特定の企業や組織を狙ったサイバー攻撃である「標的型攻撃」が相次いでいる。従業員から、「怪しいメールを受け取った」「添付された文書ファイルを開いたが、何も表示されない」といった連絡があったら、セキュリティ担当者は素早く対応しよう。自社が標的型攻撃を受けている恐れがあるからだ。
怪しく見える正規のメールはあり得るし、報告した従業員の勘違いかもしれない。しかし担当者は、被害が出ていなくても、攻撃があったと想定して対応するのが不可欠だ。それにより、万一の場合の被害を最小限に抑えられる。ここからは、担当者が実施すべき対応手順を説明しよう(図1)。
図1●「怪しいメールを受け取った」との電話を受けたら?
対応手順の概略をまとめた。
[画像のクリックで拡大表示]
一刻も早く「隔離」
標的型攻撃ではウイルスを使う。パソコンを乗っ取ったウイルスは、社内の別のパソコンに感染を広げるとともに、乗っ取ったことを攻撃者に通知する。その後、攻撃者の命令に従って情報を盗んだり、他社のサーバーを攻撃したりする。
これらを阻止するために、まずは、該当のパソコンを社内ネットワークから切り離して「隔離」するよう報告者に指示する▼(図2)。一刻も早く隔離させることで、被害を最小限に抑える。
図2●まずは該当パソコンをネットワークから切り離す
ウイルス感染の可能性が低そうな場合でも、念のため該当パソコンをネットワークから切り離すよう指示する。万が一に備えて、被害の拡大を防ぐためだ。
[画像のクリックで拡大表示]
該当パソコンが社内ネットワークに有線で接続している場合には、LANケーブルを抜く▼よう指示する。報告者が指示を理解できない場合には、周りの人に協力を仰ぐよう指示する。それでもわからないようなら、報告者の下に急行して担当者がLANケーブルを抜く。
ただ、LANケーブルを抜いても安心はできない。無線LANを整備している企業が多いからだ。該当のパソコンが無線LAN機能を備えていたら、LANケーブルを抜いても通信し続ける可能性がある。
▼指示する
従業員から電話で報告されたらその電話口で、メールで報告された場合には、その従業員に電話をかけて指示しよう。サイバー攻撃を受けた場合の初期対応は時間との勝負。メールで指示するのはやめよう。
▼LANケーブルを抜く
こういった場合に備えて、情報セキュリティに関する研修などの際に、LANケーブルの差し込み口や引き抜き方について、従業員に周知させておこう。イントラネットの掲示板などに掲載しておくのもお勧めだ。LANケーブルの引き抜きを実際に経験させて予行演習させておくとより効果的だ。
従業員から電話で報告されたらその電話口で、メールで報告された場合には、その従業員に電話をかけて指示しよう。サイバー攻撃を受けた場合の初期対応は時間との勝負。メールで指示するのはやめよう。
▼LANケーブルを抜く
こういった場合に備えて、情報セキュリティに関する研修などの際に、LANケーブルの差し込み口や引き抜き方について、従業員に周知させておこう。イントラネットの掲示板などに掲載しておくのもお勧めだ。LANケーブルの引き抜きを実際に経験させて予行演習させておくとより効果的だ。