており、いろいろな機能が使えるように指定する ことで、新しい（あるいは同じような）ウイルスを誰でも作れるようになってきている ようです。 いろいろな感染経路 インターネット（ネットワーク）上の Web サイトからの感染 電子メールから感染 USB メモリ等の外部記憶媒体から感染 ネットワークからの直接攻撃による感染 （コンピュータ）ウイルスは、電子メールやインターネット上の Web サイト、インスタ ントメッセンジャー（IM）やミニブログ（Twitter 等）、各種の SNS（ソーシャルネットワ ークサービス）や掲示板サイトを通じてウイルス配布サイトへの誘導（悪意の仕掛 けがある Web サイトへのリンク等）が行われます。また、電子メールの添付ファイル やファイル交換ソフトを介したダウンロードファイル、Web サイトからのダウンロード ファイルからウイルスに感染したり、それらのファイルそのものがウイルスであった りします。

12

図 3 ウイルス付き電子メールからの感染イメージ 図 4 USB メモリ等の外部記憶媒体からの感染イメージ さらに外部記憶媒体への感染拡大イメージ 電子メールからの感染として、ここ数年問題となっているのが｢標的型攻撃｣です。 標的型攻撃とは、主に電子メールを用いて特定の組織や個人を狙う手法です。典 型的な例として、メール受信者の仕事に関係しそうな話題等を含む偽の本文や件 名で騙し、添付ファイル（ウイルス）のクリックを促す場合が確認されています。 添付ファイルを実行してしまうと、ウイルスに感染し、パソコン内の情報が漏えい する可能性があります。 標的型攻撃の詳細および対策については、後述する「№6 標的型攻撃メール対 策等」を参照してください。 さらには、ＵＳＢメモリ等の外部記憶媒体に仕掛けられたウイルス（マルウェア） を利用者が自ら実行してしまう問題や、インターネット（ネットワーク）を通じて直接 攻撃されることでウイルスに感染する（インターネットにつないだだけで感染する） 場合もあります。前者は、一般的に利用可能な機能（処理）を悪用されるケースで、 後者はほとんどの場合 OS やパソコンで利用中のアプリケーション（プログラム）の 脆弱性を狙ったものです。

13

ネットワークからの攻撃対策として… ネットワークからの直接攻撃については、企業などのネットワーク環境ではファ イアウォール装置（機能）で、個人のパソコンの場合は（ブロードバンド接続であ れば）ブロードバンドルータを利用することで、ファイアウォールと同等の対策が 行えますし、Windows パソコンであれば Windows ファイアウォール機能等で予防 対策（常に有効にしておく）を行うことができます。 図 5 ネットワークからの直接攻撃による感染イメージ ネットワークからの直接攻撃の代表例としては、2003 年 8 月に発生した MSBlaster ワーム事件や 2004 年 5 月に発生した Sasser ワーム事件が有名です。 どちらも、パソコンをインターネットにつないだだけで、シャットダウンを繰り返すとい った症状が発生しました。ちなみにシャットダウン自体はワーム＊８_{が自分自身をパ} ソコンに組み込むために起こしたものですが、連続的に感染するため、シャットダウ ンを繰り返す事象が発生したものです。今となれば少し笑える話です。 「W32/MSBlaster」ワームに関する情報 http://www.ipa.go.jp/security/topics/newvirus/msblaster.html 新種ワーム「W32/Sasser」に関する情報 http://www.ipa.go.jp/security/topics/newvirus/sasser.html

14

ウイルス対策ソフト こういったさまざまな感染経路から多種多様なウイルスがパソコンに侵入(感染) するのを予防するためには、やはりウイルス対策ソフトと呼ばれるアプリケーション の利用が必須となるわけです。 ウイルス対策ソフトは、さまざまなウイルスの 手配書（ウイルス定義ファイル）を持っており、 その手配書によりウイルスを検知･駆除します。 また、最近では不審な動き（挙動）を検知するこ とでウイルスの動作を抑止する機能（ヒューリ スティック検知）や、世間の評判情報を利用し た不審な Web サイトや不審なメールの閲覧を 抑止する機能（レピュテーション技術）等、新し い検知技術も適用されてきており、パソコンの 安全性向上に寄与しています。 ただし、スケアウェア＊３_{の一種として、自作自演でウイルス騒ぎを起こすような偽} ウイルス（セキュリティ）対策ソフトがありますが、このような偽対策ソフトでは何の 役にも立たないので注意してください。ウイルス対策ソフトは、一般に認知された評 判の良いものを利用しましょう。導入時に不安がある（どのソフトを利用するか判断 基準があいまいな場合）ならば、できるならばパソコン関連の販売店で商品として 販売されているもの（売れ筋）から選ぶことが、ひとつの安全な方法といえます。 また、セキュリティ対策の知識が豊富な専門家の意見を聞くのも良いかもしれま せん。 参考までに、以下にウイルス(セキュリティ)対策ソフトの情報を掲載しています。 主なワクチンベンダーの Web サイト等一覧 http://www.ipa.go.jp/security/antivirus/vender.html

