法人のお客さまに起こりがちな状況
新型コロナウイルスは日本の業務スタイルを大きく変えることになりました。
特に大きな変化といえるのが、大企業から中小企業まで行われている大々的なテレワークの導入です。
一方で、インターネット上においてはEMOTETというマルウェアが2019年後半から猛威を振るっています。
EMOTETとは何か、また感染をどのように検知し、どのように対処すべきなのかについて整理しました。
テレワークによるセキュリティレベルの低下に危機感を抱いている情シス担当者の方はぜひご確認ください。
EMOTETとは?その脅威と攻撃方法
EMOTET(エモテット)は日本国内において2019年後半から流行しているマルウェアです。
2014年に最初のEMOTETが確認されて以降、様々な機能追加が重ねられて現在の流行に繋がっております。
EMOTETの活動の流れとしては、主にメールによって侵入し、添付されている不正なマクロが含まれているWordファイルなどのマクロが実行されることで感染します。
感染すると、感染端末を利用しているユーザーのアカウント情報やパスワード、アドレス帳の情報、過去のメール履歴などを収集して攻撃者へ送信します。
それを受け取った攻撃者は「なりすましメール」を生成し、これまでやり取りがあった相手に対して送信する、といった形で際限なく拡散を広げているものになります。
従来のスパムメールやなりすましメールと大きく異なる点としては、日本語の件名や本文が使用されている点です。
「本当に存在する人のアカウント情報を使って送ってきた、日本語で記述されているメール」が、そのメールを受信した人をあたかも通常のビジネスメールであると信じ込ませて、不審に思わずに添付ファイルを開いてしまうような、非常に厄介な性質を持っています。
特に、以前「本当に存在する人と実際にやり取りしたメール」に対し返信・転送する形で、また自然な文章で攻撃メールを受け取ると、URLや添付ファイルなどを不審に思うことは難しいといえるでしょう。
他にも、実際に流行している新型コロナウイルスに関する情報を含んだメールや、ボーナスや賞与などの記述を含んだメールも確認されており、季節性や社会情勢を取り込んだ巧妙ななりすましメールも確認されております。
また、EMOTET自体も様々な機能拡張が行われているため、結果として亜種や変種が増えていくこととなり、特定の対策のみでは対応しきれない状態になっています。
従業員の観点からは、感染時に端末やブラウザに保存しているパスワードを搾取及び悪用しているケースも確認されているようで、情報漏えいの発生源としても脅威です。
メールから入ってくるため、テレワーク時は特に要注意
国内でも新型コロナウイルスの流行によりテレワークを導入する企業が増えてきました。
これによって、EMOTETの脅威度はさらに上がったと考えられています。
本来、企業は様々なセキュリティ対策を多層的に行うことでPC端末まで脅威が届くリスクを軽減していたものが、テレワークによって多層防御の傘を外れたところからPC端末をインターネット接続することで、様々な脅威が直接PC端末に侵入してくる可能性が高まるためです。
また、テレワークによって情シス担当者とのコミュニケーションハードルが上がってしまう状況変化もあります。
普段なら不審なメールが来ても、歩いてすぐの場所にいる情シス担当者に口頭で相談できたものが、テレワークによってメールやチャットといったツールを介して確認する必要がでてきました。
こうしたツールを使い慣れている人ならまだしも、営業の方など使い慣れていない人にとっては、ちょっと手間が増えるだけでも相談に対するハードルが上がってしまいスルーしてしまう可能性が出てきます。
さらには今回のようなケースでは、事前の準備もあまりできないままに緊急事態宣言に伴ってトップダウンでテレワークの実施が決定、実行されたケースが多いと思われます。
結果として在宅勤務時におけるきちんとした情報セキュリティのガイドラインがないために、感染拡大に至ってしまうケースが想定されるのです。
中でも注意が必要なのがzipファイル添付型メールです。
今までの迷惑メールと言えば、明らかに煽るタイトルや本文などが使用されたものが中心でした。
しかしEMOTETは受信者が知る実在の人物を装い、巧妙に偽装された件名や本文、送信元で送ってくることがわかっています。
