猛威を振るうEmotet……これは単なる「種まき」だ? 辻伸弘氏の危惧する近未来:半径300メートルのIT(2/2 ページ)
JPCERTや複数のセキュリティベンダーから、マルウェア「Emotet」の注意喚起が発信されています。ひっそりと広まったマルウェアが他の攻撃の踏み台にされたら、どうなってしまうのでしょう? 辻伸弘氏が危惧する「刈り取り」とは。
Emotetは「玄関マット」か? その次に来るものは
筆者は「今後、なりすましメールの精度がどんどん高くなり、文面の日本語にも違和感がなくなってくると、Emotetの被害はさらに増えるのか」と思っていたのですが、辻氏はその先を見ていました。
今、Emotetはマクロを経由して情報を詐取し、アドレス帳をもとにメールをばらまいています。しかしEmotetは「追加モジュールによる機能追加、多層的な運用が可能なもの」とされています。
「Emotetの感染端末に別の攻撃者が来て別のマルウェアを注入する、といった攻撃が想定できる。つまり現在のEmotetの活動は“種まき”の段階という場合もある」(辻氏)――つまり、Emotetをきっかけに、その他強力なマルウェアへ連鎖する可能性があるのです。
Emotetの目的が「感染範囲を広げること」だとすると、次にやってくるのは「刈り取り」、つまり攻撃です。実効性が高い刈り取りのマルウェアといえば、皆さんも知っているはず……そう、ランサムウェアです。
「僕が一番危惧しているのは、Emotetに汚染されたネットワークにランサムウェアが来ることです。Emotetの感染経路をたどってローカルネットワークに入り、Active Directoryを奪取。そこからランサムウェアを展開するのが最悪のシナリオです」(辻氏)。このシナリオで攻撃された場合、システム全体を人質に身代金を要求するか、全てのデータを暗号化して破壊するかは、攻撃者次第となります。
「――これ、点で見る話じゃないんですよ」(辻氏)
「Emotet対策」で終わらせてはならない
これまで「WannaCry」や「Mirai」といったマルウェアが話題になると、追いかけるように「Wannacry対策ならこれ!」「Mirai対策の決定版!」といったソリューションが出てきました。おそらくEmotetに関しても、同じようなことは起きるでしょう。しかし、決して単発の対策で終わらせず、感染経路と拡散手法、そして自社の状況の監視を続けてください。
そして、多くの企業のシステムを管理するSIerの皆さんは、ぜひ「Emotetの先」を見据え、今後の被害拡大を抑えるための対策を提案してあげてほしいと思います。
実は今回、辻氏は「これ、自分の言葉で伝えたかったなあ」と述べていました。今回の記事でも、辻氏の思いの半分も伝わらなかったかもしれません。
実は、ITmediaエンタープライズでは、12月にセキュリティセミナーを開催予定です。そこに辻さんも登壇される予定で、今回の話もそこに入ってくるかもしれません。気になる方はぜひ以下をチェックしてみてください。
関連記事
Copyright © ITmedia, Inc. All Rights Reserved.