情報窃取マルウェア・ウイルス・フィッシングメール対策で心がけるべき基礎

この数年、国内外の大手企業の名前をかたったフィッシングメールが激増しています。

 

最近では、JPCERTコーディネーションセンター(サイバーセキュリティに関する一般社団法人)が、Emotetというマルウェアへの注意喚起を行いました。

 

このEmotetは、メールやメールアドレス等の情報、Webブラウザに保存されていた認証情報も漏洩させ、さらにこの情報を用いて、各種連絡先、連絡帳、メールの認証情報などを用いて攻撃メールの配信を行うことで、仲間を増やすという、なかばゾンビかネズミ講のような凶悪マルウェアです。

 

怖いのが、ITMediaの記事によると、

感染経路に「実在の人物になりすましたメールに添付された、悪意あるマクロが含まれるWordファイル」が利用されている点です。しかも、なりすましメールの本文に、正規のやり取とりの文面が引用されている

猛威を振るうEmotet……これは単なる「種まき」だ? 辻伸弘氏の危惧する近未来
JPCERTや複数のセキュリティベンダーから、マルウェア「Emotet」の注意喚起が発信されています。ひっそりと広まったマルウェアが他の攻撃の踏み台にされたら、どうなってしまうのでしょう? 辻伸弘氏が危惧する「刈り取り」とは。

 

つまり、一見普通のやりとりの返信と思って無意識にファイルを開き、悪意のあるマクロを実行してしまったらアウトという点です。

(逆に言うと、開いてもマクロを実行しなければ問題ないのですが・・・)

 

賞与支払届というタイトルのメール、Emotetかも!?

 

さらに、2019年12月11日には、「賞与支払届」というタイトルで、日本語のメール本文中に不正なURLリンクが記載された、Emotetの攻撃メールが発見されたそうです。

 

「Emotet」と呼ばれるウイルスへの感染を狙うメールについて:IPA 独立行政法人 情報処理推進機構
情報セキュリティ関連情報のユーザー、管理者、技術者に向けた発信、その前提となる情報収集、調査分析、研究開発、技術評価等の実施

これもマルウェアが含まれたWordファイルをリンクからダウンロードさせる形式だそうです。

 

Wordファイルのマクロをとにかく実行しないこと

 

より詳しくまとめてあるページ、Emotetの注意喚起に活用できそうなリンク集をまとめてみたに、

次のケースでは感染(Emotetは活性化)しない。

・届いた不審メールの本文を表示しただけ。
・不審メールに添付された文書ファイルを保存しただけ。
・不審メールに添付された文書ファイルを開いたがコンテンツの有効化はクリックしていない。(Office既定設定のマクロ実行無効化時のみ)

 

と書かれています。(このサイトの作者の方、いろいろセキュリティインシデントの情報をまとめておられすごいです・・・。)

 

先日の、処理業者の従業員による廃棄ハードディスク転売事案についても、いろいろと調べ、下記のようにまとめておられます。

 

 

これ以外でも、特に法人でアドレスを表に出しているものなどには、様々なルートから迷惑メールが届いているかと思います。

 

様々なメールの迷惑メール振り分け精度が向上した現在でも、様々なアドレスなどからメールが送られるため、メールボックス・もしくは迷惑メールフォルダに、フィッシングメールが大量に入っている方もおられるかと思います。

 

当記事では、迷惑メール・Emotetなどのマルウェア、フィッシングメールの傾向と対策になどついて記述します。

 

スポンサーリンク

迷惑メール・フィッシングメール・マルウェア対策の大原則とは?

多くの企業ではデスクトップアプリとしては法人向けのOutlookかMozzilaのThunderbird、クラウドではG SuiteのGmail、AppleのiCloudなどを使っているケースが多いかと思います。(個人的な使用感では、iCloudは普通のメールを迷惑扱いする頻度が多いように感じます)

 

迷惑メールには、ウイルス・不正なプログラムの実行ソフトウェア(マルウェア、トロイの木馬とも呼ばれる)が含まれていることも多く、これを開くと、様々な意味で問題が起こることが想定されます。

 

担当者はOutlookではなくGmail・iCloudなど、いわゆるWebメールサービスを利用しております。Gmailの迷惑メール振り分け機能は協力で、多くのスパム・フィッシングメールが迷惑メールフォルダーに振り分けられます。(問題のないメールが迷惑メールフォルダに入っていることもありますが・・・)

 

それでもまれに迷惑メールなどは入ってきますし、送付してきた先が、Emotetに感染している場合は、取引先・関係先からの場合であっても、普通にメールボックスに入ってきて、「なにか添付ファイルがあるぞ」と思って開くと、感染してしまう恐れもあります。

 

大手企業はシステム部門がきちんとセキュリティの管理も行っていますが、小規模事業・個人の場合は利用者自身がセキュリティ対策を図る必要があります。

 

下記に書くことは、知っている人にとっては「あたりまえ」のことでありますが、相当以上に知っている人と知らない人の間に温度差があり、徹底されていないケースもあります。

 

念のため、最小限のセキュリティ対策を再度おさえておきましょう。

 

セキュリティ対策の大原則(個人・スモールビジネス)

