BIGLOBEセキュリティニュース

アクセスカウンタ

zoom RSS GW目前、セキュリティ対策や対応体制の再確認を - 脆弱性公開にも要注意

<<   作成日時 : 2017/04/19 17:30   >>

トラックバック 0 / コメント 0

画像

4月も半ばを過ぎ、ゴールデンウィークが目前に迫っている。9連休など長期間にわたる組織もあり、例年同様、休暇に備えたセキュリティ対策をあらためて確認する時期を迎えている。3月に判明した「Apache Struts 2」の脆弱性など、対応の遅れが大きな被害をもたらすケースもあり、脆弱性情報にも警戒が必要だ。

長期休暇には、自宅作業などのため、端末やデータを持ち出す場合があるほか、外部からの攻撃などインシデントの発生が想定される。その一方でシステム管理者が不在であることも多い。攻撃者が、体制の不十分な休暇のタイミングをあえて狙うケースもある。

不正アクセスを受けると、システム内部に対する侵入やデータの盗難、破壊、サービスの停止などが生じるおそれがあることにくわえ、ウェブサイトが改ざんされた場合、マルウェア感染被害が閲覧者へ拡大し、加害者となってしまう可能性もある。

被害を防ぐためには、事前にOSやアプリケーションにおける脆弱性の解消、セキュリティ対策ソフトの更新、バックアップのほか、使用しない機器の電源を落とすなど、基本的なセキュリティ対策が実施されているか、あらためてチェックしたい。

特にウェブサイトなど、外部へ公開しているシステムに関しては、重大な脆弱性が公開されていないか、休暇期間中も注意を払う必要がある。

2月に判明した「REST API」に関する「WordPress」の脆弱性や、3月に明らかとなった「Apache Struts 2」の「CVE-2017-5638」など、脆弱性の公表から短いスパンで攻撃が大規模に展開され、修正前に攻撃を受けて被害が発生してしまうケースもある。

インシデントの発生はもちろん、使用するシステムの脆弱性が公開された場合なども想定し、連絡体制や対応手順などを確認しておくと安心だ。

データの持ち出しについては、持ち出しの許可、紛失や盗難を踏まえた暗号化、マルウェア感染対策の実施、漏洩が生じた場合の対応など、ルールの周知徹底が重要。ランサムウェアの感染も広がっており、データの破壊などにも備えた対策が求められる。

期間中だけでなく、休暇明けにも注意が必要だ。業務を開始する前に、セキュリティ更新プログラムが公開されていないか確認し、OSやソフトウェア、セキュリティ対策ソフトなどを最新の状態へアップデートしたり、攻撃を受けた形跡がないか確認する必要がある。持ち出された端末やメディアを経由したマルウェアの侵入にも要注意だ。

さらに休暇中に届いたメールにも気を付けたい。休暇明けは、メールの処理など業務に追われ、添付ファイルや本文中に記載されたURLなどに対する警戒が薄れるおそれもある。多忙な時期を狙った標的型攻撃を想定しておくべきだろう。

また2017年は、各社が定例のセキュリティアップデートを公開する米時間毎月第2火曜日、いわゆる「パッチチューズデー」が、5月9日に控えていることも意識しておきたい。

(Security NEXT - 2017/04/18 )

■出典:Security NEXT

── ウイルス感染などの被害にあわないために・・・
被害を防ぐためには、パソコンのOSやソフトウェアの更新プログラムの適用と、ウイルス対策ソフトを利用して定義ファイルを最新に保つ、2つのことが重要です。

BIGLOBEの総合ウイルス対策ソフト『セキュリティセット・プレミアム』は、ウイルスや迷惑メール、不正アクセスなど、インターネットのあらゆる脅威からあなたのパソコンやスマホを守ります。

新規申込の方なら、今月と翌月の月額料金が【無料】です。
詳細はこちら

テーマ

注目テーマ 一覧


月別リンク

ニュースの更新のお知らせを受け取ろう



GW目前、セキュリティ対策や対応体制の再確認を - 脆弱性公開にも要注意 BIGLOBEセキュリティニュース/BIGLOBEウェブリブログ
文字サイズ:       閉じる