こうした場合には誰しもが少しの疑念があっても、ついうっかりで開く可能性があると言えます。
営業などの顧客対応がメインの部門に対して注意が向けられるケースが多いのですが、EMOTETは決して営業部門のみが気を付ければ良いという種類の脅威ではありません。
MSOfficeのdocファイルに偽装されたファイルでの感染も多いため、請求書のやり取りが発生する経理部門などのバックオフィスでも注意が必要となります。
むしろ機密性の高い情報を扱っているという意味では、バックオフィス側の方が重要度が高いケースもあります。
採用活動に関する応募者情報や会社の名刺情報を集約しているケース、さらには社員の個人情報などについても漏えいしたら大事になってしまいます。
特定部門に偏ることなく、全社のセキュリティレベル向上に対して意識を向けることが重要です。
ランサムウェアによる端末やサーバへの攻撃の可能性も
EMOTETの怖い点は感染力と共に「ドロッパー」としての活動です。
ドロッパーとはトロイの木馬の一種で、単体では不正コードを保持しないものの、コマンド&コントロール(C&C)サーバと通信を行って別のマルウェアをダウンロードおよび実行するマルウェアのことです。
これによって端末を攻撃するコードやランサムウェアを秘密裏にダウンロードしてくるのがEMOTETの役割の一つです。
C&Cサーバよりダウンロードされるマルウェアは常に同一の物とは限らず、場合によっては端末や社内のサーバを攻撃するプログラムが含まれているケースもあり、多大な被害が発生するケースも散見されます。
つい最近もランサムウェアの攻撃により国内の大手ゲーム会社が個人情報35万件や財務情報の漏えい被害について発表するなどしましたが、こうしたケースもEMOTETが引き金となって発生する可能性が否定できないのです。
つまり、防御対象は個々の端末に加えて社内のサーバなどについても含める必要があると言えるのです。
端末まで脅威が届く前に検知・処理する
EMOTETはとても巧妙に感染拡大を広げ、かつ、(どんなウイルスもそうですが)日々進化し続ける性質を持っており、駆除は一筋縄ではいかないのが実情です。
テレワークで自宅や外出先から作業している場合、PC端末上のセキュリティ対策を強化しておくことが重要です。
ウイルス対策製品のパターンファイルやプログラムを常に最新の状態にしておくこと、またOSのセキュリティパッチを欠かさず適用することで、PC端末自体を強化しておきましょう。
次に重要なポイントとしては侵入経路の対策強化、つまり【メールのセキュリティ】を強化することです。
従業員の意識に頼った防御ではなく、その手前で強力なフィルタリングを行うことで、EMOTETの感染を防ぐことが大事だと言えるのです。
複数のフィルタで検知できる確率を上げる
複数のチェックポイントを設定し、どこかで網に引っかかるようにするのは情シス担当者の重要な使命です。
上述の通り、EMOTETはそれ単体では不正なコードをあまり含まないことが特徴となります。
「感染」と「拡大」に特化していることから、悪意を持った挙動に対しての検知に優れたセキュリティソフトのみでは検知しきれないことも多いのが難しいところです。
だからこそ、重要なのはEMOTETの感染経路に対して複数のフィルタを作りそのどこかで検知できるようにしておくことと言えます。
単一のセキュリティソフトで検知できなかった場合にも、複数のソリューションでの多層的な防御を積み重ねることで検知確率があがり、インシデントを未然に防ぐことにつながるのです。
事前に行うべき、外部への影響を減らすための防ぎ方とその準備
感染に至らないための予防策として有効な方法をいくつかご紹介します。
- Office製品でのマクロの自動実行を無効化しておく
- EMOTETは主にメールに添付されたOfficeファイルのマクロ実行によって感染します。
だからこそ、まずは影響が少ないといえそうなWordファイルをはじめとしたOfficeファイルで、勝手にマクロが起動されないようにマクロの自動実行を無効化しておくことで感染のリスクを減らすことができます。 - Windows Updateの実行
- EMOTETでは同一ネットワーク内への感染拡大のためにServer Message Block (SMB) の脆弱性を突くケースもあります。
