公開日2023.03.17
最終更新日2023.03.16
1.はじめに
初めまして。インフラエンジニアを目指している、まりです!
最近はコロナの影響もあり、テレワークなどを導入されている会社が多くなってきたのではないでしょうか?
そこで心配となってくるのが、自身での対応が必要となる“セキュリティ問題”ですよね。
自分が気づかないうちに個人情報を抜き取られてしまったり、取引先や顧客情報が漏洩してしまうという事があるようです。考えただけで恐ろしいですね。
そこで今回は、少しでもセキュリティ強化をしたい方向けに、大切な情報を守るためにはどのような知識や対策が必要か、「Emotet(エモテット)」を例に挙げて解説していきたいと思います!
2.Emotetとは何か
「Emotet(エモテット)」=マルウェア(malicious:悪意のある + softwareソフトウェア)の一種です。様々な人やコンピュータへ悪影響を与えるものとなります。
また、他のマルウェアにも立て続けに感染させたり、他者への感染源・踏み台とされる事もあります。
詳しくは以下のページをご参照ください!↓
マルウェア「Emotet(エモテット)」の脅威を わかりやすく解説|ビジネスブログ|ソフトバンク (softbank.jp)【参照元】Softbank
様々な手法
- 「自己増殖(ワーム)」
→自己増殖・自己複製を繰り返し、悪さをする。 - 「なりすましメール」
→連絡先情報を盗み、本人になりすまして配信と感染をさせる。 - 「個人情報の流出と悪用」
- 「身代金の要求(ランサムウェア)」
→重要なデータを勝手に暗号化することで、復元と引き換えに身代金を要求する。 - 「ばらまき攻撃」
→不正に取得した連絡先へ、有害な添付ファイルを大量に送り付ける。
3.感染経路について
ではどのようなきっかけで感染してしまうのでしょうか?
主流となっているのは、取引先や顧客を装った”なりすましメール”を送り、
添付ファイルや不正URLを通して感染拡大をしていく方法になります。
非常に巧妙な手口のものが多く、正規サービスを装ってウイルスを仕組んだファイルのダウンロードを促してきたり、取引先や顧客と同じアドレス・件名での返信を装って添付をしてくる事もあります。
また、最近では、zip形式の添付ファイルが送付されるケースが報告されており、
その場合はセキュリティソフトなどを入れていてもすり抜けてしまうなど、
有害なファイルかどうか見抜くことが非常に難しくなっています。
4.事例等詳細説明
実際に「Emotet」の感染被害にあった企業の事例を一部ご紹介します。
1.⻄日本電信電話株式会社
従業員のPC1台が感染し、社外関係者449件、社内関係者2969件の連絡先・メール文125通が流出した可能性がある事を確認。
差出人 : NTT ⻄日本グループ会社の社員名
(ただし、メールアドレスは攻撃者のメールアドレス)
件名 : RE:(過去にやり取りしたメールの件名)
添付ファイル : xxxxxxxxxx.doc(Word ファイルが添付されているケースが
確認されています)メール本文の一例 :
20191212_2245.pdf (ntt-west.co.jp)【参照元】⻄日本電信電話株式会社
・過去にやり取りがあったメールと関係を連想させる簡単な文章
・NTT ⻄日本グループ会社の社員の名前が⼊っている
・過去にあった実際のメールのやり取りが文末に挿入
2.日本気象協会
職員が業務で使用しているPC端末がEMOTETに感染し、職員を装った不審なメールが送られていることを確認。
宛先:[email protected](事業ML)
添付ファイル:zipファイル
メール本文:
以下メールの添付ファイルの解凍パスワードをお知らせします。
添付ファイル名:2022-03-02_1009.zip
解凍パスワード:67897413
Tel 044-×××-××× Fax 044-×××
Mobile 090-×××-×××
Mail ×××@iwa.or.jp>Date:Wednesday,March 01,2022 20:09
>From”×××.情報システム”
>To:”×××”
>subject Re:FW×××………….・日本気象協会の職員を名乗っているが、送信元メールアドレスは日本気象協会職員が使う メールアドレス(×××@jwa.or.jp ) とは別のアドレスの場合がある
