サービスに関する
お問い合わせ

緊急対応 専用窓口

セキュリティの緊急事態が発生したらご遠慮なくお問い合わせください。ご相談は無料です。

セキュリティの
学び場

SHIFT SECURITY セキュリティの学び場 ニュース解説 4段階防御もすり抜けるパスワードZIPファイルの実体

4段階防御もすり抜けるパスワードZIPファイルの実体

4段階防御もすり抜けるパスワードZIPファイルの実体
目次
  • 今回の解説ニュース
  • 多層のセキュリティチェックもすり抜けるパスワード付きZIPファイル
  • マルウェア感染したことは本人も周囲も気付かない?

こちらの記事は、セキュリティ専門家の松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」の放送内容を文字に起こしご紹介しています。

今回の解説ニュース

4段階防御をすり抜けEmotet感染、再発防止策としてPPAP廃止も

ソフトウェアの販売等を行う株式会社アシストは3月29日、同社従業員の使用するパソコンがEmotetに感染したと発表した。(記事はこちら)

【お届けするニュースはサイバーセキュリティ専門ニュースサイト「ScanNetSecurity」の提供でお送りしています。】

複数のセキュリティ対策をしていたにもかかわらず、Emotetに感染したことが発表されています。セキュリティ対策をしていてもEmotetに感染してしまう原因と、感染後に被害を広げないための対策について説明します。

今回のインシデントは、従業員の使用するパソコン1台がEmotetに感染し、メール情報が窃取されました。調査会社によるログならびに端末に対する詳細調査により、当該端末に保存されていたメールアドレス、メール件名、メール署名の情報の流出を確認しています。また、顧客及び関係者からの情報提供で、メール本文についても流出したと判断しています。

対策として、感染が疑われるパソコンを特定し、ネットワークから遮断し、当該端末のフォレンジック調査を開始しています。再発防止策として、より強固なセキュリティ対策が見込まれるWebメールへの移行、クラウドストレージへ移行しPPAP運用を廃止、従業員への情報セキュリティ教育を強化し、不審メールの見分け方などの周知徹底を行うということです。

多層のセキュリティチェックもすり抜けるパスワード付きZIPファイル

Emotetは多層防御をすり抜けて、感染を広げています。原因として、パスワード付きZIPでセキュリティチェックがかけられていない現状が考えられます。

セキュリティの多層防御とは、情報資産を守るために複数の方法やレイヤーで行うセキュリティ対策です。ファイアウォールとIPS、ゲートウェイとエンドポイントなど、複数の方法やレイヤーで対策することで、ひとつのセキュリティを突破されても別の仕組みで防御を試みます。ただし、多層防御もマルウェア自体をセキュリティチェックにかけられることを前提としていることがほとんどです。セキュリティチェックの方法は様々ありますが、プログラムが動く状態か、動いている状態でないと、マルウェアであるかの判断をすることができません。その状態を阻んでいるのがパスワード付きZIPです。

パスワード付きZIPで圧縮されたファイルは暗号化されています。暗号化された状態のファイルは読み取ることも、実行することもできません。つまり、マルウェアであるかどうかの判断ができないことになります。今回のインシデントでも、EPPで検知できたのは感染から5分後ということで、実際に人の手でパスワード付きZIPが展開された後に実行されて初めて、Emotetであることが検知されたことになります。

対策として、パスワード付きZIPはマルウェアである可能性を想定して拒否することが考えられます。いわゆる、PPAP廃止の動きが社会全体で発生している背景でもあります。

マルウェア感染したことは本人も周囲も気付かない?

Emotetに限らず、マルウェアに感染したことへ被害者が気が付くには、周囲の指摘が必要になる場合があります。また、本人が感染に気が付いていても、組織がすぐに報告を受けられる体制が必要です。

Emotetの特性上、被害者本人が感染に気付きにくい
今回のインシデントでも、従業員を装った不審メールの発信を確認したとあります。現時点のEmotetはランサムウェアと違い、感染自体を被害者に知らせるものではなく、感染したユーザの情報を利用して、自身の感染を広げていきます。よって、Emotetのメールを受信した別のユーザや組織からの指摘で、感染に気が付くことも多いようです。
感染をしたらすぐ報告が受けられる体制づくりを
また、ユーザが自身のマルウェア感染に気が付いていても、インシデント対応フローが整備されていないと、どこに連絡していいかわからないかもしれません。また、マルウェアに感染したり、感染した恐れがあると判明してから何時間以内に報告するなど、組織にセキュリティポリシーが定められていないと、対応が後手になる可能性があります。その結果、被害がさらに拡大することが考えられます。

今回は、セキュリティ対策をしていてもEmotetに感染してしまう原因と、感染後に被害を広げないための対策についてお届けしました。日々進化するEmotetの感染を完全に防ぐことは難しいと考えられますので、感染しても被害を広げないために、インシデント対応フローなどの整備をしっかり行いましょう。

Voicyでニュース解説ラジオ配信中!

今日の10分セキュリティラジオにて毎週月・水・金にセキュリティの最新ニュースを取り上げ解説を行っています。隙間の時間の情報収集にぜひお役立てください!

この記事の著者 セキュラジチーム

話題になっているセキュリティニュースやセキュリティに関する疑問を専門家の解説と個性豊かなパーソナリティたちがお送りしています。1日10分で、気軽にセキュリティの知識を深めることができます。放送は月曜・水曜・金曜の朝7時15分。

\ 記事をシェアする /

サービスに関する
お問い合わせ