=標的型攻撃におけるマルウェア感染について=
最近、テレビ・マスコミ等で公的機関を始めとして、各組織におけるマルウェア感染事案が報道されています。
昨今の標的型攻撃では、電子メールの件名や本文・添付ファイルに標的となった組織の業務固有の用語が用いられたり、OSやソフトの脆弱性をついた攻撃など、ウイルス対策ソフトの導入だけでは万全ではない攻撃方法の高度化・複雑化が進んでいます。
病院等の医療機関においても、サイトの改ざんやネット接続機器の不具合、ランサムウエア感染による電子カルテ等のデータ暗号化と解読脅迫、など、感染例が確認されております。
標的型攻撃メールでは次のような特徴があります。
1.メールの受信者に関係がありそうな送信者(自分自身のメールアドレスを含む)を詐称
2.添付ファイルや本文中の"URLリンク"を開かせるため、件名・本文・添付ファイルに巧妙に細工が施されています。"実在の送信者と思わせるよう巧妙に成りすましています"
3.業務に関係するメールを装ったり、興味を惹かせる内容や添付ファイルの拡張子(ファイル名の後に付くアルファベット)を偽装しているものもあります
4.ウイルス対策ソフトで検知しにくい(検知しない)ものがあります
具体的には、
1.社内の連絡メールを装うもの
2.政府機関からの情報伝達を模すもの(ご案内、通達を装うなど)
3.役に立つ情報としてのメディアニュースを装う
4.合併や買収情報の興味を引くもの
5.ビジネスレポートとして案内されるもの
6.様々な契約関連を装うもの
7.技術革新情報として案内されるもの
8.自然災害の備えとしてのメール等
上記の内容は、受信者が興味を引くような物ばかりで、悪意を持った攻撃者は、巧妙に偽装工作を図っています。
また、メールばかりではなく、OSやソフト、セキュリティソフトの更新の脆弱性・タイムラグを突いて、インターネット接続しただけで感染することもあります。
このため、侵入を100%防ぎ続けることは困難であり、マルウェア感染を防止するという入口対策だけではなく、ネットワーク内の監視等を行い侵入を検知すること、取り扱う情報の重要度に応じて多重に防護することなど侵入されても被害を抑える対策を実施することが重要となります。
具体的に端末内に潜伏するウイルスの有無を確認するための方法については、IPA(独立行政法人情報処理推進機構)から注意喚起が公表されています。
・【注意喚起】潜伏しているかもしれないウイルスの感染検査を今すぐ! https://www.ipa.go.jp/security/ciadr/vul/20150629-checkpc.html
・標的型攻撃メールの例と見分け方
https://www.ipa.go.jp/files/000043331.pdf
また、IPAからは対策例が注意喚起として公表されていますので、併せて確認ください。
・【注意喚起】ウイルス感染を想定したセキュリティ対策と運用管理を
https://www.ipa.go.jp/security/ciadr/vul/20150602-secop.html
・【注意喚起】組織のウイルス感染の早期発見と対応を」(情報処理推進機構)
https://www.ipa.go.jp/security/ciadr/vul/20150610-checklog.html
IPAの注意喚起にもあるように、Active Directoryについては攻撃者が不正に管理者権限を使用するケースも散見されており、JPCERT/CCによる以下の注意喚起も、併せて確認ください。
・Active Directory のドメイン管理者アカウントの不正使用に関する注意喚起 https://www.jpcert.or.jp/at/2014/at140054.html
なお、重要インフラ事業者等においてマルウェア感染等が発見された場合、それが重要インフラサービスに直接関係しない場合であっても、情報共有を行うことで我が国全体におけるサイバーセキュリティ対策に資することとなりますので、「重要インフラの情報セキュリティ対策に係る第4次行動計画」における考え方を踏まえ、重要インフラ所管省庁を通じて迅速かつ的確な情報共有に御協力くださるようよろしくお願いいたします。
ホームページ改ざん等サイバー攻撃を受けた際の行動について
