Emotet制圧も、新たな脅威「IcedID」が登場 添付ファイル経由のマルウェアに必要な対策とは 専門家に聞く(3/3 ページ)
メールの添付ファイルを通じて感染する「Emotet」が世界中で猛威を振るった。2021年、Emotetは国際的な合同作戦で事実上根絶されたが、「IcedID」という次なる脅威も出てきている。企業はどう対策するべきか、専門家に聞く。
添付ファイル送信にクラウド利用は「攻撃先が移るだけ」
添付ファイルによってはセキュリティソフトのチェックをスルーできてしまうなど、セキュリティ上の問題があるとして、政府は各省庁でパスワード付きファイルとパスワードを同じ経路で送信する方法(いわゆるPPAP)を廃止し、共有ストレージへの移行を進めている。ITmedia NEWSの記事へのコメントでも、添付ファイルの送信にクラウド利用を求めるコメントが散見されるが、石丸さんは「方法の一つとしてはありだが、クラウド上に移行しても、攻撃者もそっちに移るだけだ」と疑問を投げ掛ける。
その理由は、マルウェアはメール以外の認証情報も盗んでいるケースが多いからだ。石丸さんは「クラウド上にマルウェアを仕組んだファイルをアップロードし、メールでそのファイルを開くように誘導すれば、状況としては変わらない。クラウド上に移っても安心というわけではない」と警鐘を鳴らす。
石丸さんはまた、メール経由の添付ファイルの廃止が難しい場合は「パスワードのみSMSなど別の経路で送ったほうがいい」としつつ「メールを送受信する際にはPGPを上手に活用してもらうことでメールの内容をのぞき見られないばかりか、添付ファイルを含むメールの信用性も担保できる」としている。
メール経由のマルウェアのうち、EmotetがOS標準の機能「PowerShell」を使うことでセキュリティソフトの「振る舞い検知」を回避していたことから、こうしたすり抜けに悪用される機能を管理者側で制限することも有効だという。
対策の大前提は「怪しい添付ファイルは簡単に開かない」
ここまではシステム面での対策となったが、本質的な対策としては、怪しい添付ファイルは簡単に開かないようにするという意識の徹底が大前提となる。EmotetもIcedIDもメール経由で入ってくるケースが圧倒的に多い上、Emotetに関してはユーザー同士をつなぐ信頼関係の隙間を突いたことで爆発的に被害が拡大した。
「日頃、やりとりがある人同士であっても、突然添付ファイルが送られてくるなどの場合はすぐに開くのではなく、電話など別の連絡手段で、添付ファイルを送信したかを確認するのも一つの手」と石丸さんは話す。
「Emotet自体は根絶されつつあるが、IcedIDのような新たな脅威も姿を出しているので、メールを使ったマルウェアには気を緩めずに今後も引き続き警戒を続ける必要がある」
Emotet感染者はシステムの再スキャンを
IcedIDのような新たな脅威への警戒が必要な一方で、Emotetが根絶されたからといって全ての問題がなくなったわけではない。
「Emotet経由で感染した別のマルウェアは今回のLadyBirdによるオペレーションでは駆除できない」といい「Emotetに一度感染した端末は二次検体(別のマルウェア)に感染している可能性が非常に高い。改めて、アンチウイルスソフトを使った再スキャンをしてほしい」と呼び掛けた。
Emotet感染のチェックツールとして、JPCERT/CCは「EmoCheck」をソースコード共有サイト「GitHub」で無償公開している。Emotetの余波を確実に除きつつ、セキュリティの基礎を固めていく姿勢が企業の安全なシステム構築には不可欠だろう。
関連記事
- 「Emotet」また襲来 「メリークリスマス」「賞与支給」などの件名でだます
メールの添付ファイルを通じて感染するマルウェア「Emotet」(エモテット)の攻撃メールが、年末になって再び出回り始めた。 - 内閣府と内閣官房で脱“パスワード付きZIP”運用を開始 ファイル送信は内閣府のストレージサービス活用
内閣府と内閣官房がパスワード付きZIPファイル送信時の新ルールの運用を開始。今後、外部へのファイル送信には主に共有ストレージを活用する。 - 進化を続けるマルウェア「Emotet」 怪しく見えないメールも警戒を
姿形を変えていく、やっかいなマルウェア「Emotet」。その実態を紹介する。 - 保健所かたる詐欺メール、病院狙うランサムウェアーー新型コロナ禍に便乗したサイバー攻撃に腹が立って仕方ない話
新型コロナウイルスの感染拡大に便乗し、個人や企業、病院を狙うサイバー攻撃が増えている。その傾向はどのようなものなのか。海外のセキュリティベンダーの資料などを踏まえながら解説する。 - Microsoft、NTTなどと協力し、マルウェア「TrickBot」を遮断する措置
MicrosoftがNTTやSymantecなどと協力し、マルウェア「TrickBot」の主要インフラを遮断する措置をとった。2016年から悪用されているこのマルウェアは、米大統領戦の干渉に使われる懸念が高まっていた。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.