15

*1) スパイウェア スパイウェアは、利用者の意図に関わらず勝手にパソコンに入り込み(感染)、パソコン内の情 報や利用者の操作を記録し、必要に応じて外部に送信する行 為を行うウイルスです。利用者の操作を記録するものとしては キーロガーと呼ばれる利用者のキーボードでの操作を記録す るツールが有名です。また、インターネット参照の履歴なども 利用者の操作を記録したものとして奪取される場合もありま す。 もともとは、インターネットを通じたマーケティングのための 情報表示（コマーシャル表示）・収集（利用者の嗜好分析）活動、 いわゆるアドウェアから発生したものと考えられ、その活動が過激になったものがスパイウェアで あるともいわれています。 *2) 暴露ウイルス ファイル交換ソフトを介した情報流出を行うウイルス（Antinny ウイルス等）や、利用者のパソコ ンを勝手にインターネットに向け公開された Web サイトにしてパソコンの内容をインターネットに晒 してしまうウイルス（山田ウイルス等）を、情報を暴露するものとして暴露ウイルスと呼ぶ場合が あります。これらも、前述のスパイウェアの一種といえます。 *3) スケアウェア スケアウェアは、読んで字のごとく脅迫するウイルスです。『あなたのパソコンはウイルスに感 染しています』と偽の情報を表示し（自作自演のウイルス騒ぎ）、偽ウイルス対策ソフトの購入を 促す詐欺を行うものなどがあります。 *4) ランサムウェア ランサムは身代金のことで、ランサムウェアはパソコン に格納された特定のファイルやフォルダを勝手に暗号化 などし、『戻すためのパスワードを知りたければ金を出せ』 などと脅迫するものです。たいていの場合は、お金を払っ ても人質は解放されないようです。リアルな世界の犯罪と 同じようなことが、インターネットを介したネットワーク上の バーチャルな世界でも発生しているわけです。

16

図 6 ボットネットを介した攻撃のイメージ *5) ボット ボットとは、パソコンに感染し、そのパソコンをネットワーク(インター ネット)を通じて外部から操ることを目的として作成されたプログラムで す。感染すると、外部からの指示を待ち（指令サーバとの通信を一定 間隔で実施する）、与えられた指示に従って内蔵された処理を実行しま す。この動作が、ロボットに似ているところから、ボットと呼ばれていま す。最近流行のスマートフォンに感染するボットウイルスも確認されて いるので注意が必要です。 内蔵された処理の例 スパムメール送信活動 (多量のスパムメールを送信する) DoS 攻撃＊９_{などの攻撃活動 (特定のサイトへのサービス妨害攻撃を行う)} ネットワーク感染活動 (コンピュータの脆弱性を狙った不正アクセスによる感染活動) ネットワークスキャン活動 (感染対象や脆弱性を持つコンピュータの情報を集める) 自分自身のバージョンアップや指令サーバの変更 スパイ活動 (感染したコンピュータ内の情報を外部へ送信) ボットが厄介な点は、ボットに感染したパソコンが多数集まるとそれらが指令サーバを介してネ ットワーク（ボットネットワーク）を構成することです。これらのボットネットワークは数百から数十万 台のパソコンで構成される場合もあり、それらから一斉にスパムメールが発信されたり、特定の 攻撃先を一斉に DoS 攻撃したりする場合があります。ボットネットワークが大きければ大きいほど 攻撃などの効力が増加するので厄介といえるわけです。

17

*6) バックドア 本来禁じられているアクセス(侵入)を可能とするための仕掛け｡ 一度､侵入したパソコンに再 侵入しやすくするために仕掛けられることがある｡ *7) トロイの木馬 ギリシャ神話である「トロイの木馬」の話はご存知でしょうか？相手（利用者）を騙し信用させ贈 り物と称して木馬を場内へ入れさせる。木馬の中には城を内部から攻撃する兵隊を忍ばせておく 話です。トロイの木馬型ウイルスは、この話と同じように、パソコン内に潜伏させ、必要に応じてい ろいろな悪さを行うウイルスです。一般的にはスパイウェアやスケアウェア、ランサムウェアといっ た区分けとは違った分類ですが、以下に示すような悪さを行うものです。 バックドアの設置 インターネット（ネットワーク)を介して外部からパソコンを操作させるためのドア（バックド ア）を作成する。このバックドアを通じて、パソコンの外部から侵入し、いろいろな操作を行う ことができるようになり、非常に危険な状態といえます。 不正なプログラムのダウンロード パソコンの利用者が意識することもなく、不正なプログラム等をインターネットからダウン ロードし実行します。 利用者パソコンの情報収集 いわゆるスパイウェアの行為を行います。 攻撃の踏み台（攻撃の中継等） ボットと同じように攻撃（攻撃の中継）行為を行います。 *8) ワーム ワームとは、一般的な狭義のウイルスのような他のプログラムやファイルに感染（寄生）するタ イプではなく、パソコンにインストールされ実行される自己完結型のプログラムで、自分自身の複 製を作成（コピー）することで感染（自己増殖）活動を行います。昔ながらの狭義のウイルスと区 別するために付けられた名前（種類）ですが、単独でパソコン内で破壊活動や感染（自己増殖）活 動などの悪さをするためにうごめく様から、ミミズやウジのようなのでワームと呼ばれています。 実はこのタイプのウイルスが最も簡単に作成できるため、種類や亜種が多く出現しています。 前述のスパイウェアやスケアウェア、さらにはランサムウェアやボットもこのタイプのウイルスとい えます。昔ながらのウイルスは減っているということになります。 プログラミングができる人であれば誰でも作成できるものですが、普通はパソコン利用者により 起動してもらう必要があるので、利用者にとって有用なプログラムを装って実行させたり、パソコ ンの脆弱性を利用して実行させたりするものがほとんどです。 *9) DoS 攻撃 サービス妨害攻撃（DoS攻撃）には、インターネットプロトコルの特性を悪用して、ネットワークに 接続されたコンピュータに過剰な負荷をかけ、サービスを提供できなくするような攻撃があります。 このような ＤｏＳ攻撃の攻撃元が複数で、標的とされたコンピュータがひとつであった場合、その 標的とされるコンピュータにかけられる負荷は、より大きなものになります。このような攻撃を DDoS(Distributed Denial of Service：分散サービス妨害）攻撃と呼びます。