日本気象協会職員を装った不審なメールにご注意ください | JWAニュース | 日本気象協会【参照元】日本気象協会
(※送信元のメールアドレスを、日本気象協会職員が使う正しいメールアドレスを詐称した形で送信している場合があることを確認しています)
・メール本文には挨拶や前置きが無い
・メールはzipファイル付きで作成されている
・メール本文にはzipファイルの開封パスワードが書いてあり、開封を促す文章がある
・メールの文末に市外局番「044」から始まる電話番号、ファックス番号と、「090」から 始まる携帯電話の番号が記載されている場合があり、
その後に実在する日本気象協会職員の正しいメールアドレスが記載されている
他にも、季節のあいさつ・時事ネタ・給与明細・請求書などを
利用する手口も多数報告されています。
このように過去に連絡した事がある人を装ったり、業務上開いてしまいかねない内容でメールを送ってくるため、注意が必要となります。
5.予防・対策について
それでは次に、Emotet の感染予防と具体的な対策についてご紹介します。
受信したアドレスや顧客名を確認する。
→知っている人からのメールだと感じても、
ドメイン名や署名欄までしっかり一致しているか確認する。
身に覚えのないファイルやURLはむやみに開かない。
→開くだけで感染してしまう場合もあるため、
怪しいと感じたら開かずに上長へ報告する。
また、メール内容が正しいかの確認はメールではなく別途電話などで行 う。
マクロの自動実行を無効にし、メールセキュリティ製品を導入する。
→WordやExcelなどのoffice系を使った手口が多く
悪意のあるマクロが自動的に実行される恐れがあるため、
マクロの設定は無効化にしておき、むやみに有効化をしないようにす る。
脆弱性を減らすためOSは常に最新のものへアップデートし、セキュリティソフトを導入する。
→OSやセキュリティソフトを最新のものに保つ事で、
既知のマルウェアが検出可能になる。
また、逆に古いままだと非対応になっていて感染のリスクが高くなる可 能性がある。
大切なデータはこまめにバックアップを取る。
→いざという時に対応できるよう、大切なデータはクラウドや別の端末等 にバックアップの保管をしておく。
おまけ
→現時点ではwindowsがターゲットにされている傾向があるため、どうしてもファイルを開く必要がある時は複数人でチェックの上、MacやLinuxなどで開く。(推奨はしません。。。)
6.もし感染したら
とはいえ、もし既に感染した可能性がある場合は、どうしたら良いのでしょうか。その答えですが、第一に ”一人で解決しようとしない事” が重要です。
感染を少しでも早く食い止めるためには、以下のような流れが必要となります。
- チェックツール「EmoCheck」で感染状況を確認する。
- 感染が確認されたら、LANケーブルや接続している端末などを抜き、ネットワーク等から隔離する。
- 上長や情報システム部等へ報告をし、他の人へ注意喚起を行う。(社内ネットやデバイスは可能な限り使わない。)
- 上長や専門家の指示に従って処理を行う。
他にも、
- 電源やデータは消さずに、ログや対応についてメモを取っておく。
- メールアドレスやパスワードの変更を行う。
- 端末の初期化を行う。 などなど…
感染しているかのチェックについては、警視庁が推奨している
「EmoCheck(エモチェック)」がお勧めとなります。
以下のページよりダウンロードが可能で、
5分くらいで簡単に感染しているかの確認が出来ます!
一度チェックしてみてはいかがでしょうか! ↓
Emotet(エモテット)感染を疑ったら 警視庁 (tokyo.lg.jp)【参照元】警視庁
7.まとめ
今回、簡単にご説明させていただきましたが、いかがだったでしょうか。
少しでも「Emotet」への理解を深める事が出来ましたら幸いです!
完全に防止することは難しいため、対策をしつつ、被害をいかに早く最小に抑えるかという点が重要になります。
ぜひ上記内容をご参考の上、実施してみて下さいね。
それでは、よきPCライフを!!
コンピューターウイルスについてはこちらの記事でもご紹介しております。