利用しているOSを最新版に保つことで感染リスクを少しでも低減することが可能です。 - メールに対するセキュリティ対策の強化
- マルウェアが添付されたメールの検知が可能な製品を導入することで、受信段階でのブロックが可能になります。
併せて、あまり望ましくないケースではありますが感染してしまった場合に外部への影響を減らすための準備もしておきましょう。
- 定期的なメールボックスのスクリーニング
- メールボックス内に不審なメールがないか確認しましょう。ツールを利用し定期的にスクリーニングしておくことが影響を減らすために重要です。
- ふるまい検知/挙動監視機能を持ったセキュリティ製品の導入
- 人の挙動とは異なるツール特有の挙動を検知し不正なコードを発見することができるソリューションです。不正なアクションが起こった段階でアラートを出してくれます。
- サーバ側でのセキュリティレベル向上
- 不正プログラムのシャットアウトやレジストリなどの変更監視など、高機能なセキュリティソフトが数多く出ています。 データの機密性も高い個所のため、セキュアな環境構築が重要です。
もちろん、これらとは別に社員全員に向けて「不審なメールを開かないこと」を周知しておくべきなのは言うまでもありません。
トレンドマイクロからのアドバイス
EMOTET対策はイコール会社全体のセキュリティレベル向上に他なりません。
サーバの保護やクライアント端末の保護などきちんとした全体のセキュリティレベル向上が不可欠です。
トレンドマイクロではクラウドからネットワーク、クライアントまで多くの企業にも安心して使ってもらえる様々なソリューションを提供しています。
自社の体制をご確認のうえ、不足している点がありましたらぜひご検討ください。
軽くて・強くて管理負担が少ない中小企業向けクラウドセキュリティ
ウイルスバスター™ビジネスセキュリティサービス(VBBSS)は現場から求められる「速さ」と「防御力」を両立させるとともに、管理者が求める「導入のしやすさ」や「管理のしやすさ」にもこだわったセキュリティ製品です。
従業員数の増減に合わせてPC1台から手軽に導入可能でありながら全PCのセキュリティを遠隔管理できます。
「クラウド型」のため管理サーバも不要で、管理者、ユーザー共に自宅などのテレワーク環境で作業するケースにも対応した管理コスト軽減に貢献できるソリューションとなっています。
事前予防と事後対処を実現するエンドポイントセキュリティ
Trend Micro Apex One™ SaaSはセキュリティをクラウドからサービスとして提供する (Security as a Service)として、クラウド基盤を活用した新しいインシデント対応を行っています。
管理サーバのメンテナンスを不要とし、自動アップデートにより運用管理工数を大幅に削減、管理コストの最適化を図ることのできる「サービスとしてのセキュリティ (SaaS)」です。
メールボックス内に残っている脅威を可視化
Trend Micro Security Assessment Serviceは企業が直面する高度な脅威から効果的に守られているかどうかを確認できる無料のMicrosoft 365メールセキュリティ評価サービスです。
検出した脅威情報を詳細なレポート形式でご提供し昨今の脅威からどの程度保護されているかが検証可能となっています。
パフォーマンスを損なわずにDC、クラウド、 コンテナ保護
Trend Micro Cloud One - Workload Security™は脆弱(ぜいじゃく)性や不正プログラムおよび不正な変更などの脅威から、仮想・物理・クラウドおよびコンテナ環境のハイブリッド環境を防御できるソリューションです。
CAS: 高度な脅威からクラウドメールサービスのメールやファイル共有サービス上のデータを保護
Trend Micro Cloud App Security™(CAS)はランサムウェアや標的型サイバー攻撃によく利用されるOfficeファイルをはじめとするビジネスでよく使用される形式のファイルに潜む不正プログラムを検出。
ドキュメントエクスプロイトの検出技術と挙動分析により未知の不正プログラム、不正URLも検出できるメール・コラボレーションセキュリティ製品で人間のセキュリティ意識と合わせ効果的にランサムウェアを防御することができます。
※すべての未知の脅威に対応するものではありません