攻撃元は、攻撃者（人間）自身であるとは限らず、むしろ、攻撃者が事前に標的以外の複数サ イトに攻撃プログラムを仕掛けておき、遠隔から指令を出すことで一斉にＤｏＳ攻撃をしかける手 法が広く知られています。

18

ウイルス対策ソフトの有用性は理解できたと思いますが、忘れていけないことが あります。それは、ウイルス対策ソフトはインストールしただけでは効力を発揮しな いということです。 一般的にウイルス対策ソフトは、ウイルスを検知するためにはウイルスの手配書 を必要とします。この手配書のことを「ウイルス定義ファイル」（McAfee 社、 Symantec 社等）とか「パターンファイル」（TrendMicro 社等）と呼んでいます。ウイル ス対策ソフトは、この手配書をもとにウイルスを検知するわけです。したがって、パ ソコン内のウイルスの手配書が新しくないと、新しいウイルスを検知できないという ことになります（最新のウイルス対策ソフトでは、ウイルスの手配書がなくても、怪し げな動きを検知[ヒューリスティックあるいは”ふるまい”検知]する方法や、インター ネット上の最新の手配書を直接参照する[クラウドサービスを利用する]方法も使わ れ始めています）。 そのため、

手配書は常に新しい状態にしておく必要があります

。 この手配書は、ウイルス対策ソフトによりインターネットを介して更新されるもの ですが、定期的な更新作業あるいは自動的な更新作業が必要となります。 一般的には、自動更新といわれるような自動的に新しい手配書を更新できる設 定にしておくことをお勧めします。

検知･駆除

19

パソコンをインターネットに接続し、ウイルスの手配書を常に最新になるよ うな設定をする ウイルス対策ソフトは水際でウイルスを発見するので感染を予防できる自 動保護（リアルタイム保護）の設定をする 検知したウイルスを残しておく必要はありませんので、「発見したらすぐ駆 除する」設定をする（誤検知問題もありますが、セキュリティ初心者はこの 設置が望ましいと考えられます。ある程度知識のある方は、「発見したら隔 離する」の設定のほうが無難かもしれません） 設定方法は、ウイルス対策ソフト毎に違いますが、基本的には自動更新がデフ ォルト設定となっています。ウイルス対策ソフト毎に、それぞれの操作手引書を参 考にして設定の確認を行ってください。 自動設定になっていないならば、自動設定がお勧めですが、パソコンを常に利 用している(常にインターネットに接続している)のでなければ、安全性を考えるなら、 手動での更新も必要となります。例えば、パソコンを起動した時は必ず手動で手配 書の更新を行うなども有効な方法でしょう。 インストールしたウイルス対策ソフトを有効に利用する（効力を発揮させる）ため には、 を忘れないでください。 新しくパソコンを購入した際にパソコンにバンドル（付属提供）されたウイルス対 策ソフトの場合、一般的には一定期間有効な試供版となっています。このようなウ イルス対策ソフトを利用する場合は、試供版として有効な期間を過ぎると、ウイルス の手配書やウイルス対策ソフトのアップデート等が手に入らなくなります（更新でき なくなります）。結果、新しいウイルスに対して効果がなくなる危険性があるので注 意が必要です。対応としては、その製品を正規に購入するか、別の製品を購入な どして利用する必要があります。ご注意ください。

20

ＩＤ・パスワードを盗んだり、遠隔操作を行ったり、ファイルを勝

手に暗号化するウイルスが増えています。

ウイルス対策ソフト

を導入し、ウイルス定義ファイル(パターンファイル)は常に最新

の状態になるようにしましょう。

そこで質問）

パソコンにはウイルス対策ソフトを入れてウイルス定義ファ

イルを自動更新するなどのように、パソコンをウイルスから守

るための対策を行っていますか？

○：実施している

4 点

△：一部実施している

2 点

×：実施していない

0 点

21

パソコンを起動する場合には、セキュリティ対策としてログイン画面が表示される ようになっている（古い Windows OS ではログインが不要のパソコンもありました）と 思いますが、この画面はセキュリティ上重要な設定です。しかしながら、ログインで 使用する利用者 ID（利用者識別子）やパスワードが他人に知られてしまうと、その 情報（アカウント情報とか利用者情報と呼ばれている）を悪用され『なりすまし』被害 にあう危険性があります。 利用者 ID については、そのパソコンが複 数の利用者に利用される場合もあるので、 それぞれの利用者を識別できるものを利用 します。まぁこれは利用者を識別するため のものですから、複雑怪奇な文字列を利用 する必要はありません。 ところが、パスワードに関しては、利用者 が本人であることを証明するものなので、 本人だけが知っているものでなければなり ません。 なりすまし被害にあわないために、パスワードは他人（あるいは他の利用者）に 安易に推測されない文字列を使用することをお勧めします。

