情報漏えい対策

むやみに聞けないzipファイルのリスクと
流行の兆しがあるIcedID

  • TOP
  • 課題から探す
  • むやみに聞けないzipファイルのリスクと流行の兆しがあるIcedID

法人のお客さまに起こりがちな状況

ファイルサイズが大きくなったから取りあえずZIPファイルに圧縮する、と言うのは社会人であれば誰しも経験がある作業ではないでしょうか?

中には個人情報や機密情報を送る場合にはパスワード付ZIPファイルで送るよう社内規定がある会社もあると思います。

これらは現代社会で既にほぼ一般的になった対応方法です。

しかし現在、これらの対応を逆手に取った攻撃方法が出現しています。

ZIPファイルの問題点と合わせ、2020年10月頃から被害が拡大してきている「IcedID」についてお伝えします。

ZIPファイルへ圧縮する理由

現在当たり前のように使われているZIPファイル。

多くの企業でZIPファイルを利用する大きな理由は、大別すると大体以下のどれかに当てはまるのではないでしょうか

  • 送信に時間がかかってしまうから
    ファイルサイズが大きいとメールの送信にも一苦労です。数十MBレベルのファイルであれば送信完了までかなりの時間がかかってしまうこともあります。
  • 相手のメールボックスの容量を圧迫してしまうから
    受け取り側のメールサーバにも当然ストレージが必要です。会社によっては一人当たりに割り振られている容量があまり大きくない場合もあるため、ファイルサイズが大きくなると容量を圧迫してしまいます。
  • ファイルサイズが大きいとネットワークの帯域を圧迫してしまうから
    ネットワークは個々が占有するものではなく全員が共有するものです。ファイルサイズが大きいままメール等で送るとその帯域の多くを占有することになり他の人の作業効率が落ちてしまいます。
    特にメーリングリストに対し巨大なファイルを送った場合はその影響が顕著に出てしまい、業務にならないケースも出てきてしまいます。
  • 複数のファイルを個別に添付すると見にくいから
    ZIPファイルでフォルダごと圧縮すれば複数のファイルが1つにまとまります。軽いファイルであっても大量にある場合はZIPによる圧縮を行うほうが便利なケースも数多くあります。
  • 暗号化ソフトが無料(OS添付やフリーソフトで利用可)だから
    WindowsにはデフォルトでZIPファイル圧縮機能がバンドルされています。特にインストール許可やコストが発生しないため、手軽な圧縮ソフトとして使えることもZIPファイルの利用率向上に寄与していると言えるでしょう。
  • ファイルにパスワードをかけられるから
    機密情報の送信時にパスワードをかけて暗号化できるかどうかは非常に重要です。ZIP圧縮にはパスワード付きの圧縮方法があるため、非常に扱いやすい形式となっています。
  • ISMS(情報セキュリティマネジメントシステム)認証等での社内規定があるから
    ISMS認証等では機密情報の送信時にセキュアな方法としてパスワード付ファイルにして相手方にファイルを送り、パスワードを別送する、と言う手順が推奨されています。こうした規定を順守するのにZIPファイルは非常に手軽な方法として使われています。

パスワード付ZIPファイルの「PPAP」

最近セキュリティ関連の技術者の中で「PPAP」と言う言葉が使われています。これは以下の略称です。

  • Password(パスワード)付ZIPファイルを送ります
  • Passwordをお送りします
  • Aん号化(暗号化)
  • Protocol(プロトコル)

この言葉は日本情報経済社会推進協会(JIPDEC)に所属していたあるメンバーが使い始めました。

もちろんこれはセキュリティ技術者としての皮肉で、このやり方ではセキュリティを担保できないと言われています。

パスワード付ZIPファイルを利用する目的は大きく以下の2つに分類されます。

  • 悪意を持った人間がルートの途中で盗み見ることを防ぐため
  • 送信先を間違った場合に相手が見えないようにするため

しかしPPAPでは同一ルートを使用しているためほとんどのケースで何も考えず同じ相手に送るだけ。

結果として閲覧する側は何事もなくファイル、パスワードの両方を手に入れることになります。

この記事を読まれている方も、このPPAPを行ったことがないという方はほとんどいないのではないでしょうか?それほどまでにこのPPAPは日常業務に深く入り込んでおり、根本的な解決が難しい問題となっています。

