〈サイバー攻撃✕ ITエンジニア ②〉では、代表的な7種のマルウェアをご紹介しましたが、近年、世界中で被害が続出し、そのリスクを指摘されているのが、フィッシングメールの添付ファイルを主な感染経路とするマルウェアの一種「エモテット(Emotet)」です。
2014年に初めて検出された後、世界で多数の被害が報告されたうえに日本国内でも大規模なばらまき攻撃が仕掛けられたことで、2019年に最も流行している脅威のひとつとみなされたエモテットに対し、2021年に欧州刑事警察機構(Europol)がエモテットの一掃作戦を図ります。そこからしばらく検知されなかったため壊滅したかのように思われていたのですが、2022年に入って再びの感染が確認された、その後2023年に入って再び猛威をふるう脅威になっています。
エモテッによる被害拡大を受け、総務省、警視庁、各行政などが注意を喚起していますが、知識不足による不用意な行動によって、取引先をはじめとする複数の企業に感染を拡大させるリスクがあるため、この機会にエモテットをはじめとするマルウェアの感染経路について理解を深め、セキュリティ、リスクマネジメントの意識を高めましょう。
「バンキング型トロイの木馬」として開発されたコンピュータ・マルウェアプログラムである「エモテット(Emotet)」の主な目的は、デバイス(端末)に不正アクセスして個人情報や機密情報を窃取することにあります。
サイバー攻撃の被害報告のなかでエモテットによる被害が突出する今日、国、警察、行政によって攻撃パターンの周知や、攻撃防御の注意喚起がなされていますが、マルウェアの新種であるエモテットの手口は非常に巧妙で、主な攻撃パターンとして以下のような手口が報告されています(画像参照)。
エモテットが世界で猛威をふるう以前から、エモテットとよく似た手口のビジネスメール詐欺は存在し、実例として、〈大手航空会社の本社に海外の金融会社の担当者になりすました偽の請求書が届いたため、担当者は指示に従って約4億円を振り込んだところ、数日後に詐欺グループに金銭を騙し取られていたことが発覚〉という被害も報告されています。こうした手口を、さらに巧妙かつ進化させているのが、マルウェアの一種・エモテットです。
また、1台の端末に感染した後に社内ネットワークを通じて、一気に拡散する自己拡散機能や拡張機能を有しているエモテットは、不正送金マルウェアやランサムウェア※に二次感染するリスクがあるうえ、業務停止のみならず自社のサービスやシステムが機能不全に追い込まれることも想定されます。※ランサムウェア=〈サイバー攻撃✕ ITエンジニア ②〉
そうした事態を招かないためにも、端末への感染確認後はデバイス側の電源を落とさず、ただちにネットワークとの接続を切断しましょう。有線のLANケーブルを使用している場合も同様に端末の電源を落とさず、端末からケーブルを抜くことが、有効な手立てといわれています。
企業、組織では〈入り口対策〉〈出口対策〉〈内部対策〉が、被害防御のための必要最小限の対策になります。
〈入り口対策〉 侵入を許す入り口を作らない
マルウェア対策の基本は「侵入させない」ことに尽きるため、日頃から 最新のアンチウイルスソフトを導入する、社員のセキュリティ教育を定期的に実施する、外部から侵入できないセキュリティ体制を構築するなどの対策を行いましょう。セキュリティ教育では端末の使用ルールはもちろん、過去の実例をもとに不審なWebサイトやメールを見分けるスキルなどを養うことが、マルウェア侵入防止の第一歩になります。
〈出口対策〉 社外でのデータ管理を徹底する
近年報告されている情報漏えい被害には、外部からのサイバー攻撃だけでなく、社内の人間による外部への情報流出が大きなウェイトを占めているため、〈入り口〉を固めたら、次は〈出口〉もしっかり固めましょう。
〈出口対策〉についてとくに気をつけたいのが中小企業です。官公庁や大手企業と比較して中小企業のセキュリティ対策は手薄であるケースが多く、そうした中小企業を踏み台にして親会社や取引先を攻撃する事例が多数報告されている点からも、外部への情報流出を防御するために、次の対策を実施しましょう。
✓ 企業データベースへの外部からのアクセスルールの徹底
✓ 高額で売買される窃取情報のもとになるデータ共有に関するリスクの共有