№3 パソコン等のパスワード管理

パスワードは自分の名前、電話番号、誕生

日など推測されやすいものは避けて複数の

ウェブサービスで使い回しをしないなどのよ

うに、強固なパスワードを設定しています

か？

22

安易な（不適切な）パスワードとは、以下に示すようなものです。 パスワードクラッキング（パスワード破り）と呼ばれる攻撃手法では、パスワード を構成する文字種が少ないもの（例えば数字のみ）や長さ（桁数)の少ないものは、 解析されやすいと言われています。例えば、総当り攻撃＊１０_{では、文字の組み合わ} せを端から試す攻撃なので、文字種が少ないものや長さ（桁数)の少ないものは簡 単に破られてしまいます。 単純な計算になりますが、6 桁の数字のパスワードを考えて見ましょう。 数字の組み合わせは、000000～999999 となります。したがって、パスワードが破 られる確率は 1/1000000=1/106_{となります。つまり、最大 100 万回パスワードの組} み合わせを試せばパスワードを破ることができるわけです。では、6 桁の英数字 （英小文字＋数字）の場合はどうでしょう。数字は 0 から 9 の 10 個、英小文字は a から z までの 26 個ありますから、パスワードが破られる確率は 1/(10+26)6_となりま す。つまり、最大 21 億 7678 万 2326 回パスワードの組み合わせを試せなければパ スワードを破ることができないわけです。 このようにパスワードの文字種を組み合わせるだけで、格段にパスワードが強 固なものとなり、パスワードクラッキングされにくいことになります。 しかしながら、パスワードが意味不明の複雑なものだと利用者自身が忘れてしま う危険性もあります。そこで、辞書に載っているような安易な単語を利用したりする わけですが、総当り攻撃の一種に辞書攻撃と呼ばれる手法があり、これは辞書に 載っているような単語を端から試す攻撃手法です。安易な単語は簡単に破られる でしょう。さらに、このような攻撃を行う場合は、利用されやすい単語を中心に攻撃 用の辞書が作られる場合があるので注意が必要です。 では、自分や家族の名前やニックネームを利用したりするとどうなるのでしょうか。 このようなパスワードの場合、利用者のことをある程度知っている人であれば簡単 に推測される可能性があります。これではパスワードの意味をなしません。 × 長さが不十分 × 辞書に載っている単語の利用 (“password”等) × ID と同じ × 自分・家族の情報 × 固有名詞 (“dragon”等) × 単純な数字の並び (“123456…“等) × 単純な文字の並び (キーボードの文字の並びを利用したもの “zxcvbnm“等) × 過去に使用したパスワードの再利用 等

23

そこで、適切なパスワードとして以下に示すようなものを利用してください。 適切なパスワードを設定しても、長い間同じパスワードを利用していたり、いろい ろな場面で同じパスワードを流用していたりすると、そのパスワードがいつの間に か誰かの知るところになる危険性があります。例えば、間違って誰かに教えてしま ったとか、パスワードを書いておいた紙をなくしてしまったとか… そこで、パスワード盗難対策として以下に示すようなことが必要です。 定期的なパスワードの変更については、利用者次第ですが、一般的には 3 ヶ月 から 6 ヶ月位が適当と思われます。 パスワードを忘れてしまったときのために、パスワードを紙に書き留める場合が あるでしょうが、この紙はパスワードを忘れてしまったときのみ必要なものですから、 しっかりと安全な場所で管理する必要があります。例えば、金庫の中とか… 間違っても、パソコンのディスプレイに貼り付けておくような行為は慎んでくださ い。 これでは、「どうぞ使ってください」といっているようですね… ○ 大文字・小文字・数字・記号の組み合わせ ○ 長いパスワード(推奨は８桁以上) ○ 推測しづらく自分が忘れないパスワード 等 ◎ 必要に応じて変更 ◎ 紙に書き留めて放置しない ◎ マシンに保存しない ◎ 人に教えない 等

24

大事な

情報

パソコンの中にパスワードを保存する場合もあるでしょうが、これも危険な行為で す。例えば、情報を盗み出すコンピュータウイルス（スパイウェアなど）に感染した 場合は、パスワードが盗み出される危険性があります。 まぁ、この場合はパスワード以外の情報も盗まれることになるでしょうけど…コン ピュータウイルスに感染しないにしても、パソコン上のファイルが誰かに読まれる可 能性もあるので、安全性を考えるなら、パソコン上に保存しないことが良いと考えて ください。 さらに、当然のことですが、人には教えないが鉄則です。 なりすまし被害の怖いところ… パソコン上やネットワーク上の各種の記録（ロ グ）には、利用者の行った処理の記録が残りま すが、なりすましの場合は本人がそれらの処理 を行ったように記録されるので、場合によっては、 悪意のある行為の利用者として告発される可能 性もあります。

