なりすましメールにご注意!!
2022-02-10
攻撃活動を再開した「Emotet(エモテット)」
情報処理推進機構(IPA)は2021年11月、マルウェア「Emotet」の攻撃活動再開の兆候が確認されたという情報があることを明らかにしました。
今後攻撃メールの大規模なばらまきに発展する可能性もあるとして注意を呼び掛けている状況です。
その「Emotet」はどのように攻撃してくるのか?その手口や対策についてご紹介します。
「Emotet」とは?
まず「Emotet」とは、メールを介してウイルスへの感染を狙うマルウェア(悪意のあるソフトウェア)のことを指します。
メールの添付ファイルを開いたり、本文中のリンクをクリックすることで悪意のあるプログラムがインストールされ、パソコンが感染。
さらに感染したパソコンからメールアドレスや社内ネットワークのログイン情報などを盗み出し、さらに感染をひろげようとします。
同時に「TrickBot」や「Ryuk」と呼ばれるほかのマルウェアの感染も引き起こすため、サイバー犯罪の温床にもなっている状況です。
「Emotet」の手口
このような「Emotet」への感染は以下の3通りが確認されています。
①「Emotet」自体が配信するメールによって感染するケース
②自組織内の他の感染PCから横展開(ラテラルムーヴメント)で感染するケース
③「Trickbot」と呼ばれる別のマルウェアから二次感染するケース
これらのうち①のメールによって感染するケースでは、窃取されたメールの内容が悪用されて返信形式で届くことがあり、ユーザーが開封しやすく特に注意が必要です。
「Emotet」の感染を目的としたメールは、過去の経緯を踏まえると以下の4パターン。
①メール本文にURLリンクが記載されているもの(※上記画像A)
②メールにURLリンク付きPDFファイルが添付されているもの(※上記画像B)
③メールにマクロ付きWordまたはExcelファイルが添付されているもの(※上記画像C)
④メールに暗号化ZIPファイルが添付されているもの(※上記画像D)
最近では①、③、④の3パターンが観測されている状況です。
PDFファイルを使用した②のパターンについては確認されていませんが、従来の「Emotet」が利用していた手口であり、今後悪用される可能性があるため注意しておく必要があります。
いずれのケースでも以下のような流れで感染にいたります。
不正なマクロ付き文書ファイルをユーザーが開く
↓
「コンテンツの有効化」をクリックすることでマクロが実行される
↓
「Emotet」をダウンロード後に感染
このように意図せずダウンロードされた「Emotet」によって感染してしまいます。
その後ユーザーが気づかないうちにメールや添付ファイル、メールアドレス、Webブラウザやメーラーに保存されたパスワードなどの情報が窃取されます。
さらに「Emotet」への感染を引き起こすメールを他の組織や個人に送信することも。
また、自組織内のネットワークの他のPCへ感染を広げる機能も存在するため、自組織の多数のPCが「Emotet」に感染する可能性もあります。
これらの動作は「Emotet」が追加機能(モジュール)をダウンロードした場合に起こるものであるため、被害は環境や状況に応じて異なります。
その他「Emotet」の感染後にランサムウェアやバンキングマルウェアなどの他のマルウェアに追加で感染する過去事例も。
「Emotet」への対策
このような「Emotet」を始めとするマルウェアからの被害にあわないために、私たちは何をすればいいのでしょうか?
代表的な対策方法についてご紹介します。
①MicrosoftOfficeのマクロ設定の点検
話題の「Emotet」の場合、メールにMS Wordのファイルが添付されており、ファイル内に「マクロ」(=悪さを自動実行するプログラム)が仕組まれている、というケースが多くあります。
マクロの自動実行を防ぐためにOfficeのトラストセンターのマクロ設定が「警告を表示してすべてのマクロを無効にする」になっているか確認しましょう。
もしファイルを開いた際に「マクロが無効」という表示がでるということは、このファイルには何らかのプログラムが仕込まれているということです。
よほど信頼できるものでない限り「コンテンツの有効化」ボタンを押してはいけません。
すぐにファイルを閉じて、相手方に問い合わせをしましょう。
②暗号化されたZIPファイルに警戒を!
