★☆★JNSAメールマガジン 第199号 2020.11.13☆★☆
2020/11/13 (Fri) 16:00
★☆★JNSAメールマガジン 第199号 2020.11.13☆★☆
こんにちは
JNSAメールマガジン 第199号 をお届けします。
JNSAのホームページでもご覧いただけます。
JNSAメールマガジン https://www.jnsa.org/aboutus/ml.html#passed
コラム最後にワンクリックアンケートがあります。
ぜひこのコラムの感想をお寄せください。
今回のメールマガジンはトレンドマイクロ株式会社の山外一徳様にご寄稿いた
だきました。
【連載リレーコラム】
国内で猛威を振るうEMOTETの脅威
トレンドマイクロ株式会社
セキュリティエバンジェリスト 山外一徳
ここ数か月、国内では「EMOTET」と呼ばれるマルウェアが猛威を振るっていま
す。EMOTETは昨年後半から国内でも被害が顕在化し、当時の菅官房長官が会見
でEMOTETへの警戒を呼び掛けたことでも話題となりました。この脅威は、活動
と休止を繰り返していますが、トレンドマイクロでは、直近9月に国内での
EMOTET検出台数が46,000件を超え、昨年末に記録した約8,000件を大きく上回
る数字になったことを確認しています。EMOTETの攻撃は日々の業務に必要不可
欠なメール経由で侵入してくるため、業種規模問わず、あらゆる法人組織が被
害に遭う可能性があります。未だEMOTETの攻撃は継続しており、今後もこのサ
イバー攻撃に対する警戒が必要です。
■EMOTETとは?
EMOTETは主にメール経由で拡散されるマルウェアの一種です。拡散メールの受
信者が不正なマクロ機能を持つOffice文書ファイルを開き、マクロ機能を有効
化するとEMOTETに感染する可能性があります。こうしたOffice文書ファイルは、
拡散メールに直接添付される場合や、本文内のリンクまたは添付PDFファイル
内のリンクから、ダウンロードさせる手口が分かっています。
EMOTETに感染した場合に想定される影響ですが、攻撃者はEMOTETを起点にさま
ざまな不正プログラムを感染端末に送り込み、アドレス帳を含むメール情報の
窃取、感染端末から組織内ネットワークにさらなる攻撃を行ってくることがあ
ります。また、攻撃者が感染端末へのアクセス権を別のサイバー犯罪者に販売
することがあり、それを購入したサイバー犯罪者がランサムウェアといったよ
り凶悪な攻撃を仕掛けるなど、深刻な被害につながるリスクもあります。
■EMOTETの拡散メールについて
EMOTETを拡散するメールの特徴としては、実在の組織になりすまし、自然な日
本語による偽装メールを送ってくるものが挙げられます。なお、過去の感染端
末から窃取した情報を悪用し、実際のメールのやり取りを貼付して返信を偽装
したメールを送ってくるものもあります。EMOTETの厄介なところは、感染端末
から窃取した情報を悪用し、さらなるメール拡散の攻撃が行われる点です。万
が一、取引先での感染や子会社または親会社など、法人組織におけるサプライ
チェーンのどこかで感染が発生した場合、普段のビジネスメールにまぎれて、
EMOTETの拡散メールが着弾するかもしれません。
■EMOTETの攻撃に見られる変化
9月に攻撃が活発化したEMOTETですが、従来の攻撃から変化が見られました。
特にセキュリティ対策をすり抜けようとする動きについては警戒が必要です。
今回EMOTETの拡散メールにパスワード付きzipファイルを添付し(パスワード
はメール本文に記載)、法人組織のメール対策をすり抜けようとする手口が確
認されているとともに、EMOTETの亜種が急増していることが判明しました。亜
種が急増することで、ウイルス対策ソフトの基本的な検出技術であるパターン
マッチングによる対応が難しくなることが想定されます。EMOTETの攻撃では、
侵害した法人組織のネットワーク内で複数の端末が感染した場合、それぞれ異
