Photo By Shutterstock
IPA(情報処理推進機構)は12月19日、今年も「年末年始における情報セキュリティに関する注意喚起」を発表した。
今年は、警告文の大半をマルウェア/ウイルス「Emotet(エモテット)」に関する内容が占めており、その被害の深刻度をうかがわせるものとなっていた。長期休暇によってシステム管理者が不在となり、マルウェア感染への対応が遅れがちになる期間だけに、感染拡大を防ぐ予防策を知っておくことが大切だ。
伊藤僑
Free-lance Writer / Editor
IT、ビジネス、ライフスタイル、ガジェット関連を中心に執筆。現代用語辞典imidasでは2000年版より情報セキュリティを担当する。SE/30からのMacユーザー。著書に「ビジネスマンの今さら聞けないネットセキュリティ〜パソコンで失敗しないための39の鉄則〜」(ダイヤモンド社)などがある。
国内400社以上が被害を受けているEmotet
IPAが発表した「年末年始における情報セキュリティに関する注意喚起」
日本におけるEmotetの感染被害が急増したのは今年10月後半から。国内におけるコンピュータ・セキュリティ・インシデントの受付・対応支援を行っている「JPCERTコーディネーションセンター(JPCERT/CC)」によると、すでに国内の400社以上が被害を受けているとされる。
Emotetは、それほど新しいマルウェアではなく、2014年ごろからオンラインバンキングを狙うトロイの木馬として利用されてきた。すでに使い古された攻撃手法なのに、なぜ、今になって猛威を振るっているのだろう。その理由は、使用目的の変化にある。
金融機関のセキュリティ対策が進んだことで、トロイの木馬としての効果があまり期待できなくなったため、攻撃者は自己拡散能力を強化させることで、他のマルウェアなどを拡散させるためのインフラとして活用しだしたのだ。中でも、最近深刻な被害を巻き起こしているのが、BEC(ビジネスメール詐欺)への悪用である。
Emotetの感染経路・被害内容とその対策
Emotetの感染経路で一番多いとされるのが、メールに添付された「Word形式」のファイルを実行させ、「コンテンツの有効化」を促すというものだ。メールに添付されているのはマルウェア本体ではなくWordファイルのため、セキュリティソフトによる防御網をすり抜けてしまう。
メールを受信したユーザーがそのファイルを開くと、コンテンツの有効化を促す内容が記載されていて、有効化してしまうとEmotetがダウンロードされてしまうというわけだ。Wordの設定によっては、有効化の警告が表示されることなくダウンロードされてしまう場合もある。
Emotetへの感染を狙う攻撃メールの例(IPAのサイトより)
JPCERT/CCによると、Word形式のファイルに対する警戒が高まったことで、メールに直接ファイルを添付するのではなく、メールの本文中にはURLのみを記載して、URLに接続するとWord形式のファイルがダウンロードされるという手口も確認されているというので注意したい。
※JPCERT/CCによる「マルウェア Emotetの感染に関する注意喚起」を参照
Emotetの感染によってユーザーが被る被害としては、メールのアカウント/パスワード/アドレス帳/本文内容等の窃取、および、窃取したメールアカウントや本文を悪用することによる感染の拡大がある。これらの攻撃手法を、近年深刻な被害をもたらしているBEC(ビジネスメール詐欺)へ悪用することで、多くの企業が被害を受けているとされる。
上司や取引先からのメールを偽装し、本文内容もいつもと変わらない形式や文体とすることで、まんまと相手を騙し、お金や情報を盗み取るBECは、フィッシング詐欺やキーロガーによる業務用メールの盗み見という従来の手口からEmotetによる感染へと進化してきているのだ。
JPCERT/CCが推奨するEmotetへの感染対策は以下のとおり。
undefined
undefined
・組織内への注意喚起
いつも通りの長期休暇前の対策も忘れずに
Emotetへの対策も重要だが、いつも通りの長期休暇前の対策も怠ってはならない。
IPAが推奨するビジネスユーザー向けの対策は以下のとおり。
undefined
undefined
・機器やデータの持ち出しルールの確認と遵守
また、年始に慌てないためにも、長期休暇明けには、修正プログラムの適用、定義ファイルの更新、持ち出し機器のウイルスチェック、不審なメールへの注意を忘れないようにしたい。