KDL BLOG
KDLの取締役 デジタルビジネス本部長の玉置慎一と、執行役員でCSA(チーフセキュリティアドバイザー)の岡田良太郎が、「いまさら聞けないITあれこれ」を語る対談ブログです。不定期更新でわいわいがやがや、そして時にはバッサリ世相を斬ります。
今回は緊急対談です。テーマは「マルウェアEmotetの脅威」。
ニュースなどでも話題になっているマルウェアEmotetですが、実際に被害も出ています。「うちの会社は感染していないかな?」「どうすればいいんだろう?」逆に、「多分大丈夫だろう」などとさまざまな声が聞こえてきました。まずここで、空前の話題となっているマルウェアEmotetとは何か?感染するとどうなる?対策は?などなど、確認していきましょう。
Emotet(エモテット)とはなにか?
Emotetというマルウェアは、2014年頃、当初は金融業界を狙っていたといわれています。誰でも使うMicrosoft Officeファイルのマクロを利用するんですよね、ワードとかエクセルとかですね。Wordファイルとかzipになっているもの以外にも、OneDriveなどのクラウドストレージへのリンクも出てきているような状況です。
玉置 慎一(以下 玉置)何も疑わずにファイルを開くとマクロが動作するパターンは、手口としては古典的ですよね。
岡田英語圏で2019年3月くらいから、いわば「やりとり型」という、メールの返信を装う手口で再び拡散し始めたようです。日本でも、2019年9月以降にそのような詐欺メールが日本語化され、感染する団体が多く確認されました。
日本の大学や企業など結構多くの組織からも注意喚起が出てましたし、JPCERT/CCからも解説(https://www.jpcert.or.jp/at/2019/at190044.html )が出ました。
岡田
これらの注意喚起でも明確に書かれていますが、感染すると、ブラウザなどから情報を窃取されたり、ランサムウエアなどで破壊されたりというような被害が観察されています。
こうして年末が近づくにつれ、Emotetという名前を聞いたことがあるという方も多くなったんじゃないですかね。実際、お客様でもIT業界でない方からも問い合わせが増えてきています。
そんなに引っかかりやすいメールなんですか?
玉置当初からのEmotetの特徴のひとつは、手口が巧妙で引っかかりやすいということ。バラマキ型もありますが、メールのやりとりを偽装してスレッドに割り込んでくるような形の場合は、特にひっかかりやすい。
典型的なのは、メールのSubject(掲題)の部分に「Re:」をつけて、シンプルなメールのやりとりにみせかける。「永吉です。資料の差し替えをお送りします」みたいに、実際に存在する役員、社員の名前を本文に使ったメールをばらまかれたり。実はKDLの社員にも詐欺メールに名前を使われたメンバーが数名いますので、リアルです。
侵入ポイントが自社だけに閉じない、つまりやりとりしているいろんな会社のどこでやられているかわからないのはしんどいですね。攻撃の標的にする場合には、事前にがっつり調べてから攻撃していることが分かります。「この組織には、こういう名前の人がいる」と分かって、やり取りにみせかけたメールを送ってくる。
玉置ソーシャルエンジニアリングとの組み合わせで、感染力を高めているんですよね。ウェブなどで公知のことや、どこかの企業で盗まれた情報を活用しているシナリオだと、明確に「こうすれば防げる」というのは言いにくいですよね。今なんてネットで調べれば、どんな会社でどんな部門があって代表の名前はだれそれさん、なんて情報は簡単に集められますから。
岡田そうそう。まあ、真面目に仕事をしている人なら、それなりの役割を持っている人からメールが来たら、開くのは当たり前ですしね。だからこれ、僕だったらめちゃくちゃ嫌です。知っている人に迷惑をかけるかもしれないし、でも自分がやったわけではないし、でもなんかごめんなさい・・・って感じ。