25

ここまで、パソコン等のログインで使用するパスワードを中心に話をしてきました が、もう一つのパスワードの話もしておきます。それは、インターネットを介して利用 するウェブサービスで使用するパスワードです。 ちょっと考えてみてください。パソコン等のログインで使用するパスワードと、ウェ ブサービスで利用するパスワードは何が違うのか… 一般的には、パソコン等のパスワードは、パソコン自身 (あるいはネットワーク管理されているならネットワークの管 理サーバ)に記録されており、その値と利用者の入力した値 が比較されて利用者認証（本人であるかどうか確認）されま す。まぁ、単純な形式で記録されているわけではないので、 パソコンの中を探してもなかなか見つかりませんが… 一方、インターネットを介して利用するウェブサービス で使用するパスワードはどこに記録されているのでしょう か。それは、サービス提供者側のサーバ等に記録され ています。その値と利用者の入力した値が比較され利 用者認証されるわけです。 別の見方をすれば、パソコン等のログインに利用する パスワードの管理者はパソコンの利用者本人（あるいは ネットワーク管理者）であり、インターネットを介して利用 するウェブサービスに利用するパスワードの管理者はサ ービス提供者ということになります。当然のことですが、 複数のウェブサービスを利用しているならば、管理者はサービスの数だけ複数いる ということになります。 この見方からすれば、こんな話が考えられます。 パソコン等のログインに利用するパスワードは自分で管理しているのだから、自 分が漏らさなければ、簡単に推測されない限り安全… だけど、インターネットを介して利用するウェブサービスに利用するパスワードは 自分以外のサービス提供者が管理しているから、ひょっとしたら何らかの理由でど こかのサービスから漏れるかも知れない…そういった話もよく聞くし… さて、この話から考えればインターネットを介して利用するウェブサービス利用す るパスワードについては、もうすこし対策が必要になってきます。 その対策とは…

26

ということになります。 ここで、少し補足しておきます（蛇足かもしれませんが…）。 ウェブサービス提供者へのお願い ウェブサービスの提供者にいつもお願いすることですが、利用者の個人情報が 漏れない対策はきちんとしてほしいわけですが、特にパスワード等のデータ保存に ついては、そのままの形（平文）で保存せず、ハッシュ関数＊１１_{等を利用してそのま} までは悪用できない形（ハッシュ値）で保存してほしいということです。 ウェブサービスで情報漏えい事故を起こしたニュースをみると、時々ですが、利 用者のパスワードが平文のまま流出したとか、危殆化が議論されている（ある程度 力任せに逆推できる）古いハッシュ関数（値）を利用しているものが見受けられます。 このようなばあいは、パスワード流出により利用者へ被害が広がる危険性を秘め ていることになります。利用者には見抜けませんが… さらに、ウェブサービスの利用ということで注意すべき点があるので補足しておき ます。 業務に関係のないウェブサービスやアプリケーションの利用について 本来、業務に関係ないウェブサービスやアプリケーションの利用は NG ですが、 業務用のパソコン等でそういったものを利用する人が見受けられます。これらのウ ェブサービスやアプリケーションを介して、企業・組織の重要な情報が漏えいする 危険性もあるので業務での利用は控えましょう。 しかしながら、それらのウェブサービスやアプリケーションが業務を遂行するため に有益であるならば、企業・組織の管理者に使用許諾（管理者は利用方法やセキ ュリティ対策を考慮し、安全性を確認する必要があります）を取って利用することを お勧めします。自分勝手な業務利用（シャドーIT＊１２_{）はもっての外です。} 当然、こういった許諾を取る過程において、ウェブサービスやアプリケーションの 利用方法や利用（者）認証の方法について、管理者との間でルールを明確にする ことが重要です。このルールの中でも、認証のためのパスワードの扱いが大事で あるということになります。間違っても安易なパスワードの設定は止めましょう。 ◎ 漏れたパスワードが悪用されても他のサービスが成りすまされないよう に、複数のサービスで使い回しはしない ◎ いつ漏れるかわからないので自己防衛として、定期的な変更

27

*10) 総当り攻撃 総当り攻撃とは、文字列や単語を総当りに試す攻撃です。一般にこういった攻撃手法をブルー トフォース攻撃（アタック）と呼びます。ブルートフォースとは「力ずく」とか「強引に」という意味で、 ブルートフォース攻撃は力ずくの攻撃ということになります。単純に文字列を端から試したり、辞 書にある単語を端から試したりする攻撃で、攻撃を行うコンピュータの性能次第では非常に厄介 な攻撃といえます。単純な文字の組み合わせによるパスワードや、辞書に載っているような単語 をパスワードとして利用することは危険とされていますが、パスワードによく使われる単語もある ようで、それらの単語を登録した攻撃専用の辞書もあるようです。ちなみに、よく使われる単純な パスワードは”123456”のようです。 *11) ハッシュ関数 (hush function) 与えられた原文から固定長の疑似乱数を生成する演算手法｡「ハッシュ値｣と呼ばれる｡｢要約 関数｣｢メッセｰジダイジェスト｣とも呼ばれる｡通信回線を通じてデータを送受信する際に､経路の 両端でデータのハッシュ値を求めて両者を比較すれば､データが通信途中で改ざんされていない か調べることができる｡ハッシュ値から原文を再現することはできず､また同じハッシュ値を持つ異 なるデータを作成することは極めて困難である｡通信の暗号化の補助や､ユーザー認証やデジタ ル署名などに応用されている｡ *12) シャドーIT シャドーIT とは、「IT 部門の許可を得ずに、従業員又は部門が業務に利用しているデバイスや クラウドサービス」(平成 28 年度 春期 プロジェクトマネージャ試験 午後Ⅱ 問題より）のことであ る。こういった環境の利用は、企業・組織の管理部門で管理しきれないため、企業・組織としての 重要情報が漏えいしたり、企業・組織への攻撃の踏み台になったりする危険性が管理外で存在 することになる。

