PRODUCT

製品/サービス

IPAが注意喚起!潜伏しているかもしれないウイルスをLanScope Catで確認

IPAの注意喚起概要について

IPA(情報処理推進機構)では2015年6月1日の公的機関からの個人情報漏えいの報道を受け、対策と運用管理に関する注意喚起を発表しました。

参考) IPA(情報処理推進機構)
【注意喚起】潜伏しているかもしれないウイルスの感染検査を今すぐ!
https://www.ipa.go.jp/security/ciadr/vul/20150629-checkpc.html

最近のウイルス感染被害は、外部の機関からの通報等によって初めて感染に気づかされるケースがほとんどの為、 自組織内のウイルス感染への懸念が高まっています。IPAでは組織内への感染の突破口となり得る部署の端末など、優先順位の高い端末から、可能な限り検査を進めることを推奨しています。

LanScope Catでは保守ユーザー様専用サイトよりダウンロードいただけるスクリプトを実行することで、 社内端末に不審なファイルが存在するかを確認することが可能です。今回はその詳細な手順をご紹介いたします。

LanScope Catでできる社内端末上の不審ファイル検索

検索を実行することで、特定のフォルダ内に不審なファイルが存在していないかを確認できます。検索結果については、管理コンソール上で一括確認が可能です。

※不審なファイルとは:ウイルス、ツール、表示用ダミー(デコイ)ファイル(ウイルス感染時に画面に表示される囮の文書ファイル)

btn_try1

 

確認手順

①スクリプトファイルをLanScope Catのファイル配布機能で配布・実行する。

不審なファイルが見つかった場合、ファイル名と場所をMRのレジストリに書き込みます。

 

image01

 

②レジストリキーの取得設定で、レジストリキーを取得対象に設定します。

01

 

※不審なファイルが存在する場合、該当端末をネットワークから切り離すなど対処が必要となります。 端末利用者への連絡も電話やメールだけではなくLanScope Catのメッセージ機能を利用することも可能です。

③レジストリキーの取得情報で、どの端末に不審なファイルが存在しているかを確認する

管理者はLanScope Catの管理コンソール上で社内の端末に不審なファイルが存在していないかを確認します。

<IPAが提示している不審なファイルの格納場所>

  • ログオンユーザーのスタートアップのフォルダ
  • AllUserのスタートアップのフォルダ
  • ログオンユーザーのTEMPフォルダ
  • WindowsのTEMPフォルダ
<IPAが提示している不審なファイル一覧>
leanp.exe vmatam.exe GetPassword.exe mail_noArgv_final.exe leassap.exe
vmatap.exe mimikatz.exe result.log leassaq.exe vmater.exe
mimikatzx64.exe 14068.rar leassnp.exe vmmat.exe mimikatz1.exe
ms14-068.exe mdm.exe vmnatam.exe gp.exe kptl.doc
nvsvcv.exe vmwere.exe Gp64.exe kenpo.doc nvvscv.exe
windump.exe ps.txt slwga.exe ct.exe msver.exe
upsl.dll yrar.exe slwga.exe ss.exe vmat.exe
csvde.exe mailfinal.exe