玉置自分の信用を利用されていることが許せないですよね。普通の人間がうっかり信じてしまうような心の隙を利用するマルウェアってところが、人間の嫌な面を見るようでぞわっときます。普通の人同士のやり取りを利用した「人の思い込み」を悪用する本当に凶悪な手口です。メール版の「オレオレ詐欺」みたいな感じですよね。
岡田思い込みってありますよね。電話があって「岡田です、広報に繋いで」って言われたら広報の誰かに繋がるし、「●●さんの電話番号教えて」って言われたら教えちゃうかもでしょ?そういう感じでダイレクトな番号を聞いて、積み上げて調査を進める。人に直通でつながる方法やメールアドレスを調べて、そのデータを売る。
玉置背中までぞくっとしましたよ・・。僕にとって今回の一番のポイントは、攻撃のテクニックとしては既知のものが、ソーシャルエンジニアリングの精度が向上することによって猛威を振るっていることです。
今まではメールの文面が不自然なため、見抜くポイントのようなものがありましたが、こういう内容であれば引っかかってしまうなと想像していたようなメールが飛び交っています。年末とか年度末とか、忙しい時ほど不注意になりがちだし、しかも業務への影響が大きい。本当に注意したいですね。
Emotetのもうひとつの特徴
見逃せないもう一つの特徴は「自己拡散」。Emotetは情報窃取ツールであると同時に、感染経路としての役割が大きい。だから、一意に「Emotetだったらこうなる」と言いにくいんですよね。他の複数ウィルスを呼び込んで拡散するので、呼び込むウィルスというか、ツールによって被害が変わる。情報窃取だったり、ランサムだったり、リモートコントロールだったり。パッと着弾しておきながら、フルスキャンした時にはもういない、とかね。「Emotetの感染経路をたどってローカルネットワークに入り、Active Directory管理者権限を奪取。より多くのPCへの感染力が高い状態でランサムウエアを展開」というのが最悪のシナリオだとの指摘もあります。
玉置でもその最悪のシナリオ、現実に起きてますよね。原因はアップデート不足だった。前回の対談でも話題になった「アップデート」ですよ。根深い・・・。もう本当いい加減にちゃんとやろうよ・・・って思いますね。
岡田ランサムに乗っ取られたらどうなるのか?って話で、その配下にある社員全員のパソコンで仕事が突然できなくなるんです。でね、犯人から「300万円払ったら元に戻してあげるけどどうします?」みたいなやつが。代表や役員あてに来たらどうします?インタビュアーのあなたが社長だったら。
・・・は、払うかも・・・。
岡田って、払うんかいな!
玉置(笑)
岡田ランサムはね、払っても戻らないかもしれないし、うまくいっても「脅しに屈する、払う企業」リストに載っちゃいますから、元に戻ったとしてもリスクが高まる一方ですよね。慎重な判断が必要です。
それにしても、感染の同時多発は、きついですよね。社員1人のパソコンじゃなく、全社員のパソコンがかかってると。どうしようもなくてお金を払って元に戻ったとしても、ところが感染経路が隠れていたりして。超気持ち悪いでしょ。
今後、もっと高度化しそうですよね。アップデートする仕組みがあるから、感染源を特定して駆除できない限りいつでも攻撃を仕掛けられる訳ですし。
岡田そうなんですよね。今、「うちにも攻撃が来たー」「うちの社員の名前使われた―」ってなって、被害の有無をどうやって調べるんだーとか言われますけど、感染だけして、動作していないケースもありそう。だから、「まぁアドレス情報取られたくらいみんなされてるし、適当に対処しとけばえっかー」と放置しないように!僕は本番はこれからなんじゃないかな?って思っています。
・・・それ、もっとこわいです・・・。
対応
さて、皆さんにEmotetが怖い!と思っていただきたいのがこの対談の目的ではありません。事前対応として、いますぐにでも確認していただきたいことを挙げます。
① 感染したかな?と思ったら:連絡先をいますぐに確認!
どこにせよ、あやしいメールそのものを添付して報告しないこと!これ、すごく大事ですので最初に申し上げておきます。また、「迷惑メール」フォルダを改めて掘り起こしたりしないでくださいね!