✓ 情報が漏えいしやすいテレワークにおけるリスクの共有
✓ 情報が容易に窃取されやすいリムーバブルデバイス等によるデータ管理リスクの共有
〈内部対策〉 二次被害を生み出さない
リムーバブルデバイスでの感染リスクはかなり以前から注意喚起がなされていましたが、残念ながら企業のセキュリティ教育不足と個人のリスクマネジメントの不足から、下記のような事例はあとを絶ちません。
■ウイルス感染のUSBメモリを使用したことで社内に感染が広がり、機密データが窃取された
■機密情報用の外付HDDを社員が無断で持ち出した際に盗難に遭い、情報が漏えいした
■マルウェア感染が自動実行される、景品として配られたUSBメモリを社内端末で使用した
■持出厳禁のHDDの保管データを自宅に持ち帰り、テレワーク環境で使用した
■私物のUSBメモリを利用したことで、社内の全端末にマルウェアが感染した
■ウイルス感染を自動再生するCD-ROMを自社端末で使用した
「普通にルールを守っていたらそんなこと起きないはず」と考えている人も多いと思いますが、システム開発を請け負っている企業で仕事を終えたSEが、機密情報が入ったUSBメモリを無断で持ち帰り、その帰路で酒に酔って路上で眠りこんでいた際にUSBが入ったカバンを盗まれるという事件も、1年ほど前に実際に起きています。こうしたずさんな事故やトラブルを教訓に、リムーバブルデバイスの取り扱いルールを従業員全員で徹底しましょう。
「スパイウェア※」「トロイの木馬※」「ランサムウェア※」「キーロガー※」「マクロウイルス※」「バックドア※」など、特定かつ巧妙な手口で端末に侵入・感染し、窃取や詐取などの犯罪行為等の目的を遂行しようとするマルウェアを防御する有効な方法が〈入り口対策〉です。※〈サイバー攻撃✕ ITエンジニア ②〉
■メールに記載されたリンクを容易にクリックしない
〈入り口対策〉 として最も有効に手立て・対策が、メールに対する注意喚起です。メールに添付されたファイルは、よほど怪しくない限り開いてしまう人が多いと思いますが、攻撃者はそのファイルに不正マクロを埋め込み、受信者がファイルを開くことでマクロが実行され、感染に至ります。
もし、攻撃メールと気づかずにファイルを開いてしまった場合、ネットワークでつながる社内端末すべてが感染リスクにさらされますし、攻撃者は感染した端末からメールやアドレス帳の情報を窃取し、その情報をもとに取引先などへ大量のばらまきメールを送信するといった攻撃や、被害者であるユーザの名を騙って特定サイトや攻撃対象に無効パケットを大量に送り付けてWebサーバーダウンやシステムの性能停止を仕掛けます。最悪の場合、サービス停止やシステムダウンの解除や復号を盾に、金銭を要求される事態に発展します。
メールに記載されたリンクをクリックしないよう注意が換気されているフィッシング詐欺では、少し前まで日本語に違和感があることから、すぐに「怪しい」と感じることができました。ところが最近は、知り合いや取引先、顧客になりすましたメールが送られるなど、手口が巧妙かつ狡猾化していることで対策が非常に難しくなっています。
エモテットなどのマルウェアでは、フィッシング詐欺と同様に〈偽装メールに添付されたリンクをクリックすると不正ファイルがダウンロードされる〉〈不正Webサイトに誘導される〉など、攻撃者がどのような手口で罠を仕掛けてくるかわからないため、〈送信されてきたメールに記載されたリンクをクリックする際は、あらかじめ送信元に確認する〉習慣をつけるなど〈入り口対策〉の徹底を図りましょう。
■メールの添付ファイルは、確認なしに開かない
“踏み台”とされる企業においても、本来の攻撃対象となるターゲット企業においても、不正マクロが埋め込まれたメールに添付されたファイルや、ダウンロードしたファイルを開くことで感染を許すことになりますが、悪意ある第三者(攻撃者)はまず“踏み台”とされる企業にメールを送りつけます。“踏み台”となった企業の端末がマルウェアのウイルスに感染することで、メールやアドレスのデータが窃取されることになり、さらに攻撃者はそのデータを用いて、ターゲット企業にばらまきメールを送信する攻撃を仕掛けます。