ZIPファイルの一掃は商慣習上排除が難しい

こうしたリスクがありながらも「商慣習」を理由にパスワード付ZIPファイルはほとんどの企業で利用されています。

なぜなら、ISMSやPマーク取得の要件に「個人情報を含む添付ファイルを取り扱う際にセキュリティ対策(データの暗号化、パスワード設定など)の措置を講じること」があるためです。

しかしPPAPを脱却しようとすると、「メール以外」の「送付対象者個人とやり取りできる」「テキストベースのツール」が必要になります。

今でこそチャットワークやSlack、skypeなどのツールが増えてきてはいるものの、全企業が共通で確実に使えるプラットフォームとなると実際のところほぼないというのが現状となってしまいます。

しかも、メールのように手軽に送付対象者を増減できなければ個別のチャットでパスワードを送付しなければならない事態が発生し、それ自体がヒヤリハット発生の原因となりかねません。

こうした背景から、本来の「セキュリティレベルの向上」とは実態がかけ離れても実行しなければならなくなってしまうのです。

情シス担当者としては無駄だと思いつつも、ほぼ全企業が対応できる代替手段が出てくるまでは正直この流れを変えることは現状難しいと言わざるを得ません。

パスワード付ZIPファイルを逆手に取ったマルウェア「IcedID」

こうした現状の中、2017年頃に発見され、2020年10月下旬頃より国内で流行の兆しが出てきているマルウェアとして「IcedID」があります。

特徴は以下の通りです。

  • EMOTETのように差出人、本文を偽装し関係者のように見せかけるため不審なメールと気づきにくい
  • パスワード付ZIPファイルを添付し、「Re:」を頭につけた返信メールとして送られてくる
  • パスワード付ZIPファイルのためセキュリティソフトでの検知ができない場合がある
  • ほとんどの場合本文内にパスワードが記載されている

普通に考えると感染させたいファイルにパスワードをかけて開くためのハードルを追加することは不合理です。しかしIcedIDはそこを逆手に取り、「そんな面倒なことをマルウェアがするはずがない」と言う心理を突いて感染率を上げているのです。

もはやマルウェア制作者と企業人との心理戦です。

このIcedIDですが、トレンドマイクロの調査で分かっている被害の内容は以下の通りです。

  • メールやブラウザなどの認証情報が窃取される
  • 別のマルウェアがダウンロードされる
  • 自組織から他の組織へ過去にやり取りしたメールに返信する形で攻撃メールが送信される

挙動としてはEMOTETと同じではあるものの、「IcedID」はEMOTETと別のマルウェアのためまだ検知力が十分に高くはないセキュリティソフトがあることも懸念されます。

「特にセキュリティソフトでアラートが出ていないから大丈夫」と思ったら感染してしまう可能性があるのです。

パスワード付ZIPファイルに隠されたマルウェアをどう対処するべきか?

「パスワード付ZIPファイルに偽装するなんて言う感染ハードルを上げるようなことはしないだろう」と言う人間の心理を逆手に取ったマルウェアはこれからどんどん出てくるでしょう。

対処方法としては「従業員の教育」と「システムレベルでの対応」の両面が必要になります。

運用ルールとしてはトレンドマイクロが発表している以下の「IcedID」への対応方法が指針の参考となります。

  • 過去のやり取りに返信する形でWord文書形式の不正ファイルを送付する攻撃手法が流行しているため、Word文書形式やZIPファイル形式の添付ファイルには十分注意する。
  • メールで送付されたWord文書ファイルの「コンテンツの有効化」は基本的に実行しない。
  • 不審なメールを受信した・不審なメールの添付ファイルを開いた場合は特定の部門まですぐに報告するよう周知する。