なる亜種に感染する手口も分かっています。その場合、一つの端末で検出され
たウイルス対策ソフトのパターンマッチングを全端末に適用したとしても、
EMOTETを一斉駆除することができず、検出されない亜種が他端末に残るリスク
も出てきます。EMOTETが国内で猛威を振るう中、こうした動きだけでなく、今
後も攻撃に新たな変化が出てくるかもしれません。
■法人組織における対策ポイント
こうしたEMOTETの脅威には、さまざまな対策が考えられますが、今回は主に3
つの観点でご紹介します。
1)従業員へのセキュリティ教育とマクロ機能の無効化
従業員にセキュリティ意識向上を目的とする教育を行うことは重要です。従業
員がEMOTETの脅威を理解することで、万が一、拡散メールを受信した場合でも、
不用意にOffice文書のマクロ機能を有効化しない可能性が高くなるでしょう。
また、マクロ機能が有効化されなければ、EMOTETに感染することはないため、
組織としてそもそもマクロ機能をすべて無効に設定することも効果的です。
2)多層防御による検出力の強化
EMOTETの亜種が増加していることから、パターンマッチングだけでなく、機械
学習を用いた検出技術や不正な挙動を検出する技術、サンドボックス技術とい
った複数のセキュリティ技術を導入することが必要です。また、こうした技術
を、メール対策や端末の対策といった複数のレイヤに導入することで、脅威の
検出力をさらに強化することができます。
3)メールの添付ファイルの無効化
現在EMOTETの主な攻撃は、メール経由による不正なOffice文書ファイルの
拡散です。そのため、組織としてメールによるファイルのやり取りを禁止する
ポリシーを決め、メールの添付ファイルを無効化することも対策として効果が
あります。この場合、代替手段として、ファイル共有のクラウドサービス等の
利用が想定されます。しかし、攻撃者もこうした対策に応じて、攻撃の手口を
変化させてくることも考えられますので、先述の多層防御の一つの層として
捉えるべきです。
法人組織ではEMOTETの動向に注視しながら、今後再び来るかもしれない攻撃の
変化と急増に備えた対策の見直し・検討を行うことをおすすめします。
#連載リレーコラム、ここまで
<お断り>本稿の内容は著者の個人的見解であり、所属団体及びその業務と
関係するものではありません。
<ワンクリックアンケートお願い>
今回のメールマガジン第199号の感想をお寄せください。
https://ux.nu/6MN1m
※googleアンケートフォームを利用しています。
【部会・WGからのお知らせ】
★日本トラストテクノロジー協議会(JT2A)リモート署名タスクフォースが
「JT2Aリモート署名ガイドライン」修正版を公開しました。
https://www.jnsa.org/result/jt2a/2020/index.html
★JNSA『みんなの「サイバーセキュリティコミック」』Twitterで配信中!
原作担当作家は大島 悠( @haruka_red )先生、作画担当作家は花園 あずき
(@genjihikaru)先生です!
11月6日最終話が公開されました!
JNSA twitter https://twitter.com/jnsa
★「JNSA 2019-2020年度活動報告会」参加登録を開始しました!
開催日時:2020年11月26日(木)10:00~17:45
https://www.jnsa.org/seminar/2020/1126/
【事務局からのお知らせ】
★無料でご利用いただけます!「情報セキュリティ理解度チェックサービス」
https://slb.jnsa.org/eslb/
組織の情報セキュリティ向上のための一助としてご活用下さい。
★「JNSAソリューションガイド」イベント/セミナー情報随時更新中です。
テレワークに対応した製品やセミナー情報の検索にご利用ください。
https://www.jnsa.org/JNSASolutionGuide/IndexAction.do
★テレワークに活用ください!
