法人のお客さまに起こりがちな状況
新型コロナウイルスは日本の業務スタイルを大きく変えることになりました。
特に大きな変化といえるのが、大企業から中小企業まで行われている大々的なテレワークの導入です。
一方で、インターネット上においてはEMOTETというマルウェアが2019年後半から猛威を振るっています。
EMOTETとは何か、また感染をどのように検知し、どのように対処すべきなのかについて整理しました。
テレワークによるセキュリティレベルの低下に危機感を抱いている情シス担当者の方はぜひご確認ください。
EMOTETとは?その脅威と攻撃方法
EMOTET(エモテット)は日本国内において2019年後半から流行しているマルウェアです。
2014年に最初のEMOTETが確認されて以降、様々な機能追加が重ねられて現在の流行に繋がっております。
EMOTETの活動の流れとしては、主にメールによって侵入し、添付されている不正なマクロが含まれているWordファイルなどのマクロが実行されることで感染します。
感染すると、感染端末を利用しているユーザーのアカウント情報やパスワード、アドレス帳の情報、過去のメール履歴などを収集して攻撃者へ送信します。
それを受け取った攻撃者は「なりすましメール」を生成し、これまでやり取りがあった相手に対して送信する、といった形で際限なく拡散を広げているものになります。
従来のスパムメールやなりすましメールと大きく異なる点としては、日本語の件名や本文が使用されている点です。
「本当に存在する人のアカウント情報を使って送ってきた、日本語で記述されているメール」が、そのメールを受信した人をあたかも通常のビジネスメールであると信じ込ませて、不審に思わずに添付ファイルを開いてしまうような、非常に厄介な性質を持っています。
特に、以前「本当に存在する人と実際にやり取りしたメール」に対し返信・転送する形で、また自然な文章で攻撃メールを受け取ると、URLや添付ファイルなどを不審に思うことは難しいといえるでしょう。
他にも、実際に流行している新型コロナウイルスに関する情報を含んだメールや、ボーナスや賞与などの記述を含んだメールも確認されており、季節性や社会情勢を取り込んだ巧妙ななりすましメールも確認されております。
また、EMOTET自体も様々な機能拡張が行われているため、結果として亜種や変種が増えていくこととなり、特定の対策のみでは対応しきれない状態になっています。
従業員の観点からは、感染時に端末やブラウザに保存しているパスワードを搾取及び悪用しているケースも確認されているようで、情報漏えいの発生源としても脅威です。
メールから入ってくるため、テレワーク時は特に要注意
国内でも新型コロナウイルスの流行によりテレワークを導入する企業が増えてきました。
これによって、EMOTETの脅威度はさらに上がったと考えられています。
本来、企業は様々なセキュリティ対策を多層的に行うことでPC端末まで脅威が届くリスクを軽減していたものが、テレワークによって多層防御の傘を外れたところからPC端末をインターネット接続することで、様々な脅威が直接PC端末に侵入してくる可能性が高まるためです。
また、テレワークによって情シス担当者とのコミュニケーションハードルが上がってしまう状況変化もあります。
普段なら不審なメールが来ても、歩いてすぐの場所にいる情シス担当者に口頭で相談できたものが、テレワークによってメールやチャットといったツールを介して確認する必要がでてきました。
こうしたツールを使い慣れている人ならまだしも、営業の方など使い慣れていない人にとっては、ちょっと手間が増えるだけでも相談に対するハードルが上がってしまいスルーしてしまう可能性が出てきます。
さらには今回のようなケースでは、事前の準備もあまりできないままに緊急事態宣言に伴ってトップダウンでテレワークの実施が決定、実行されたケースが多いと思われます。
結果として在宅勤務時におけるきちんとした情報セキュリティのガイドラインがないために、感染拡大に至ってしまうケースが想定されるのです。
端末まで脅威が届く前に検知・処理する
EMOTETはとても巧妙に感染拡大を広げ、かつ、(どんなウイルスもそうですが)日々進化し続ける性質を持っており、駆除は一筋縄ではいかないのが実情です。
テレワークで自宅や外出先から作業している場合、PC端末上のセキュリティ対策を強化しておくことが重要です。
ウイルス対策製品のパターンファイルやプログラムを常に最新の状態にしておくこと、またOSのセキュリティパッチを欠かさず適用することで、PC端末自体を強化しておきましょう。
次に重要なポイントとしては侵入経路の対策強化、つまり【メールのセキュリティ】を強化することです。
従業員の意識に頼った防御ではなく、その手前で強力なフィルタリングを行うことで、EMOTETの感染を防ぐことが大事だと言えるのです。
そして「実行させないこと」も大事です。
複数のチェックポイントを設定し、どこかで網に引っかかるようにするのは情シス担当者の重要な使命です。
事前に行うべき、外部への影響を減らすための防ぎ方とその準備
感染に至らないための予防策として有効な方法をいくつかご紹介します。
- Office製品でのマクロの自動実行を無効化しておく
- EMOTETは主にメールに添付されたOfficeファイルのマクロ実行によって感染します。
だからこそ、まずは影響が少ないといえそうなWordファイルをはじめとしたOfficeファイルで、勝手にマクロが起動されないようにマクロの自動実行を無効化しておくことで感染のリスクを減らすことができます。 - Windows Updateの実行
- EMOTETでは同一ネットワーク内への感染拡大のためにServer Message Block (SMB) の脆弱性を突くケースもあります。
利用しているOSを最新版に保つことで感染リスクを少しでも低減することが可能です。 - メールに対するセキュリティ対策の強化
- マルウェアが添付されたメールの検知が可能な製品を導入することで、受信段階でのブロックが可能になります。
もちろん、これらとは別に社員全員に向けて「不審なメールを開かないこと」を周知しておくべきなのは言うまでもありません。
トレンドマイクロからのアドバイス
EMOTET対策には、まず主な感染経路である「メール」をおさえることが重要です。
トレンドマイクロでは、メール周りの侵入防御に対してTrend Micro Cloud App Security™のサービスをご提供しています。
ビジネスメール詐欺(BEC)対策とサンドボックスによる不正プログラム解析機能
ビジネスメール詐欺(BEC)対策として、トレンドマイクロではWriting Style DNA™を利用した「書き方の癖」の解析を行い、なりすましメールを判別することができます。
また、サンドボックスを使って不正プログラムの挙動を解析し、ユーザー側への影響が出ないような仕組みを構築しています。
こちらのツールは体験版もご利用いただけるので、現在のセキュリティ体制に危機感を持っている情シス担当者の方はぜひ一度お試しください。