NetStable検出シグネチャのご説明

検出概要

2019年4月1日から5月21日までの検出より、特に注意を頂きたいシグネチャについて抜粋し、その内容と対処についてご説明致します。

【今回取り上げるシグネチャ】

シグネチャID シグネチャ名 検出割合
2000381 Windows Live Mail SMTP 39.8%
2000479 BaiduIME Block SSL 25.4%
2000432 FTP Server unencrypted login 16.1%

Windows Live Mail SMTPについて

【シグネチャの内容】
このシグネチャは、サポートが終了しているソフト「Windows Liveメール」を用いたメールの送信を検知するシグネチャです。
このシグネチャが検知された場合は、社内で「Windows Liveメール」を利用しメール送信が行われていることを示します。

【検出時の対処】
検出ログの送信元IPアドレスのパソコンに「Windows Liveメール」がインストールされており、メール送信が行われています。
サポートが終了しているソフトは、今後機能追加やセキュリティの更新が行われないため、マルウェア感染のリスクが高くなります。
他のメールソフトの「Outlook」や「Thunderbird」などへ移行される事をお勧めします。

BaiduIME Block SSLについて

【シグネチャの内容】
日本語入力ソフト「BaiduIME」の「クラウド変換機能」が有効である場合に発生する、Baidu社サーバへの通信を検知するシグネチャです。
また、社内のWi-Fiに接続されているスマートフォン上に、日本語入力アプリ「Simeji」がインストールされており、クラウド変換機能が有効の場合にも検出されます。

【検出時の対処】
検出ログの送信元IPアドレスのパソコンやスマートフォンに「BaiduIME」や「Simeji」がインストールされています。
BaiduIMEは、顔文字や今話題のワードなどの変換に長けているという特徴があるとされています。
また、クラウド変換機能は、入力中の文字情報をBaidu社のサーバに送信し、変換精度を高める機能です。
業務用のパソコンにおいて「クラウド変換機能」の必要の有無や、「BaiduIME」の利用可否を検討されることをお勧めします。

FTP Server unencrypted loginについて

【シグネチャの内容】
ホームページ更新等に利用される「FTP」の通信において、暗号化せずにログインの接続が行われた事を検知するシグネチャです。
FTP標準では通信内容が暗号化されず、セキュリティリスクがあります。
近年では暗号化されたFTP通信である「FTPS」等に対応したサービスも多くなっていますので、利用しているFTPサーバでセキュリティが高い方式が利用可能である場合、設定を変更されることをお勧めします。

【検出時の対処】
検出ログの送信元IPアドレスのパソコンが、受信先IPアドレスのサーバと暗号化されていないFTP通信を行っています。
FTP通信の設定を確認し、暗号化されたFTP通信や、セキュリティの高い方式に変更されることをお勧めします。

PDF版をダウンロード(268KB)