2020年は、「Emotet」(エモテット)と「IcedID」(アイスド アイディー)と呼ばれるマルウェアへの感染を狙う攻撃メールが日本国内で確認され、数多くの企業が被害を受けました。 EmotetとIcedIDの特徴と感染プロセスから、どのような対策が取り得るかについてまとめております。
EmotetとIcedIDの特徴
EmotetとIcedIDは、いずれもメールに添付されたファイルから感染します。
攻撃者は以下のような、なりすましメールを送信します。
メールの特徴
- 送信元アドレスが、受信者が連絡したことのある相手のメールアドレス
- 件名は、過去に取引先に送信したメールの返信を装っている
- 添付ファイルは、マクロ付きのMS Word、またはパスワード付きZipファイル(中にマクロ付きのMS Wordが圧縮されている)があり、Wordファイルを開き「コンテンツの有効化」ボタンをクリックすると、マルウェアに感染する(図2参照)
- 本文は、1行から3行程度で、件名と関係のない不自然な文章の場合がある、受信者の過去のメールが引用されている
図2:添付ファイルを開いた時の画面の例
(IPA記事引用 : https://www.ipa.go.jp/security/announce/20191202.html)
EmotetとIcedIDの攻撃プロセス
EmotetとIcedIDの感染源であるメールはとても類似しているものの、感染してからのプロセスは少し異なります。
Emotetの場合
このように、Emotetは感染したPCを踏み台にすることで、他のPCへ感染を拡大します。
IcedIDの場合
IcedIDは、タスクを作成し、システムの再起動を待ってから悪意あるプロセスを実行することで、ウイルス対策ソフトの検出を回避します。
取るべき対策
日々進化を続けるEmotet、IcedIDから企業の情報資産を守るために、以下3つの対策が有効となります。
対策1:不審なメールに添付されたファイルを開かない、本文に記載されたURLをクリックしない、メールの電子署名で送信元を確認する
受信したメールに、少しでも不自然に感じることがあれば、組織のセキュリティチームにご相談ください。
また、不審なメールは、身元をなりすまして送信された可能性がありますが、電子署名付きメール(S/MIME)であれば、受信者は送信元が本物か偽物かを見分けることができます。
対策2:マルウェア対策ソフトのスキャンを定期的に実行する
悪意あるファイルを迅速に検出できるよう、定期的にファイルを最新の状態にしておくことが大切です。
対策3:マクロの設定を、承認され、電子署名されたマクロのみ有効にする設定に変更する
Windows OfficeのマクロやVBAのコードに対応した、コードサイニング証明書にて電子署名することが有効な対策となります。署名無しのマクロを組み込んだファイルを開こうとした場合、デフォルトの設定により署名のないマクロは実行することができません。
マクロやVBAに対し署名をすることで、セキュリティレベルを下げることなくマクロを実行することができます。
EmotetやIcedIDだけでなく、マルウェアは日々進化し、既存のセキュリティソフトによる検知が難しくなっています。マルウェアは一度感染してしまうと、多くの顧客や取引先への感染が拡大し、ビジネスに大きな損害を与えます。 マルウェアから身を守るために、メールへの電子署名や暗号化、重要なシステムへのアクセス認証強化など、組織の情報セキュリティ対策が必要になります。
関連リンク