IPAの注意喚起概要について
IPA(情報処理推進機構)では2015年6月1日の公的機関からの個人情報漏えいの報道を受け、対策と運用管理に関する注意喚起を発表しました。
参考) IPA(情報処理推進機構)
【注意喚起】潜伏しているかもしれないウイルスの感染検査を今すぐ!
https://www.ipa.go.jp/security/ciadr/vul/20150629-checkpc.html
最近のウイルス感染被害は、外部の機関からの通報等によって初めて感染に気づかされるケースがほとんどの為、 自組織内のウイルス感染への懸念が高まっています。IPAでは組織内への感染の突破口となり得る部署の端末など、優先順位の高い端末から、可能な限り検査を進めることを推奨しています。
LanScope Catでは保守ユーザー様専用サイトよりダウンロードいただけるスクリプトを実行することで、 社内端末に不審なファイルが存在するかを確認することが可能です。今回はその詳細な手順をご紹介いたします。
LanScope Catでできる社内端末上の不審ファイル検索
検索を実行することで、特定のフォルダ内に不審なファイルが存在していないかを確認できます。検索結果については、管理コンソール上で一括確認が可能です。
※不審なファイルとは:ウイルス、ツール、表示用ダミー(デコイ)ファイル(ウイルス感染時に画面に表示される囮の文書ファイル)
確認手順
①スクリプトファイルをLanScope Catのファイル配布機能で配布・実行する。
不審なファイルが見つかった場合、ファイル名と場所をMRのレジストリに書き込みます。
②レジストリキーの取得設定で、レジストリキーを取得対象に設定します。
※不審なファイルが存在する場合、該当端末をネットワークから切り離すなど対処が必要となります。 端末利用者への連絡も電話やメールだけではなくLanScope Catのメッセージ機能を利用することも可能です。
③レジストリキーの取得情報で、どの端末に不審なファイルが存在しているかを確認する
管理者はLanScope Catの管理コンソール上で社内の端末に不審なファイルが存在していないかを確認します。
<IPAが提示している不審なファイルの格納場所>
- ログオンユーザーのスタートアップのフォルダ
- AllUserのスタートアップのフォルダ
- ログオンユーザーのTEMPフォルダ
- WindowsのTEMPフォルダ
<IPAが提示している不審なファイル一覧> | ||||
---|---|---|---|---|
leanp.exe | vmatam.exe | GetPassword.exe | mail_noArgv_final.exe | leassap.exe |
vmatap.exe | mimikatz.exe | result.log | leassaq.exe | vmater.exe |
mimikatzx64.exe | 14068.rar | leassnp.exe | vmmat.exe | mimikatz1.exe |
ms14-068.exe | mdm.exe | vmnatam.exe | gp.exe | kptl.doc |
nvsvcv.exe | vmwere.exe | Gp64.exe | kenpo.doc | nvvscv.exe |
windump.exe | ps.txt | slwga.exe | ct.exe | msver.exe |
upsl.dll | yrar.exe | slwga.exe | ss.exe | vmat.exe |
csvde.exe | mailfinal.exe |