ニュース

年末年始の長期休暇に向けたセキュリティ対策を、JPCERT/CCが呼び掛け

リモートデスクトップサービスの脆弱性を狙った攻撃やDDoS攻撃に注意

 一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)は、ウイルス感染や情報漏えいの問題発生に気付きにくい年末年始の長期休暇におけるセキュリティ対策のまとめと注意喚起を行った。

システム管理者や一般社員・職員が注意すること、セキュリティ設定の見直しを

 システム管理者は、不測の事態が発生した場合に備えて、緊急連絡網が整備・周知されていることを長期休暇前に確認する必要がある。また、サーバーで使用しているOSやソフトウェアの更新・修正プログラムの適用、休暇中に稼働の必要がない機器への対応が求められる。

 休暇中に修正プログラムが公開されていた場合は、休暇明けに社員・職員に向けて情報を周知させ、組織内のネットワークに接続する前にウイルスチェックを行う必要がある。さらに、休暇期間中のサーバーへの不審なアクセスや挙動がないかを確認し、公開しているコンテンツが改ざんされていないか確認しておきたい。

 一般社員・職員は、インシデント発生時の連絡先を確認することや、業務で使用するPC、スマートフォンのOS、ソフトウェアに最新の修正プログラムを適用することが求められる。PCやデータを持ち出す際には自組織のポリシーに従い、取り扱いや情報漏えいに細心の注意を払いたい。

 休暇明けには、出社直後にウイルス対策ソフトの定義ファイルを最新の状態に更新し、休暇中に持ち出したPCやUSBメモリーのウイルスチェックを行うことが推奨される。また、休暇中に修正プログラムが公開されていた場合は、システム管理者の指示に従って適用する必要がある。

 また、マルウェアの感染を防ぐため、休暇明けに業務PC宛のメールを開く際には、添付ファイルや本文の内容に気を付ける必要がある。

リモートデスクトップサービスの脆弱性を狙った攻撃に注意

 インターネットを介したテレワーキングやシステムの遠隔保守など、リモートからアクセス可能なサービスは、適切なセキュリティ対策を行っていない場合、インシデントの発生原因になる可能性がある。JPCERT/CCでは、これらのサービスを対象とした複数の攻撃活動を確認している。

 具体的には、2019年5月にマイクロソフトより報告された、リモートデスクトップサービスの脆弱性(CVE-2019-0708)を悪用した攻撃を観測している。同脆弱性を悪用されると、認証されていない遠隔の攻撃者がリモートデスクトッププロトコル(RDP)を使用して細工したリクエストを送り、任意のコードを実行される可能性がある。

「リモートデスクトップサービスを狙った攻撃」のイメージ

 また、Palo Alto Networks、Fortinet、Pulse Secureなどの複数のSSL VPN製品に存在する脆弱性についても注意を促している。脆弱性を悪用されるとリモートから任意のコードを実行されたり、認証情報などを取得される恐れがある。

 こうした脆弱性の悪用により、攻撃者がシステム内部に侵入する可能性があるため、1)ソフトウェアやハードウェアを最新の状態に保つこと、2)アクセスに用いるIPアドレスやポートを制限すること、3)リモートからアクセス可能なサービスを把握すること、4)インシデントを適切に検知するために、ログの記録や分析方法を見直すことが推奨される。

DDoS攻撃も引き続き観測、送信元アドレスの偽装に使われる「じゅうたん爆撃」

 このほか、JPCERT/CCではSYN/ACKリフレクション攻撃についても引き続き観測している。SYN/ACKリフレクション攻撃はDDoS攻撃の一種で、攻撃者は送信元IPアドレスを偽装したSYNパケットを多数のインターネット上のウェブサーバーなどの機器に対し送信することで、それらを踏み台として、SYN/ACKパケットを偽装された送信元IPアドレスに送信させる手法になる。

 送信元アドレスの偽装においては、「Carpet Bombing(じゅうたん爆撃)」と呼ばれる手法が使われている。同手法では、送信元アドレスの偽装を単一アドレスではなく広いレンジで行うため、IPアドレス単位での攻撃の検知や遮断が実施できない可能性がある。

 攻撃が行われた際に円滑な対応ができるように、サービスプロバイダーと契約内容について確認することや、組織外への情報提供手段(ウェブサイトやSNSなど)を複数用意することを推奨している。

「SYN/ACK リフレクション攻撃」のイメージ