28

パスワードが推測されたり、ひとつのウェブサービスから流出

したＩＤ・パスワードが悪用されることで、不正にログインされる

被害が増えています。パスワードは「長く」「複雑に」「使い回さ

ない」ように強化しましょう。

そこで質問）

パスワードは自分の名前、電話番号、誕生日など推測されや

すいものは避けて複数のウェブサービスで使い回しをしないな

どのように、強固なパスワードを設定していますか？

○：実施している

4 点

△：一部実施している

2 点

×：実施していない

0 点

29

最近、(ローカル)ネットワークを介して接続された機器が、インターネットから丸見 えとなっているような状況が問題となっています。IPA ではこのような問題に関して 注意喚起する目的で以下に示す資料を公開しています。 ＩＰＡテクニカルウォッチ 「増加するインターネット接続機器の不適切な情報 公開とその対策」 https://www.ipa.go.jp/security/technicalwatch/20160531.html ネットワークに接続する様々な機器において、接続設定等の見直しが必要です。 これらの機器から、インターネットを介して情報漏えいを起こしたり、接続機器の不 正利用が行われ、場合によってはサイバー攻撃の踏 み台となってしまったりすることがあります。正しい設定 を行うためには、機器の機能をよく理解し、必要な利用 者のみが使える状態にすることが重要です。 このような話は、業務を行う上で利用するファイル等 を共有するために利用するファイルサーバあるいは

NAS(Network Attached Storage)と 呼ばれるストレージでも同様です。 例えば、大きなファイルを外部の人に提供する方法としてオ ンラインストレージを使う場合は、相手に与えるアクセス権が第 三者に渡ったり不正に使われたりしないようにしましょう。その 他にも、業務で使用するクラウドサービス等を事務所以外の自 宅等で使用できるようにするとセキュリティリスクが上がります。 そこで、事務所のみで使うようなアクセス制御も必要かもしれま せん。

№4 重要情報へのアクセス(権)管理

ネットワーク接続の複合機やハードディスク

の共有設定を必要な人だけに限定するなど

のように、重要情報に対する適切なアクセ

ス制限を行っていますか？

30

企業・組織の中で扱う重要な情報は、事前に適切なセキュリティランクの格付け が必要です。例えば「社外秘」といったような格付けが行われるならば、これらの情 報にアクセスできる利用者も制限する必要があります。つまり、この情報を利用で きるのは誰か設定するということです。それがアクセス権の設定ということになりま す。 クラウドサービスを利用する上では、利用者の認証などの設定を適切に行う必 要があります。また、ストレージ上のアクセス権の設定では、ストレージ単位、フォ ルダ単位、ファイル単位といったきめ細かい設定もできるので、それぞれの設定方 法について接続機器の利用マニュアル等を参考にアクセス(権)管理を実施するこ とをお勧めします。 前述のＩＰＡテクニカルウォッチ 「増加するインターネット接続機器の不適切な情 報公開とその対策」の中には、インターネット上に配置された監視カメラが不正に 利用(例えば覗き見)されたりするケースが記載されていますが、ネットワークを介し て利用する機器の問題は、今後の IoT(Internet of Things)のセキュリティの話も含 めて大きな問題となっていくでしょう。このあたりの問題も理解しておくことが重要と なります。

データ保管のためのファイルサーバやオンラインストレージ、

ネットワーク接続の複合機等の設定を間違ったため無関係な人

に情報を覗き見られるトラブルが増えています。サーバやネット

ワーク接続機器は必要な人にのみ共有されるよう設定しましょ

う。

そこで質問）

ネットワーク接続の複合機やハードディスクの共有設定を必

要な人だけに限定するなどのように、重要情報に対する適切

なアクセス制限を行っていますか？

○：実施している

4 点

△：一部実施している

2 点

×：実施していない

0 点

31

最近のサイバー攻撃(犯罪)は多様化してきています。企 業・組織の活動を阻害するような多くの攻撃や攻撃の踏み 台(例えばハードウェアやソフトウェアの脆弱性)となるような 事象も多いようです。こういった問題に関する情報(注意喚 起等)を常に確認できるような仕組みが必要です。世の中で、 今どんな問題が発生しているのかも含めて、企業・組織活 動に必要な情報を収集し、企業・組織内で共有する仕組み 作りをお勧めします。 例えば、 ● システム管理者(情報収集担当者)によるメールや掲示板での情報発信 ● 定期的な脅威情報に関する勉強会・集めた情報の発表会 などが考えられます。 情報を収集するネタ元としては、 ● ＯＳやソフトウェア(アプリケーション)メーカーや各種 ウェブサービス提供者の発信する注意喚起等の発 信情報 ● ウェブニュース等を介したセキュリティ関連情報 ● ＩＰＡを含むセキュリティ関連組織の注意喚起や最 新脅威情報等の発信情報 などが挙げられますが、それ以外にも有償サービスとし ての情報提供サービスもあるので、そういったものを利用するのもよいでしょう。