「緊急事態宣言解除後のセキュリティ・チェックリスト」
https://www.jnsa.org/telework_support/telework_security/index.html
★JNSA事務局を騙った詐欺事件が相変わらず頻発しています。
当協会から弁護士費用を請求したり、金銭受取の念書を発行することは一切
ありませんので、不審な点がありましたら当協会まで直接お問合せ下さい。
☆コラムに関するご意見、お問い合わせ等はJNSA事務局までお願いします。
office@jnsa.org
☆メールマガジンの配信停止は以下URLの「解除」よりお手続き下さい。
配信停止連絡 <http://www.jnsa.org/aboutus/ml.html>
*************************************
JNSAメールマガジン 第199号
発信日:2020年11月13日
発 行:JNSA事務局 office@jnsa.org
*************************************
こんにちは
JNSAメールマガジン 第199号 をお届けします。
JNSAのホームページでもご覧いただけます。
JNSAメールマガジン https://www.jnsa.org/aboutus/ml.html#passed
コラム最後にワンクリックアンケートがあります。
ぜひこのコラムの感想をお寄せください。
今回のメールマガジンはトレンドマイクロ株式会社の山外一徳様にご寄稿いた
だきました。
【連載リレーコラム】
国内で猛威を振るうEMOTETの脅威
トレンドマイクロ株式会社
セキュリティエバンジェリスト 山外一徳
ここ数か月、国内では「EMOTET」と呼ばれるマルウェアが猛威を振るっていま
す。EMOTETは昨年後半から国内でも被害が顕在化し、当時の菅官房長官が会見
でEMOTETへの警戒を呼び掛けたことでも話題となりました。この脅威は、活動
と休止を繰り返していますが、トレンドマイクロでは、直近9月に国内での
EMOTET検出台数が46,000件を超え、昨年末に記録した約8,000件を大きく上回
る数字になったことを確認しています。EMOTETの攻撃は日々の業務に必要不可
欠なメール経由で侵入してくるため、業種規模問わず、あらゆる法人組織が被
害に遭う可能性があります。未だEMOTETの攻撃は継続しており、今後もこのサ
イバー攻撃に対する警戒が必要です。
■EMOTETとは?
EMOTETは主にメール経由で拡散されるマルウェアの一種です。拡散メールの受
信者が不正なマクロ機能を持つOffice文書ファイルを開き、マクロ機能を有効
化するとEMOTETに感染する可能性があります。こうしたOffice文書ファイルは、
拡散メールに直接添付される場合や、本文内のリンクまたは添付PDFファイル
内のリンクから、ダウンロードさせる手口が分かっています。
EMOTETに感染した場合に想定される影響ですが、攻撃者はEMOTETを起点にさま
ざまな不正プログラムを感染端末に送り込み、アドレス帳を含むメール情報の
窃取、感染端末から組織内ネットワークにさらなる攻撃を行ってくることがあ
ります。また、攻撃者が感染端末へのアクセス権を別のサイバー犯罪者に販売
することがあり、それを購入したサイバー犯罪者がランサムウェアといったよ
り凶悪な攻撃を仕掛けるなど、深刻な被害につながるリスクもあります。
■EMOTETの拡散メールについて
EMOTETを拡散するメールの特徴としては、実在の組織になりすまし、自然な日
本語による偽装メールを送ってくるものが挙げられます。なお、過去の感染端
末から窃取した情報を悪用し、実際のメールのやり取りを貼付して返信を偽装
したメールを送ってくるものもあります。EMOTETの厄介なところは、感染端末
から窃取した情報を悪用し、さらなるメール拡散の攻撃が行われる点です。万
が一、取引先での感染や子会社または親会社など、法人組織におけるサプライ
チェーンのどこかで感染が発生した場合、普段のビジネスメールにまぎれて、
EMOTETの拡散メールが着弾するかもしれません。
■EMOTETの攻撃に見られる変化
9月に攻撃が活発化したEMOTETですが、従来の攻撃から変化が見られました。
特にセキュリティ対策をすり抜けようとする動きについては警戒が必要です。
今回EMOTETの拡散メールにパスワード付きzipファイルを添付し(パスワード
はメール本文に記載)、法人組織のメール対策をすり抜けようとする手口が確
認されているとともに、EMOTETの亜種が急増していることが判明しました。亜
種が急増することで、ウイルス対策ソフトの基本的な検出技術であるパターン
マッチングによる対応が難しくなることが想定されます。EMOTETの攻撃では、
侵害した法人組織のネットワーク内で複数の端末が感染した場合、それぞれ異
なる亜種に感染する手口も分かっています。その場合、一つの端末で検出され
たウイルス対策ソフトのパターンマッチングを全端末に適用したとしても、