IcedIDの感染が疑われる場合はお使いのセキュリティ製品でフルスキャンを実施し、その上でも感染が疑われる場合はセキュリティベンダに相談してください、と言うのが現状としての最善のアクションになります。

また、なりすましメールの送信が疑われる場合はメールアカウントのパスワードを再設定するなどの被害拡大を抑えるためのアクションも重要になってきます。

情シス担当として構築するべき防御態勢とは

中小企業の情報システム担当者として行うべき対策について、おすすめは以下の通りです。原則としては「複数のソリューションによる多層防御」「被害拡大を抑えるための対策の検討」「従業員の教育」が鉄則です。

  • パスワード付ZIPファイルにも対応したセキュリティソフトや、「ふるまい検知/挙動監視」ができるソリューションを導入する
  • メール自体のスキャンを行い、本文の分析や脅威の検出ができるサービスを利用する
  • ランサムウェア対策など被害を最小限に抑えるような機能を持ったソリューションを導入する
  • サーバ側も含めた保護体制を検討する
  • 定期的な従業員への情報セキュリティ教育を行い、不用意なファイルの開封などを行わないよう意識を高める

トレンドマイクロからのアドバイス

ZIPファイルの利用は現実問題として避けて通ることができません。だからこそ、情シス担当者としてはサーバの保護やクライアント端末の保護など全体のセキュリティレベル向上を意識しなければなりません。

トレンドマイクロでは様々な観点からマルウェアを見つけ出すことができ、感染後の拡大抑制にも効果的なソリューションを数多く提供しています。自社の体制をご確認のうえ、不足している点がありましたらぜひご検討ください。

軽くて・強くて管理負担が少ない中小企業向けクラウドセキュリティ

ウイルスバスター™ビジネスセキュリティサービス(VBBSS)は現場から求められる「速さ」と「防御力」を両立させるとともに、管理者が求める「導入のしやすさ」や「管理のしやすさ」にもこだわったセキュリティ製品です。

従業員数の増減に合わせてPC1台から手軽に導入可能でありながら全PCのセキュリティを遠隔管理できます。

「クラウド型」でのため管理サーバも不要で、管理者、ユーザー共に自宅などのテレワーク環境で作業するケースにも対応した管理コスト軽減に貢献できるソリューションとなっています。

事前予防と事後対処を実現するエンドポイントセキュリティ

Trend Micro Apex One™ SaaSはセキュリティをクラウドからサービスとして提供する (Security as a Service)として、クラウド基盤を活用した新しいインシデント対応を行っています。

管理サーバのメンテナンスを不要とし、自動アップデートにより運用管理工数を大幅に削減、管理コストの最適化を図ることのできる「サービスとしてのセキュリティ (SaaS)」です。

メールボックス内に残っている脅威を可視化

Trend Micro Security Assessment Service™は企業が直面する高度な脅威から効果的に守られているかどうかを確認できる無料のMicrosoft 365メールセキュリティ評価サービスです。

検出した脅威情報を詳細なレポート形式でご提供し昨今の脅威からどの程度保護されているかが検証可能となっています。

CAS: 高度な脅威からクラウドメールサービスのメールやファイル共有サービス上のデータを保護

Trend Micro Cloud App Security™(CAS)はランサムウェアや標的型サイバー攻撃によく利用されるOfficeファイルをはじめとするビジネスでよく使用される形式のファイルに潜む不正プログラムを検出。

ドキュメントエクスプロイトの検出技術と挙動分析により未知の不正プログラム、不正URLも検出できるメール・コラボレーションセキュリティ製品で人間のセキュリティ意識と合わせ効果的にランサムウェアを防御することができます。

※すべての未知の脅威に対応するものではありません

この課題を解決する製品

導入前の製品や購入に
関するお問い合わせ
ご担当者様の課題解決を電話やメールで受け付けます。
製品や購入に関するご不明点がある方はお気軽にご相談ください。

導入前の製品や購入に関する
お問い合わせ

オンライン見積り
トレンドマイクロのセキュリティ対策製品のお見積りを
オンラインでご確認いただけます。

オンライン見積り