国民のための
サイバーセキュリティサイト
国民のための
サイバーセキュリティサイト
ある組織の機密情報が、電子メールで外部に送信されていることが判明しました。
組織の内部から外部に向けた通信の中に不審な通信が発見されたため、通信元のパソコン1台を特定し、ただちにネットワークから切り離して調査しました。その結果、そのパソコンがマルウェア(ウイルス等)に感染していることが判明したのです。その後の調査の結果、このパソコンに感染していたマルウェアによって、組織内部の情報収集が実行され、外部へ送信されていた事実が確認されました。
発端は、ある職員の電子メールアドレスに、知人を装ったマルウェア付きのメールが送られたことでした。職員は何ら疑うことなく業務用のパソコンで開封し、マルウェアに感染してしまったのです。その後もパソコンの調子に変わったところがなかったので、ずっと感染に気づきませんでした。このメールは知人から送られたものではなく、送信元を偽った標的型攻撃のメールだったのです。
たった1台のパソコンがウイルス感染するだけで、重要な組織情報が盗まれる事態に発生することもあります。このような標的型攻撃メールには十分に注意しなければなりません。
一般的に企業や組織ではパソコンにマルウェアが感染した可能性がある場合の対応方法が定められているはずなので、まずはそのルールに従いましょう。一般的にはWi-Fi接続をOFFにしたり、LANケーブルを抜いたりして、インターネットに接続できない状態にします。その上で、システムを管理している担当者に報告し、指示を仰ぎましょう。
どの程度の被害規模なのかを正確に特定するために調査を実施しましょう。
その際には必要に応じてマルウェア感染パソコンに対してフォレンジクス分析などの高度な調査分析を(外部の専門業者に依頼するなどして)実施することも検討しましょう。
また、社内システム全体に被害が広まっている可能性も考慮して、外部の専門業者に調査分析を依頼することも検討しましょう。
従業員にパソコンを返却する場合は完全にクリーンナップ(初期化)した上でOSの再インストールを実施してください。
被害を受けた関係各所への報告、必要に応じてプレスリリースや記者会見といった対応を検討しましょう。
マルウェアが添付されたメールをブロックするため、メールフィルタリングソリューションの導入を検討しましょう。
マルウェアに感染して情報を外部に持ち出されそうになったときに通信を止められる、不正通信検知ソリューションの導入を検討しましょう。
標的型攻撃メールに対処するための訓練の実施を検討しましょう。この訓練では、標的型攻撃を模したメールを従業員に送付し、不審なファイルを開封しないかどうかをチェックします。訓練を通してセキュリティ意識の向上と、不信なメールの開封率低下が狙えます。