2015年6月11日 15:21
ウイルス感染は早期発見と対応が重要に、IPAが注意喚起
そのため、端末のインターネット接続がすべてプロキシ経由で、直接のインターネット接続は遮断されている場合は注意が必要だ。直接外部と通信を行おうとして遮断されている通信がないか、ファイアウォールにおいてブロックされた通信のログを確認することも重要だという。
また、Active Directoryサーバーやファイルサーバーなどの端末からWindows Updateなどの通信を除いたインターネット向けの通信が無いか確認したい。もし通信があれば、意図的なものか注意が必要だ。なお、国内のサイトが改ざんされ、C&Cサーバーとなっている可能性もある。そのため、国内のウェブサーバーへの通信だから安全とは判断せずに、通信内容を精査する必要がある。
○Active Directoryのログの確認
Active Directoryを運用している組織は、ログなどから下記のような不審な兆候がないか確認する必要がある。
想定されないアカウントでのログイン
想定されない端末やサーバーへのログイン
想定されない端末での管理者ログイン
想定されない時間帯のアクセス
想定されない管理者操作やポリシーの変更
○Active Directoryサーバーやファイルサーバーなどの確認
見覚えのないタスクがタスクスケジューラーに登録されていないか確認する。