ホームページ改ざん等サイバー攻撃を受けた際や、IT障害を含むITの不具合や予兆・ヒヤリハットに関する情報(以下「ITの不具合等に関する情報」という。)には、@IT障害の未然防止、AIT障害の拡大防止・迅速な復旧、BIT障害の原因等の分析・検証による再発防止を心がけて下さい。
※こちらの「サイバー攻撃を受けた場合の対応について(院内掲示用)」をご活用下さい。
また、重要インフラの情報セキュリティ対策に係る第4次行動計画の48ページ以降についてもご参照下さい。
1)被害を最小に食い止める手段を取って下さい。
→サイトの閉鎖、外部ネットワークからの遮断等
2)被害に関する報告を警察等にご連絡下さい。
3)重要インフラの情報セキュリティ対策に係る第4次行動計画の48ページ以降をご参照の上、発生事象概要報告に御記入の上、ガイドラインの更なる周知徹底を図るとともに、医療機関等においてコンピュータウイルスの感染などによるサイバー攻撃を受けた疑いがある場合にあっては、別紙を活用して直ちに医療情報システムの保守会社等に連絡の上、当該サイバー攻撃により医療情報システムに障害が発生し、個人情報の漏洩や医療提供体制に支障が生じる又はそのおそれがある事案であると判断された場合には、速やかに当該医療機関等から厚生労働省医政局研究開発振興課医療技術情報推進室(以下「医療技術情報推進室」という。)に連絡を行うよう、注意喚起をお願いいたします。
コンピュータウイルスの感染や不正アクセス、ボットなどパソコンの脆弱性をつく行為に対応するには、下記掲載の各種指針等をご参照の上、パソコンやサーバーの基本ソフト、セキュリティ対策ソフトの有効化・定期検査・定期バージョンアップ・駆除などサイバーセキュリティ対策をお願いいたします。
(※独立行政法人 情報処理推進機構セキュリティセンターでは、セキュリティ上問題となるPCやサーバの脆弱性の対策を促進するために、対策情報を効率的に収集したり、簡単な操作で最新情報に基づいたチェックを行うことができる仕組み「MyJVN」がありますので、ご活用下さい。)
また、知人からのメール含め、怪しいと思われる添付ファイルやサイトがある場合、決して開かないように心がけてください。
●医療機器におけるサイバーセキュリティの確保について
●サイバーセキュリティ対策を強化するための監査に係る基本方針
●重要インフラにおける情報セキュリティ確保に係る安全基準等策定指針(第4版)
●重要インフラの情報セキュリティ対策に係る第4次行動計画
●サイバーセキュリティ基本法の公布について
>通知文
>別添1:サイバーセキュリティ基本法の概要
>別添2:サイバーセキュリティ基本法文
(平成26年法律第104号)
>別添3:サイバーセキュリティの確保に関する件
(衆議院内閣委員会)
>別添4:サイバーセキュリティ基本法に関する附帯決議
(参議院内閣委員会)
※参考資料:重要インフラの情報セキュリティ対策に係る第4次行動計画
→医療機関についても「重要インフラ事業者」として位置づけられておりますので、ご留意下さるようお願い致します。
医療機器における情報セキュリティに関する調査(2013年度)
(独立行政法人情報処理推進機構)
医療情報システムの安全管理に関するガイドライン
(平成25年10月
厚生労働省発行)
1)法人向けインターネット・バンキングにおける預金等の不正な払戻しに関する補償の考え方について、一般社団法人全国銀行協会より通知がございますので、ご参照下さい。
2)セキュリティ相談(不正アクセス等の発生、予防等の相談)については、下記連絡先が用意されております。
早急で、的確な対処・対応になるように思われますので、ご活用下さい。
IPA(独立行政法人情報処理推進機構)
http://www.ipa.go.jp/security/outline/todoke-top-j.html
JEPCERT
https://www.jpcert.or.jp/
※ページ左側の「インシデントの報告」と記載されたところに、必要な内容が載っています。
3)STOP!! パスワード使い回し!!
〜パスワードリスト攻撃による不正ログイン防止に向けた呼びかけ〜 https://www.jpcert.or.jp/pr/2014/pr140004.html
当該プログラムに限らず、様々な不正プログラムが全世界的に感染が拡大しておりますので、各医療機関におかれましては情報セキュリティに十分ご注意くださるようお願い致します。
一般社団法人 日本医療法人協会
サイバーセキュリティは
