ヤマー これ、もし感染しちゃってた場合はどうすれば良いんですかね。
キーチ 感染を確認した時点でインターネットから切り離して情シスに連絡しましょう。
あと、企業PCで感染を確認した際の対策方法はJPCERT/CCが公開しているものをなぞるのがいいかと。以下、JPCERT/CCからの引用です。
1.感染端末の隔離、証拠保全、および被害範囲の調査
- 感染した端末を証拠保全する
- 端末に保存されていた対象メール、およびアドレス帳に含まれていたメールアドレスの確認(端末に保存されていたこれらの情報が漏えいした可能性がある)
2.感染した端末が利用していたメールアカウントなどのパスワード変更
- OutlookやThunderbird などのメールアカウント
- Webブラウザに保存されていた認証情報など
3.感染端末が接続していた組織内ネットワーク内の全端末の調査
- 横断的侵害で組織内に感染を広げる能力を持っているため、添付ファイルを開いた端末だけでなく、他の端末も併せて調査を実施する
- 横断的侵害には次の手法などが確認されている
- SMBの脆弱性(EternalBlue)の利用
- Windowsネットワークへのログオン
- 管理共有の利用
- サービス登録
4.ネットワークトラフィックログの監視
- 感染端末を隔離できているか、他の感染端末がないかの確認
5.他のマルウエアの感染有無の確認
- Emotetは別のマルウエアに感染させる機能を持っているため、Emotet以外にも感染していたか調査する。もし、別のマルウエアに感染していた場合には、更なる調査・対応が必要となる
- 日本では、Ursnif、Trickbot、Qbot、ZLoaderなどの不正送金マルウエアの追加感染の事例あり
- 海外では、標的型ランサムウエアの感染などの事例あり
6.被害を受ける(攻撃者に窃取されたメールアドレス)可能性のある関係者への注意喚起
- 確認した対象メール、およびアドレス帳に含まれていたメールアドレスを対象
- 不特定多数の場合は、プレスリリースなどでの掲載
7.感染した端末の初期化
なので、ヤマーさんの質問への回答は「横断的侵害が考えられるので、全端末調査しましょう」ですね。
ヤマー なるほど。Emotetを無効化する方法などは、JPCERT/CCの同じページ内にもありますので、そちらを確認されたほうが良さそうです。
しかしちょっと怖い文言がありますね。「Webブラウザに保存されていた認証情報」って。この認証情報も引っこ抜かれるとすると結構まずくないです?
キーチ そうそう、あかんかもしれん。
ヤマー ブラウザに保存してるID/パスワードは影響ないとは思いますが……。
キーチ IDはともかく、パスワードは暗号化されて保存されているはずだから直ちに危険ということはないけれど、やはりもし自分が感染してしまったらパスワードは基本的に変更した方がいいですね。
ヤマー だいぶしんどいやつ……。
キーチ しんどいけれど、Emotetに限らず、パスワードの漏えいの恐れがあるときは影響があり得る範囲でパスワード変更した方がセキュリティ的にはいいでしょうね。認証情報を基にログインする処理も結構ありますし。
ヤマー 「このブラウザを覚える」みたいなのですかね。
キーチ まあこれ以上は立ち入らないですが、Emotetによって端末の情報が抜かれるというのは、ランサムウェアの標的になるだけでなくてそれ単体でも十分脅威ということですね。
ヤマー 文面もより巧妙になってるし、感染した場合のリスクもかなりでかい。
キーチ そういう脅威が急速に拡大しているので、社員全員でリテラシーを向上しつつ、情シスなど管理側でもファイアウォールでのURLブロックや脱PPAP、振る舞い検知など、複数の防御策を展開するべきでしょう。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR