セキュリティの
学び場

今回の解説ニュース

複数のセキュリティ対策をしていたにもかかわらず、Emotetに感染したことが発表されています。セキュリティ対策をしていてもEmotetに感染してしまう原因と、感染後に被害を広げないための対策について説明します。

今回のインシデントは、従業員の使用するパソコン1台がEmotetに感染し、メール情報が窃取されました。調査会社によるログならびに端末に対する詳細調査により、当該端末に保存されていたメールアドレス、メール件名、メール署名の情報の流出を確認しています。また、顧客及び関係者からの情報提供で、メール本文についても流出したと判断しています。

対策として、感染が疑われるパソコンを特定し、ネットワークから遮断し、当該端末のフォレンジック調査を開始しています。再発防止策として、より強固なセキュリティ対策が見込まれるWebメールへの移行、クラウドストレージへ移行しPPAP運用を廃止、従業員への情報セキュリティ教育を強化し、不審メールの見分け方などの周知徹底を行うということです。

多層のセキュリティチェックもすり抜けるパスワード付きZIPファイル

Emotetは多層防御をすり抜けて、感染を広げています。原因として、パスワード付きZIPでセキュリティチェックがかけられていない現状が考えられます。

セキュリティの多層防御とは、情報資産を守るために複数の方法やレイヤーで行うセキュリティ対策です。ファイアウォールとIPS、ゲートウェイとエンドポイントなど、複数の方法やレイヤーで対策することで、ひとつのセキュリティを突破されても別の仕組みで防御を試みます。ただし、多層防御もマルウェア自体をセキュリティチェックにかけられることを前提としていることがほとんどです。セキュリティチェックの方法は様々ありますが、プログラムが動く状態か、動いている状態でないと、マルウェアであるかの判断をすることができません。その状態を阻んでいるのがパスワード付きZIPです。

パスワード付きZIPで圧縮されたファイルは暗号化されています。暗号化された状態のファイルは読み取ることも、実行することもできません。つまり、マルウェアであるかどうかの判断ができないことになります。今回のインシデントでも、EPPで検知できたのは感染から5分後ということで、実際に人の手でパスワード付きZIPが展開された後に実行されて初めて、Emotetであることが検知されたことになります。

対策として、パスワード付きZIPはマルウェアである可能性を想定して拒否することが考えられます。いわゆる、PPAP廃止の動きが社会全体で発生している背景でもあります。

マルウェア感染したことは本人も周囲も気付かない？

Emotetに限らず、マルウェアに感染したことへ被害者が気が付くには、周囲の指摘が必要になる場合があります。また、本人が感染に気が付いていても、組織がすぐに報告を受けられる体制が必要です。

Emotetの特性上、被害者本人が感染に気付きにくい

今回のインシデントでも、従業員を装った不審メールの発信を確認したとあります。現時点のEmotetはランサムウェアと違い、感染自体を被害者に知らせるものではなく、感染したユーザの情報を利用して、自身の感染を広げていきます。よって、Emotetのメールを受信した別のユーザや組織からの指摘で、感染に気が付くことも多いようです。

感染をしたらすぐ報告が受けられる体制づくりを

また、ユーザが自身のマルウェア感染に気が付いていても、インシデント対応フローが整備されていないと、どこに連絡していいかわからないかもしれません。また、マルウェアに感染したり、感染した恐れがあると判明してから何時間以内に報告するなど、組織にセキュリティポリシーが定められていないと、対応が後手になる可能性があります。その結果、被害がさらに拡大することが考えられます。

今回は、セキュリティ対策をしていてもEmotetに感染してしまう原因と、感染後に被害を広げないための対策についてお届けしました。日々進化するEmotetの感染を完全に防ぐことは難しいと考えられますので、感染しても被害を広げないために、インシデント対応フローなどの整備をしっかり行いましょう。