自分がメールを送った記憶がないのに〈メールの件名に「Re:」と表示されている〉〈送信者のメールアドレスが通常と違う〉〈メールに違和感を感じる〉〈添付ファイルの容量が重い〉など不審なメールはただちに削除することが望ましいですし、判断がつかない場合は、メール送信元にファイルを送ったかどうかを確認するようにしましょう。
実際に、IPA(独立行政法人 情報処理推進機構)によると、Emotetのメール偽装の手口として以下のような事例も確認されていますので、こうした実例を参考にメールの操作に細心の注意を払いましょう。
■「協力会社各位」という件名のメールに、「先日送付した案内の修正」と記されたWordファイルが添付
■「ご入金の通知」「請求書発行のお願い」「次の会議の議題」などの件名のメールに、Word、Excel、OneNoteのファイルが添付
また最近のマルウェアの新たな手口として、アンチウイルス製品での感染検知を回避する狙いから、他者になりすましたメールにZip形式の500MBを超えるサイズのファイルが添付されていたケースも報告されています。
少し前までは、マルウェアが埋め込まれたWebサイトを訪問したユーザの端末がマルウェアに感染……という
手口が多数報告されていたのですが、最近では国の公的Webサイトや大手企業の正規サイトにアクセスしているにもかかわらず、マルウェアに感染した事例も報告されています。
過去に多かった手口は、セキュリティの脆弱なWebサイトに狙いを定めた悪意のある攻撃者が、そのサイトを改ざんし、そのサイトを閲覧した不特定多数の人をターゲットにマルウェア感染する罠を仕掛けたものとされていました。こうした手口は現在も確認されているため、以下のようなサイトに出会ったら、すぐに退出しましょう。
✓ 情報が詰め込まれていて見づらいサイト
✓ ポップアップ表示が多く出現するサイト
✓ 表示が乱れているサイト
✓ 内容が整理されていないサイト
悪質なフリーソフトをインストールした後に、〈端末の動作が遅くなった〉〈トラブルが多くなった〉〈HDD のデータが破壊された〉といった現象が起きたとき、端末内の連絡先のデータや個人情報が窃取されているかもしれません。
盗み出された情報を悪用されて、自分のメールアドレスが迷惑メールの発信元として使われるほか、クレジットカードを不正利用されるなどの被害が発生しかねないため、無料ソフトやアプリをインストールする際は、次の点に気をつけましょう。
✓ 無料で利用できる代わりに広告を表示させるソフトウェアは極力利用しない
✓ 英文サイトの内容や意味を確認できなければ、そのサイトを利用しない
✓ インストール時にデバイス管理者の権限が要求されたときはダウンロードしない
✓ 安心かどうか、ダウンロード元や開発元を確認する
✓ ウイルス対策ソフトを入れた端末で警告表示が出たらダウンロードしない
✓ 〈OK〉や〈実行〉を不用意にクリックしない
——不正アクセス、インターネット上の詐欺の捜査を行う警視庁は、サイバー攻撃を以下のように定義づけています。
〈情報通信システムは、サイバー攻撃を受けて過剰な負荷がかかったり、コンピュータ・ウイルスに感染したりすると、正常に動作しなくなってしまいます。政府機関等の重要インフラ事業者の基幹システムがサイバー攻撃を受け、国民生活や社会経済活動に甚大な支障が生じる事態はサイバー攻撃と呼ばれています。サイバー攻撃は、攻撃者の特定が難しいうえに容易に国境を越えて実行することが可能です〉
続く〈サイバー攻撃✕ ITエンジニア ④〉では、感染に気づいたときにやってはいけない3つのこと、日頃から行っておくべき8項目の具体的なマルウェア対策などについて考えます。
日総工産ではITエンジニアのお仕事も多数掲載中!
「新たな技術フィールドで活躍したい」、「自らの可能性をもっと追求したい」、「エンジニアとしてキャリアアップを図りたい」と考えている皆さんを、全力でサポートいたします。詳しくは「エンジニアワークス」をご覧ください。
採用に関するご相談など、お気軽にお問合わせください。
受付は平日朝9時より18時までとなります。
平日18時以降、土日祝日のお問合わせは翌営業日以降にご対応致します。
engineer works(エンジニアワークス)は、日総工産のエンジニア採用ページです。日総工産には「未経験の方」も「経験を活かしたい方」も、エンジニアとして活躍できる場があります。