EMOTETを一斉駆除することができず、検出されない亜種が他端末に残るリスク
も出てきます。EMOTETが国内で猛威を振るう中、こうした動きだけでなく、今
後も攻撃に新たな変化が出てくるかもしれません。
■法人組織における対策ポイント
こうしたEMOTETの脅威には、さまざまな対策が考えられますが、今回は主に3
つの観点でご紹介します。
1)従業員へのセキュリティ教育とマクロ機能の無効化
従業員にセキュリティ意識向上を目的とする教育を行うことは重要です。従業
員がEMOTETの脅威を理解することで、万が一、拡散メールを受信した場合でも、
不用意にOffice文書のマクロ機能を有効化しない可能性が高くなるでしょう。
また、マクロ機能が有効化されなければ、EMOTETに感染することはないため、
組織としてそもそもマクロ機能をすべて無効に設定することも効果的です。
2)多層防御による検出力の強化
EMOTETの亜種が増加していることから、パターンマッチングだけでなく、機械
学習を用いた検出技術や不正な挙動を検出する技術、サンドボックス技術とい
った複数のセキュリティ技術を導入することが必要です。また、こうした技術
を、メール対策や端末の対策といった複数のレイヤに導入することで、脅威の
検出力をさらに強化することができます。
3)メールの添付ファイルの無効化
現在EMOTETの主な攻撃は、メール経由による不正なOffice文書ファイルの
拡散です。そのため、組織としてメールによるファイルのやり取りを禁止する
ポリシーを決め、メールの添付ファイルを無効化することも対策として効果が
あります。この場合、代替手段として、ファイル共有のクラウドサービス等の
利用が想定されます。しかし、攻撃者もこうした対策に応じて、攻撃の手口を
変化させてくることも考えられますので、先述の多層防御の一つの層として
捉えるべきです。
法人組織ではEMOTETの動向に注視しながら、今後再び来るかもしれない攻撃の
変化と急増に備えた対策の見直し・検討を行うことをおすすめします。
#連載リレーコラム、ここまで
<お断り>本稿の内容は著者の個人的見解であり、所属団体及びその業務と
関係するものではありません。
<ワンクリックアンケートお願い>
今回のメールマガジン第199号の感想をお寄せください。
https://ux.nu/6MN1m
※googleアンケートフォームを利用しています。
【部会・WGからのお知らせ】
★日本トラストテクノロジー協議会(JT2A)リモート署名タスクフォースが
「JT2Aリモート署名ガイドライン」修正版を公開しました。
https://www.jnsa.org/result/jt2a/2020/index.html
★JNSA『みんなの「サイバーセキュリティコミック」』Twitterで配信中!
原作担当作家は大島 悠( @haruka_red )先生、作画担当作家は花園 あずき
(@genjihikaru)先生です!
11月6日最終話が公開されました!
JNSA twitter https://twitter.com/jnsa
★「JNSA 2019-2020年度活動報告会」参加登録を開始しました!
開催日時:2020年11月26日(木)10:00~17:45
https://www.jnsa.org/seminar/2020/1126/
【事務局からのお知らせ】
★無料でご利用いただけます!「情報セキュリティ理解度チェックサービス」
https://slb.jnsa.org/eslb/
組織の情報セキュリティ向上のための一助としてご活用下さい。
★「JNSAソリューションガイド」イベント/セミナー情報随時更新中です。
テレワークに対応した製品やセミナー情報の検索にご利用ください。
https://www.jnsa.org/JNSASolutionGuide/IndexAction.do
★テレワークに活用ください!
「緊急事態宣言解除後のセキュリティ・チェックリスト」
https://www.jnsa.org/telework_support/telework_security/index.html
★JNSA事務局を騙った詐欺事件が相変わらず頻発しています。
当協会から弁護士費用を請求したり、金銭受取の念書を発行することは一切
ありませんので、不審な点がありましたら当協会まで直接お問合せ下さい。
☆コラムに関するご意見、お問い合わせ等はJNSA事務局までお願いします。
office@jnsa.org
☆メールマガジンの配信停止は以下URLの「解除」よりお手続き下さい。
配信停止連絡 <http://www.jnsa.org/aboutus/ml.html>
*************************************
JNSAメールマガジン 第199号
発信日:2020年11月13日
発 行:JNSA事務局 office@jnsa.org
*************************************