№5 脅威情報等の情報共有

利用中のウェブサービスや製品メーカーが

発信するセキュリティ注意喚起を確認して社

内共有するなどのように、新たな脅威や手

口を知り対策を社内共有する仕組みはでき

ていますか？

32

脅威や手口を知ることがセキュリティ対策の第一歩です。知りえた情報は(当然 真偽を確認した後)企業・組織内で共有できるようにしましょう。 例えば、こんな情報も… ＩＰＡ 安心相談窓口だより https://www.ipa.go.jp/security/anshin/mgdayoriindex.html 『安心相談窓口だより』では、IPA の情報セキュリティ安心相談窓口に寄せられる 相談内容などをもとに、情報セキュリティに関するさまざまテーマをピックアップして 紹介していきます。被害防止に向けた自己学習や普及啓発のための資料などとし て活用してください。 情報セキュリティ・ポータルサイト ここからセキュリティ！ https://www.ipa.go.jp/security/kokokara/ 公的機関・民間団体・企業のセキュリティ情報を集めました！ ここから始めよう！ 探しているセキュリティ情報がすぐ見つかる！ 「対策」も「教育」も「診断」も全部ここから。 ★ IPA ではいろいろな情報提供やコンテンツの配布を行っています。

33

取引先や関係者を偽ってウイルス付のメールを送ってきた

り、正規のウェブサイトに似せた偽サイトへ誘導してＩＤ・パスワ

ードを盗もうとする巧妙な手口が増えています。脅威や攻撃の

手口を知って対策を取りましょう。

そこで質問）

利用中のウェブサービスや製品メーカーが発信するセキュリ

ティ注意喚起を確認して社内共有するなどのように、新たな脅

威や手口を知り対策を社内共有する仕組みはできています

か？

○：実施している

4 点

△：一部実施している

2 点

×：実施していない

0 点

34

Part2. 従業員としての対策

№6 標的型攻撃メール対策等 №7 電子メールの誤送信防止 №8 電子メールでの重要情報漏えい対策 №9 無線 LAN のセキュリティ対策 №10 インターネットを介したトラブル防止 №11 重要情報のバックアップ等の保全対策 №12 重要情報の事務所等での管理 №13 重要情報の持ち出し等の管理 №14 パソコン等の第三者利用制限 №15 事務所等への不正侵入対策 №16 事務所等での重要機器の管理 №17 事務所等での入退出管理 №18 不要になった重要情報の廃棄管理

35

企業・組織を狙ったサイバー攻撃のひとつとして、標的型攻撃メールが増加して います。№5 にも記載したように、最近のサイバー攻撃は巧妙になってきており、何 とかして利用者に電子メールに添付されたファイルを開かせたり、本文中のリンク を参照させたりしようとします。このような添付ファイルやリンクを開いてしまったた めに、利用者のパソコンがウイルスに感染し、さらに利用者が利用するネットワー ク上の他のパソコンやサーバにもウイルスが拡散していく場合があります。結果的 に、企業・組織内の重要な情報が盗み出されたり、企業・組織内の機器や機能が、 関係企業・組織へのサイバー攻撃の踏み台にされたりする場合もあります。 例えば、こんなイメージです。

№6 標的型攻撃メール対策等

受信したメールの添付ファイルを安易に開

いたり本文中のリンクを安易に参照したりし

ないようにするなど、電子メールを介したウ

イルス感染に気をつけていますか？

36

メールの差出人や本文などに違和感があったら、あるいは不必要に添付ファイ ルや本文中のリンクを開くように要求されたら注意が必要ですが、最近ではビジネ スメールに見せかけた攻撃メール（BEC：Business Email Compromise ビジネスメ ール詐欺）もあるようで、違和感のないメールでも危険な場合があるようです。当然 のことですが、ウイルスに感染しないためには、パソコンの脆弱性対策やウイルス 対策ソフトの利用も必須ですが、添付ファイルに関しては、そのファイルの属性(プ ロパティ)あるいはファイル拡張子にも注意が必要です。 標的型攻撃でよく利用される添付ファイルは、それらのファイルを開くためのアプ リケーションの脆弱性を悪用するものだけでなく、実行するだけで感染(正確には感 染ではなく乗っ取りです)する実行型式ファイル（いわゆるアプリケーションファイル） が多く見受けられます。また、最近では Microsoft Ｏｆｆｉｃｅのドキュメントファイルに 悪意のあるマクロ(命令)機能を組み込んだもので攻撃したり、ショートカットファイル やブラウザで開かせるイメージファイルに悪意のあるスクリプト(命令)を組み込んだ もので攻撃したりするものもあるようです。 まとめると… アプリケーションの脆弱性を悪用するファイル(例えば PDF ファイルを開く Adobe Reader といったアプリケーションの脆弱性を悪用し、悪意のある細工 を施した PDF ファイルを開かせることで感染する) 実行するだけでパソコンに感染する実行形式ファイル 悪意のあるマクロ機能を組み込んだ Microsoft Ｏｆｆｉｃｅのドキュメントファイル 悪意のあるスクリプト(命令)を組み込んだショートカットファイル(拡張子は.lnk) や、拡張子が.js や.jse 等のファイルも悪意の Java Script が記述されている 場合があります 基本的な対策として… OS やアプリケーションの脆弱性を解消する  OS やアプリケーションの自動更新設定を有効にしておく  自動設定がない場合は、脆弱性が見つかっているか、OS やアプリケーシ ョンの開発元の情報を定期的に参照し、必要なら更新を行い脆弱性を解 消する セキュリティ対策ソフトを利用する  既知の不正プログラムは対策ソフトが駆除してくれる（見つけてくれる）  各種のセキュリティの対策を利用者に代わって実施してくれる

