フォーム読み込み中
2022年11月から活動を再開したEmotet(エモテット)。正規のメールを装う攻撃手法は従来と大きく変わらないものの、年の瀬や新年の挨拶などで多くのメールをやり取りする年末年始はいつも以上に注意が必要です。さらに、心の隙に付け入る術を熟知している攻撃者にとって、気が緩みやすいこの時期は格好の攻撃タイミング。あらためて、Emotetをはじめとしたサイバー攻撃に対する年末年始の対応を確認しましょう。
2022年7月以降一時的に活動を休止していたマルウェア「Emotet」ですが、11月より再び活動が観測されるようになりました。1日当たり十万件以上の攻撃メールが配信されていると言われていますが、これまでのEmotetの活動傾向では、再開して数か月後に活動のピークを迎えることが多く、年末年始に向けて活動が活発化する可能性が指摘されています。
Emotetの代表的な攻撃手法として、過去のメールのやり取りなどを装って不正なマクロを含む文書ファイルを送り付けたり、URLリンクからダウンロードさせる手口がよく知られていますが、11月からの攻撃においては類似の手口が確認されました。
従来と異なるのは、Excelファイルを開いた際に「マクロを有効化できない場合の対策方法」のメッセージが表示される点です。この指示に従ってExcelファイルをTemplatesフォルダに移動して開いてしまうと、マクロを無効化する設定にしていたとしても、警告なしにマクロが実行される可能性があります。これはTemplatesフォルダが「信頼できる場所」として設定されているためで、ここで実行されたファイルは安全性の高いファイルとみなされることが理由です。ただしこの手順を実行するためには管理者権限が必要となるため、一般ユーザが管理者権限を利用できないように設定することで、被害はある程度防ぐことができると考えられます。
引用:独立行政法人情報処理推進機構(IPA)/ Excelファイル内に書かれている新たな偽の指示
一方で注意が必要なのは、ショートカットファイル(LNKファイル)を悪用するタイプの攻撃が4月以降増加している点です。この手口では、パスワード付きZIPファイル内もしくはメールに添付されたショートカットファイルをダブルクリックすると、悪意あるスクリプト(PowerShellやVBScript)が実行され、Emotetに感染してしまいます。
この手口が悪質とされるのは、ショートカットファイルの拡張子「.lnk」が、Windowsの標準設定では表示されない点です。このため、アイコンが文書ファイルに偽装されていたり、ファイル名の末尾の文字列が「.doc」になっている場合は、ショートカットファイルだと気付くことが非常に困難になります。業務に支障がないのであれば、ショートカットファイルやそれを含むZIPファイルが添付されたメールを、サーバ側でブロックすることをお勧めします。
引用:独立行政法人情報処理機構(IPA)/ ショートカットファイルが格納されたパスワード付きZIPファイルからEmotet感染までの流れ
マクロを悪用した手口が広く周知され対策が進んだこともあり、今後は新たな攻撃手法の出現が想定されます。特にメールでのやり取りが多い年末年始は、あらためてEmotetへの注意が必要です。
年末年始のような長期休暇は、攻撃者にとって付け入る“隙”が多い絶好の機会といわれています。攻撃者はどのような隙を狙ってくるのか、年末年始ならではのセキュリティリスクをご紹介します。
年末年始はセキュリティ担当者が長期間不在となり、出社して業務を行う人も少ないため、攻撃されていたとしてもなかなか発覚しづらいタイミングです。仮に攻撃に気付いたとしても、関係者への連絡や対応までの時間がいつも以上にかかってしまい、感染が拡大してしまう恐れがあります。
サイバー攻撃で最初に狙われるのは、システムやネットワークの脆弱性です。休暇中に脆弱性が発見されている可能性があり、更新プログラムを適用しないまま放置してしまうと攻撃者にとっては格好の標的となります。
休み明けの最初の業務は、大量に溜まった未開封メールの整理という人も多いでしょう。普段はメールに不審な点がないかしっかり確認していたとしても、大量のメールをチェックしていると次第に注意が散漫になりがちです。攻撃者はこうした心理的な隙を巧みに突いて、Emotetのような悪意ある攻撃メールを紛れ込ませてきます。