  1. ESET・ノートン360など極力有料のセキュリティ対策ソフトを入れ、必ず最新の状態に保つ(パソコンの動作相談を受け確認してみると、意外とこれがされておらず、購入時のまま・・・というケースが多かった。Windows10は最初からセキュリティ・マルウェア対策のWindows Defenderが内蔵されており、そちらが有効になっていればまだいいが、購入時のウイルス対策ソフトを入れたままで更新していないとリスクがありうる)
  2. 不用意に添付ファイル・メールのリンクをクリックしない(取引先からのメールでも、Emotetがなどマルウェアが発生している現状では注意する。無意識に開いて感染というのが怖い)
  3. 企業からのアカウント閉鎖・警告に関するメールは、特に警戒し、送信者情報を確認する。特に焦らせるタイトル(あなたのアカウントが盗まれています!)などには特に警戒。
  4. 各種アップデートを常に行う。Windows10であれば、スタート→歯車(設定)→更新とセキュリティ。ソフトウェアも常にアップデート。Windows7など旧OSを利用している場合はWindows10にアップデートする。旧版のオフィスではなく、サブスクリプション型のOfiice365に移行し、常に最新のOfficeを使う。
  5. スモールビジネスなど組織の場合は、改めてメール開封時の注意など、組織内への注意喚起やセキュリティに関するポリシーの策定・周知など
  6. 二段階認証ができるシステム・サイトは、極力二段階認証を使う(Emotet対策にもなる)
  7. 不審なWord、Excelなどのファイルを開かない、不審なコンテンツの有効化ボタンを押さない、デフォルトでマクロの有効化をしない

 

セキュリティの専門家の方から見たら不十分かもしれません。

 

また、ある程度の企業の規模になってくれば、セキュリティベンダーにサイバーインシデント対策を一任したり、

サイバーインシデント緊急対応企業一覧 | 特定非営利活動法人 日本ネットワークセキュリティ協会(JNSA)
サイバーインシデントは予期しないタイミングで起こります。また、サイバーインシデントは通常のシステム障害とは異なり、専門知識がないと状態の把握すら困難です。そのような時に、緊急で対応を請け負ってくれる、頼りになるJNSA所属企業を取りまとめました。各企業とも初期相談は無料ですので、ご都合に合わせ直接お問い合わせください。

普段から取引のあるシステム導入事業者に、改めてセキュリティ対策を相談することも重要かと思います。

 

それでも、「専用のセキュリティソフトの導入・セキュリティソフト、OSの日頃からのアップデート・不審なメール・リンクを開かない」という当たり前のポイントを守るだけでも、大きく違います。

 

ここからは、先ほど述べた、マルウェアEmotetの特徴と対策について、JPCERTCCやその他の記事も参考にしながら、かみくだいて説明します。

 

スポンサーリンク

Emotetって、何が怖いの?

Emotetの怖さは、前述の通り感染力の強さ、やることの凶悪さです。

 

  • 取引先・連絡先にメールを勝手に送りつけ、感染PCを増やす恐れ
  • Webブラウザのログイン情報を用いて、様々なサイトに勝手にログインされる恐れ
  • 他のマルウェアに感染しやすくなる恐れ

 

さらに先ほど述べた通り、取引や連絡のメールを引用しながら送ってくるので、見知らぬ所からのメールと違い、無意識に開けてしまう恐れがある点も怖いといえます。

 

しかし、Emotetの怖さは、それだけではありません。

「あとから機能を追加できて、より問題のある行為を行うことができてしまう」

というのが怖いのです。

 

先ほどのITMediaの記事をさらに引用します。

今、Emotetはマクロを経由して情報を詐取し、アドレス帳をもとにメールをばらまいています。しかしEmotetは「追加モジュールによる機能追加、多層的な運用が可能なもの」とされています。

「Emotetの感染端末に別の攻撃者が来て別のマルウェアを注入する、といった攻撃が想定できる。つまり現在のEmotetの活動は“種まき”の段階という場合もある」(辻氏)――つまり、Emotetをきっかけに、その他強力なマルウェアへ連鎖する可能性があるのです。

Emotetの目的が「感染範囲を広げること」だとすると、次にやってくるのは「刈り取り」、つまり攻撃です。実効性が高い刈り取りのマルウェアといえば、皆さんも知っているはず……そう、ランサムウェアです。

「僕が一番危惧しているのは、Emotetに汚染されたネットワークにランサムウェアが来ることです。Emotetの感染経路をたどってローカルネットワークに入り、Active Directoryを奪取。そこからランサムウェアを展開するのが最悪のシナリオです」(辻氏)。このシナリオで攻撃された場合、システム全体を人質に身代金を要求するか、全てのデータを暗号化して破壊するかは、攻撃者次第となります。

「――これ、点で見る話じゃないんですよ」(辻氏)

 

つまり、Emotetでいろいろ事前に仕込んでおいて、さらにデータを勝手に暗号化して復元できなくしたり、消去したりなどの動作を行ったり、お金を支払わないとデータを破壊する、と脅すいわゆる「ランサムウェア」に発展する可能性もありうる、これが非常に怖いのです。

 

上記記事でも警鐘を鳴らしていますが、Emotetや別種のマルウェアは、今後も凶悪化していくおそれが高いといえます。

 

マルウェアを作る側からすれば、100万アドレスに1件でも引っかかり、そこからマルチ商法のごとく、知り合いのアドレス、連絡帳・・・などと広げていけば、どんどん仲間を増やすことができてしまいます。

 

そのような事故を防ぐためにも、日頃からセキュリティ対策を念頭に置き、メールの確認、Webサイトの閲覧、各種OS、ソフトウェアのアップデートを行うことが大切です。

 

Emotetなどマルウェア関連記事です。

マルウェアEmotet(エモテット)+ZeroCleareに関するセキュリティソフトの対応状況を各社サポートに聞いてみた

 

ZeroCleare MBRを破壊、PCを起動不能にし、内部ネットワーク上でも感染を広げるマルウェア出現

タイトルとURLをコピーしました