37

出所不明なファイルやプログラムは開かない（実行しない）  信頼できる相手やウェブサイト（アプリケーション配布サイト等）以外からフ ァイルやプログラムをダウンロード（インストール）しない  必要ならば、インターネット上の評価・評判を検索し問題がおきて いないか確認してから利用する（システム管理者への申請も必要）  業務に関係ないファイルやプログラムはインストール（実行)しない 具体的な対策として… (1) 脆弱性の解消 (「№1 パソコン等の脆弱性対策」を再度確認してください) 添付ファイルを開く前に、そのファイルを開くためのアプリケーションが最 新か(脆弱性が見つかっていないか)確認する 使用する度は面倒ですが、毎朝一番に確認でもＯＫ アプリケーションそのものでなくても、世の中の脆弱性情報の確認でも ＯＫ (2) マクロの制限 Microsoft Office(2010 以降)の場合は、各アプリケーションのオプションの セキュリティセンターを確認する 出所不明あるいは疑いのあるファイルの場合は、マクロ機能を 制限(デフォルト値)しておきましょう どうしても開く必要のある場合は、送信元に確認しましょう (3) 添付ファイルの確認 一般的には実行形式ファイルが直接添付される場合は、ファイル拡張子 が変更されているので、そのまま実行されることはないと考えてよいが要 注意…メール本文中に「拡張子を変えて開いて」なんて指示があったりし ます…ご注意ください 実行形式ファイルやショートカットファイルは圧縮ファイルとして添付され る場合が多いので、圧縮ファイルを展開した後で注意する そこで、不必要な(自分の知らない)拡張子のファイルは、自分の判断だけでは開 かないで、システム管理者等に相談することをお勧めします。 当然のことですが、万が一開いてしまってから気が付いたなら、システム管理者 へ必ず報告し指示を仰ぎましょう。迅速な対応は被害を最小限にします。

38

具体的な対策等について詳しい話は、以下の資料を参考にしてください。 標的型攻撃メール＜危険回避＞対策のしおり (対策のしおりシリーズ) http://www.ipa.go.jp/security/antivirus/shiori.html 貴方が企業･組織の脆弱性（セキュリティ上の弱点）と ならないように、日々の対策を実施しましょう。貴方がウ イルスに感染すると、そこを突破口として企業・組織全体 へウイルスのセキュリティの脅威が広がります。企業･組 織が定めたセキュリティポリシーに即した、セキュリティ対 策手順に従い、突破口とならないようにしてください。 IPA テクニカルウォッチ「標的型攻撃メールの例と見分け方」 https://www.ipa.go.jp/security/technicalwatch/20150109.html 標的型攻撃メールには、受信者が不審をいだかないように、高度な騙しのテ クニックが用いられます。そのため、本書の例に類似した本物のメールやその 逆に本書の例に類似しない巧妙な標的型攻撃メールも存在することを理解し た上で参考にしていただきたい。 同じような感染経路（メールや Web 経由）や感染手口を持つその他の危険度の 高いウイルスに関する情報として… ランサムウェア ランサムは身代金のことで、ランサム ウェアはパソコンに格納された特定のフ ァイルやフォルダを勝手に暗号化などし、 『戻すためのパスワードを知りたければ 金を出せ』などと脅迫します。たいてい の場合は、お金を払っても人質は解放 されません。 ランサムウェアに感染した場合あるいは事前の策は… コンピュータ内のファイルが不正操作された場合、業務が遂行できなくなる可 能性がありますが、身代金を払うくらいなら…常日頃のファイルのバックアッ プが重要となります(「№11 重要情報のバックアップ等の保全対策」も参照し

39

てください)。重要なファイルはウイルスの手の届かない安全な場所にバック アップしておきましょう ただし、リストアできないバックアップは意味がありませんので要注意!! セキュリティ対策ソフトで駆除できないならコンピュータのクリーンインストー ルが必須です 自分自身で何とかしようなんて思わないで…慌てず、騒がず…被害を最小 限に抑えるために…システム管理者へ必ず報告し指示を仰ぎましょう

電子メールに添付されたファイルを開いたり、電子メール本

文中に記載された URL リンクをクリックしたりすることでウイル

ス感染する事故が続いています。身に覚えのない電子メールの

添付ファイルや URL リンクへのアクセスに気を付けましょう。

そこで質問）

受信した不審なメールの添付ファイルを安易に開いたり本文

中のリンクを安易に参照したりしないようにするなど、電子メー

ルを介したウイルス感染に気をつけていますか？

○：実施している

4 点

△：一部実施している

2 点

×：実施していない

0 点