メール開封時に特に気を付けなくてはならないのが、年の瀬や年始の挨拶を装った攻撃メールです。「明けましておめでとうございます。日頃からの感謝を込めて年始のおトクなプランをご紹介します。」といった内容のメールが届いていたら、思わずURLをクリックしてしまうかもしれません。それが普段やり取りしていない相手だったとしても、年末年始の挨拶であれば特に不審に思わないのが人の心理です。
攻撃者の手口を理解したところで、年末年始に向けて準備すべき対策をあらためて確認してみましょう。
◆年末の対策◆ |
---|
緊急時の連絡体制の確認重大なインシデントが発生した場合に備えて、関係者への緊急連絡フローや連絡先を確認しましょう。この際に、委託しているセキュリティベンダがあれば、連絡先や年末年始の対応、受付時間をチェックしておくことも重要です。また、関係者間で連絡が付かなかった場合を想定した対応フローを検討しておくことで、万が一連絡がつながらなかったとしても初期対応を迅速に実行することが可能になります。 |
社外からのアラート確認アラートメールを携帯電話で受信するなど、職場に行かなくても社外から異常を確認できるように準備しましょう。また、関係者複数人がアラートメールを受診できるように設定しておくことで、インシデント発生時の認識擦り合わせがスムーズになり、迅速な初動対応が可能になります。 |
使わない機器・ネットワークの遮断前述の通り、長期休暇中はどうしても監視の目が緩みがちです。機器やネットワークから侵入される経路を絶って守備範囲を減らすためにも、休暇中はシステムの稼働を最低限必要なものに限定し、不要な機器は電源を切りましょう。 |
従業員への注意喚起年末年始はセキュリティ担当者の目が届きにくいため、現場の従業員一人一人がいつも以上に強くセキュリティを意識することが重要です。休暇に入る前に「不審な添付ファイルやURLを開かない」「端末を許可なく持ち出さない」など、年末年始の注意点をあらためて全社に周知しましょう。この際、休暇期間中にトラブルが発生した場合に備えて、緊急連絡先をあわせて伝えることも重要です。 |
◆年始の対策◆ |
---|
修正プログラムの適用休暇中にOSやソフトウェアの脆弱性が発見され、修正プログラムが公開されている場合があります。また、セキュリティソフトの定義ファイルも最新のものに更新が必要です。電源を切っていた端末はアップデートが止まっているため、始業してメールチェックやWeb閲覧などが始まる前に最新のプログラムを適用しておくことは必須です。 |
サーバなど各種ログの確認休暇中にアラートが上がってこなかったとしても、念のためサーバ等の機器に不正なアクセスが発生していないか確認しましょう。従来のセキュリティ製品では検知できない未知の手法で攻撃されている可能性もあるため、複数のリスクポイントを網羅的に確認する必要があります。 |
Emotetをはじめとするマルウェアの脅威は増すばかりで、年末年始でも絶え間なくサイバー攻撃は続きます。さらに、従来のセキュリティソリューションでは検知できない巧妙な手口が次々に生み出され、セキュリティ担当者が心休まる暇はありません。これまでの対応ではいずれ限界を迎えることを認識し、これを機にセキュリティ対策を見直してはいかがでしょうか。
ソフトバンクでは、Emotetや未知のマルウェアを検知し、迅速な状況確認と対応を可能にするエンドポイントセキュリティ「Cybereason」と、貴社に変わって24時間365日セキュリティのプロが監視を行う「マネージドセキュリティサービス(MSS」をご提供しています。
安心して長期休暇を迎えるために、今一度セキュリティ対策の見直しをご検討ください。
多くの企業でサイバー攻撃へのセキュリティ対策は講じられているはずですが、なぜEmotetの感染を防ぐことができず、ここまで被害が広がっているのでしょうか?
本資料は、一般的に挙げられる対策が安全かどうかを解説しながら、Emotet対策に必要な考え方をご紹介します。
Cybereasonのセキュリティプラットフォームは、エンドポイントのログを収集し、侵入したマルウェアのサイバー攻撃の兆候をリアルタイムに検知することができる、クラウド型のデータ解析プラットフォームです。
ソフトバンクのマネージドセキュリティサービス(MSS)では、ゲートウェイサービスに加え、クラウドサービス、エンドポイント製品など幅広い領域を監視することが可能です。24時間365日体制で、セキュリティ監視・分析から、緊急時の遮断対応までワンストップでご提供します。
条件に該当するページがございません