最近の「Emotet」の新たな手口として、パスワード付きZIPファイルがメールに添付されている事例が報告されています。
ZIPを展開するためのパスワードはメール本文に書かれているのですが、この暗号化されたZIPファイルの場合、ウイルス対策ソフトによっては悪意のあるファイルとして検知されない場合もあるようです。
③G-Suiteやサイボウズなどのグループウェアに移行する
ウェブメール自体にウイルススキャンが実装されているサービスや、メーラーを介さないWebメールを搭載しているグループウェアに移行するのも一つの方法です。
標的となっているのはメーラーや自前のメールサーバーになりますので、Webメールを使用することで仮に感染した場合にもメールの情報やメールサーバーのデータが収集されてばらまかれるリスクは少なくなります。
弊社で提供可能なセキュリティソリューション
上記の対策を徹底することで感染のリスクを減らすことができるのは明らかにですが、それだけでは万全とはいえないのも事実。
少しでも感染のリスクを減らすために、よりセキュリティを強固にすることができるソリューションをご紹介します。
EPP(Endpoint Protection Platform)/EDR(Endpoint Detection and Response)
■トレンドマイクロ ウイルスバスタービジネスセキュリティサービス
■WatchGuard ウイルス対策ソリューション EPDR など
EPPはエンドポイントで侵入を防ぐソリューション。
「Protection=保護、防護」に重きを置いているのに対して、EDRは「Detection=検出、探知」と「Response=応答、対応」を重視しています。
近年のマルウェアは手口が高度化、複雑化の一途をたどっており、完全に防ぐことが難しくなってきています。
そこで最近は侵入を防ぐことはもちろんですが、侵入されても情報を外に漏らさないことに重きを置いたEDRソリューションを各社展開しております。
統合脅威管理 UTM(Unified Threat Management)
■CheckPoint 1500 Appliance
■WatchGuard Firebox T40
■CISCO Meraki MXseriesなど
ネットワークのゲートウェイに設置して監視するソリューション。
エンドポイントを保護するのではなく、インターネットの出入り口でネットワーク自体を監視、不正なデータのダウンロードや悪意のあるサイトへの誘導を監視し遮断する機能を持っています。
最近ではサンドボックス機能を搭載している機種もあり、仮想環境で怪しいファイルを実行、その振る舞いを元に悪意のあるソフトウェアか否かを判断します。
以上のようなソリューションを導入することで感染のリスクを少しでも減らすことができます。
セキュリティ対策にお悩みがございましたら、ぜひ弊社担当者までご連絡ください。
応研大臣シリーズ、WindowsUpdate後の文字入力時の不具合について
2021-12-27
Windows10/11の「2021年11月」または「2021年12月」の定例アップデートを適用した環境でMicrosoftIMEを利用している場合、大臣NXシリーズの文字入力中にカーソル位置が勝手に移動してしまう現象が確認されています。
現在のところ回避方法が見つかっておらず、調査中でございます。
ご不便をおかけして申し訳ございませんが、カーソル位置を適宜移動させて文字入力することでご対応頂きますよう、お願い申し上げます。
詳細につきましては下記応研公式ホームページにてご確認ください。
■応研ホームページ
年末年始の休暇のお知らせ
2020-12-25
平素は格別のご愛顧を賜り、厚くお礼申し上げます。
誠に勝手ながら、下記期間を年末年始休業期間とさせていただきます。
【年末年始休業期間】
■2021年12月29日(水)~2021年1月3日(月)
新年は1月4日(火)より営業開始となります。
来年も更なる発展、飛躍に向けて、より一層のご支援を賜りますよう、従業員一同心よりお願い申し上げます。
県内でも被害事例!ランサムウェアに注意!