共有したければ、まずはスクリーンショットで十分です。
でも、マクロが動作したとか、警告がでた場合の、御社のセキュリティの窓口はどこですか?すぐに相談しましょう。スピードが肝心です。ただし、ただし、実際の被害がでているようなら、早めにプロフェッショナルサービスにご相談ください。
② 前提となる基盤:アップデートを忘れずに
Windows PCのアップデート、サーバーもアップデートです。古いタイプのマルウェアをEmotetが運んできて感染しているケースは、たいていアップデート不足に起因します。お手元のアンチウイルスなど、エンドポイントセキュリティ機能も、最新にアップデートしておくこと。アップデートはITの「前提」です。
③ 着弾の寸止め:Officeソフトのマクロ実行を止める
技術部門だとWordは止められるけれど、事務系はExcelのマクロ実行を止めると仕事にならない・・という人が多いでしょうね。でも警告させることで寸止めできるかもしれない。
④ 被害拡大防止:Windowsファイアウォールを有効にする
Windows の機能であるファイアウォールはどのPCでも有効にしておきましょう。感染拡大を防げます。
⑤ 盗まれる可能性を無視しない:パスワード変更、多要素認証への対応
感染で、誰かのPCから情報が盗まれた可能性がある場合、メールなど重要なIDのパスワードは変えたほうがいいでしょう。しかし、アクセス用に発行される一度限り有効なパスワードである、ワンタイムパスワード方式などを使うと、たとえ漏えいしたとしても悪用されにくくなります。あれ、めっちゃめんどくさいんですけど、今のところはやっぱりワンタイムパスワードを使っていかないといけない。AWS、Azure、Slack、Kintone、、、使っているサービスはいろいろあると思いますが、認証統合されていないものもあるかと思います。この機会に多要素認証化、整理してやりましょう。
⑥ 不正な添付ファイルを検知する仕組みを導入する
EDR、アンチウイルスもさることながら、Office365やGoogle Worksなどのクラウドベースのメールの仕組みでは、メールを調べて悪意のあるものを駆除できる仕組みが強靭です。レンタルサーバとかオンプレミスのメールサーバを使っているところは、この機会により安全なメールの構築を検討してはどうでしょうか。
サマリーありがとうございます。KDLでは、セキュリティ事業部のスペシャリストのドラフトを、KDL-SIRTからささっと注意喚起を配信したのはいい流れでした。経営会議でも、ブリーフィングとして永吉社長を含め皆にハンズオンでWordのマクロの無効化をレクチャーしたり、リアルタイムな脅威情報を共有したりと、セキュリティはトップアジェンダになっていますね。
岡田スピード感とか、手触り感のある対策の展開って大事ですね。今後も継続的に、リアルな対応をやっていきましょう。よろしくお願いします。
あとがき
広報の大野です。
皆様、お疲れ様でした!長編ブログを読んでいただいてありがとうございました。
第二回は別のトピックについての対談を予定しておりましたが、昨今の状況を鑑みて緊急対談と銘打ち、先にEmotetの脅威に迫りました。テレビやネットのニュースでもよく目にするEmotetですが、お読みいただいたとおり人間の心の隙を突いてくると言いますか、「日常の当たり前」を覆すような攻撃で非常に巧妙です。
届いたメールは誰からであろうと一旦疑ってみる、対応についてできるものはやってみる、など実際に取り入れていただけたら嬉しいです。
不定期更新の予定ですが、次回もお楽しみに!
追記:当社より注意喚起
【2022年3月追記】
2022年2月以降、国内でも規模を問わず、あらゆる企業や団体において攻撃メールによるマルウェア「Emotet」の被害が急増しています。
KDLのEmotetに関する見解と対策をこちらのブログ記事にまとめました。現在はびこっているEmotetは手口が巧妙化しており、不審メールかどうかの判別が非常に困難なため、従来の対策をアップデートする必要があります。ぜひご一読ください。
◎他人事ではありません「マルウェアEmotetの感染再拡大の脅威」
【2019年12月追記】
2019年12月27日に注意喚起としてお客様へお知らせを掲載しました。
◎[ご注意ください] 新たなメールからの脅威「Emotet」につきまして (注意喚起)
執筆:大野 陽子
広報室
KDLの標的型攻撃メール訓練サービス
実戦練習で社員の意識改革を!標的型攻撃から企業を守る「Selphish」
