大流行のなりすましメール。どう対策すればいい?Q&A
2022-05-31
なりすましメールってどんなメール?
なりすましメールとは、実在する取引先や大手企業を名乗って送られてくる危険なメールのこと。
添付ファイルを開くとエモテット(Emotet)などのマルウェアに感染する恐れがあります。
昔からある危険なメールといえば、いかにもあやしい英語やカタコトの本文や件名でありましたが、昨今のなりすましメールは巧妙な文章であることも多く、ついつい開いてしまいがちです。
実際に受信したなりすましメール。実在する人物になりすまし、本文も違和感なく巧妙に作られている。
エモテットって何?
エモテットに感染すると、保存された業務データやメールアカウント、パスワード、またブラウザに保存されたIDやパスワードなどの個人情報が窃取されてしまいます。
その情報をもとに、ネットワーク(LAN)を通じて感染が拡大。
さらにメールのやり取りやアドレス帳の情報も窃取され、それをもとに窃取された人になりすましてメールを拡散します。
…とネズミ講のような仕組みで急速にエモテットは広がっているわけです。
エモテットの恐ろしさって?
上記のようにエモテットはアドレス帳など個人情報を窃取し広げ続ける…という悪さをするのですが、実はエモテット自体はマルウェアと認識されないことがほとんど。
しかし逆にこれがエモテットの本当の恐ろしさで、マルウェアと認識されないがゆえに感染しても気づきにくいのです。
その特徴を活かしてエモテット感染端末をどんどん増やし、次にランサムウェアなどのより危険なマルウェアへの感染を呼び込む、という手口です。
ウイルス対策ソフト入ってれば大丈夫?
一般的なウイルス対策ソフト(EPP)はそのソフトに既に登録されているマルウェアから防御、また除去することは可能ですが、新種など未知のマルウェアを防ぐことは難しいです。
エモテットも
- 不正なコードを含まない=ウイルスと定義されない
- シグネチャ(ウイルス定義データベースに登録された項目)が多様に変化し続けている
などの理由により、ウイルス対策ソフトでは検知されないことが多いのです。
UTMなら守ってくれる?
UTM(=統合脅威管理)を導入していても、基本的にはエモテットのように未知のマルウェア、またマルウェアとみなされない脅威に対して完全に遮断することは難しいです。
しかし、UTMを導入することで各端末の「なりすましサイトなど危険なサイトの閲覧を規制」「ファイル交換ソフトなど、リスクのあるアプリを規制」といった設定が可能になります。
このようなUTMの機能によりネットワーク全体を管理し、マルウェアの侵入を防ぐという点では大変有効。
パソコンなどの端末を守るEPPと合わせて、ネットワークの出入口を統合的に防御できるUTMがあることで、セキュリティはより強化されるでしょう。
じゃあEPPとUTM両方導入すれば完璧?
UTMでネットワーク全体を、EPPでパソコンなど端末を。トータル的に守ることで感染のリスクを減らすことができるという点では大変有効でありますが、完璧ではありません。
上記の通り、エモテットなどのようにマルウェアとみなされない、また新種のマルウェアなどはEPP、UTMともにスルーしてしまうこともあります。
じゃあ一体どうすればいいの???
エモテットに限らず、新種のマルウェアは今後もどんどん誕生してくるでしょう。
それらに対し既存のEPPやUTMだけでは100%防止することは不可能!という認識を持つべき。
その上で重要なのは、感染に「いかに早く気付くか?」そしてその後に「いかに適切に対応するか?」ということでしょう。
それを実現できるのは「WatchGuard EPDR」というサービス。
マルウェアの感染から各端末を守ってくれるだけでなく、侵入された後にもすばやく、適切に処置できる以下のような機能を持ちます。
- 各端末の全ての挙動を監視し、管理画面でログの確認が可能
- 不正な挙動を検知すると自動で適切に処置
- 担当者宛にアラートを送付
マルウェアなどの感染リスクは年々高まる傾向で、徳島県内でも感染事例は後を絶ちません。
「自分の会社は大丈夫!」ではなく、「感染するかもしれない…」という危機感を持ち、さらには「感染後の対策」までに重点を置いたセキュリティ対策を検討してみてはいかがでしょうか。