2021-11-19
数年前より世界中で猛威をふるうランサムウェア。
徳島県内でもランサムウェアによる被害事例が後を絶たず、中には事業の存続に影響を与えるほどの大規模なものも。
今回は、そんなランサムウェアから自社のデータを守る、代表的な7つの方法をご紹介します。
※ランサムウェアとは…
「Ransom(身代金)」と「Software(ソフトウェア)」を組み合わせた造語で、ユーザーの同意なくコンピューターに違法にインストールされるマルウェア(悪意のあるソフトウェア)の一種です。
感染するとコンピューターに保存されているデータを暗号化し使用できない「人質」状態にされたうえ、そのデータを復元する対価として「身代金」を要求されます。
「身代金」を支払っても復元される確証はなく、さらにデータを搾取したうえで、「当該データを公開する」などと金銭を要求する二重恐喝という手口も。
対策方法
■エンドポイントセキュリティの導入
ウイルスバスターなどのアンチウイルスソフトをパソコンやサーバ、スマートフォンなどの端末機器にインストールして感染に備えます。
【弊社取扱製品例】
・ウイルスバスタークラウド(トレンドマイクロ)
■ゲートウェイセキュリティの導入
ネットワークの出口にセキュリティ機器を設置し、通信そのものを監視することができます。
【弊社取扱製品例】
・CheckPoint(CheckPoint)
・FortiGate(Fortinet)
■IT資産管理ソフトの導入
リスクの発見とIT運用管理を支援するクライアント運用管理ソフトウェア。
不正アプリや認証されていないフラッシュメモリや外部ストレージなどを検出し使用を停止させるなど、社内デバイスの管理を行うことができます。
【弊社取扱製品例】
・LanScopeCat(エムオーテックス)
・SKYSEA Client View(Sky)
■バックアップの実施
万が一感染してしまっても感染前の状態に復元できるように定期的なバックアップの実施をしましょう。
感染した場合に備えて、閉鎖された環境へのバックアップが可能なソフトウェアを推奨します。
【弊社取扱製品例】
・Acronis True Image(Acronis)
・Air Back(アップデータ)
■セキュリティアップデートの実施
現在導入しているセキュリティ関連ソフトやWindowsUpdateなどのOSのアップデートを定期的に実施しましょう。
例えばFortiGate製品ではVPNの認証情報87,000台が流出し、現在も該当機器のVPNが各国から狙われている状況です。
現在はファームウェアの更新と認証情報の再設定がメーカーから案内が出ている状況ですが、日本では対応している箇所が限定的ということでさらに狙われる事態に陥っています。
■電子メールへの警戒
大手企業や宅配業者などを装って受信者にとって重要と思わせる内容のメールを送り、添付ファイルを開かせたりリンク先のWebサイトへアクセスさせることでマルウェアに感染させる手口も確認されています。
不用意に添付ファイルを開封したり、Webサイトへのリンクを開かないように注意しましょう。
■パスワードの管理
パソコンやソフトウェアなどにログインするためのパスワードの脆弱性を狙ってネットワークに侵入し、ランサムウェアに感染させる事例も確認されています。
パスワードは英数字(大文字、小文字)、記号などを組み合わせ、推測されにくい複雑な設定にしましょう。
また、2段階認証を有効にする、IPアドレスによるアクセス制限と組み合わせる、などといった対策でさらに強固にする対策もおすすめです。
第8回 金剛お役立ちセミナーご来場御礼とアーカイブ配信
2021-11-15
2021年11月12日に開催された弊社主催の「第8回 金剛お役立ちセミナー」へご参加いただき、ありがとうございました。
定員20名に対し30名を超える方からのお申し込みをいただき、コロナ感染対策も含めて2会場に分散しての開催となりました。
2022年より大幅に改正される予定の「電子帳簿保存法」、また2023年から導入される予定の「インボイス制度」についてのセミナー。
ご参加いただいた方のご意見として
「今まで制度の名前だけは聞いたことがあった程度だったが、先生の話が分かりやすくよく理解できた。」
というご意見を頂いた一方、
「制度の概要については何となく分かったけど、自社に落とし込んでどうすればいいかはまだ具体的にはイメージできない…」
というお声も。
各社制度に対応できるようにするのは簡単ではない部分もあると思いますが、弊社としては今後もみなさまにとって有益な情報提供できるよう、引き続き努めてまいります!!
また、当日のセミナーをアーカイブ配信しておりますのでぜひご覧ください。