「Emotet」って何? 感染拡大している理由は? 対策は? 副編集長に語らせた:ヤマーとマツの、ねえこれ知ってる?(3/5 ページ)
脱PPAPでEmotetのリスク低減に
キーチ だから「脱PPAP」といわれている面もあります。
Passwordつきzip暗号化ファイルを送ります
Passwordを送ります
Aん号化(暗号化)
Protocol
ヤマー 暗号化ファイル+解除用のパスワードメールを分けて送る、メールを使ったデータ転送方法ですね。いつも思うんですけど、この略語無理やりですよねw
キーチ われわれも、企業から情報解禁設定のある情報を受け取る際などに結構目にしましたよね、PPAP。最近はさすがに減ったかなという印象もありますが。
ヤマー 肌感ではだいぶ見なくなりましたね。まぁIT業界がメインなので、対策が早いってのもあるでしょうけど。
マツ まさに、Emotet対策として、ソフトバンクなどがPPAPを禁止していますね。
ヤマー PPAPで暗号化ファイルのやり取りに慣れていると、Emotetの添付ファイルも開いてしまう可能性があるってことですかね。
キーチ 「第三者に情報を見られたくない」という企業の思惑と、「ウイルススキャンソフトにバレたくない」という攻撃者の思惑が一致してしまうんですよね、PPAPは。
ヤマー なるほど。
キーチ 脱PPAPの流れはいま加速していると思いますが、脱PPAPかつ、Emotetなどのマルウェア対策として興味深かった事例は日本郵政ですね。
ヤマー Boxのセキュリティスキャン機能を活用する。これ、プレビューならブラウザ上ですし、感染もしないと。Gmailもそうでしょうが。
キーチ メールの基盤をGmailなどのオンラインメーラーに移行するのが必ずしも現実的でない企業もあるでしょうし、添付ファイルに対してこういう防御策を入れるのは面白いなと。具体的な仕組みについては分からない部分もありますが「安全か分からないものはローカルで開かない仕組みにする」のは一つの解でしょうね。
マツ マクロ禁止とかにはならないんですかね。
キーチ マクロ無効化は可能なので、Wordファイルについてはそれもいいとは思います。JPCERT/CCも対策の一つに上げていますね。ただ、Excelファイルでマクロ禁止はExcelの武器を1つ失うことにもなりますし、PDF閲覧ソフトへの偽造など、攻撃手段が複数あるので、それだけでは完全な対策にはならない、という辺りですね。
ヤマー 特に、長年使ってきた秘伝のマクロExcelとかを業務で使っている会社もあるでしょうしね。ただ、リスクヘッジとしてその運用もどこかで変えていかないといけないのかなと。
EmoCheckで感染しているかをチェック
ヤマー 対策としては脱PPAP、オンラインメール、オンラインストレージ、マクロ禁止など出てきましたが、他にあったりしますか?
キーチ 事後対応ですが、すでに感染しているかどうかにはJPCERT/CCが作成した「EmoCheck」というツールがあります。
ヤマー 最新のEmotetは検知できないという話も出てましたけど、現在は最新版も検知可能なんでしたっけ?
キーチ そう、コメント欄で指摘も受けているんですが、JPCERT/CCは「v2.0で活動再開したEmotetの感染有無も確認できる」としていて、さらには3月8日にv2.1へのアップデートも配布しています。
ヤマー おぉ、アップデートされたと。
キーチ 手元にEmotetの検体があるわけではないのでソフトの有効性までは確認できないですが、JPCERT/CCの最新アップデート版なので検査結果に一定の信頼は置いていいと思います。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR
ITmediaはアイティメディア株式会社の登録商標です。