マルウェア Emotet 再流行、効果的な対策とは

プロジェクトオーガナイザの吉田聖書よしだみふみです。

最近Emotetというマルウェアが再び流行しているようです。今回は、Emotetに限らずメールを媒介するマルウェアの対策について考えたいと思います。

去る2月9日に、クラシエホールディングス株式会社が公式サイトで「弊社グループを装った不審メールに関するお詫び」というお知らせを掲載しました。この記事の執筆タイミングによりクラシエを取り上げていますが、年末くらいからこの手のお知らせをよく見かけるようになりました。実は、これは「社内のPCが Emotet というマルウェアに感染したので、社員を名乗るなりすましのメールが飛んできたら開かないでね」というお詫びと注意喚起です。

【重要】弊社グループを装った不審メールに関するお詫び(2022/2/9 クラシエホールディングス株式会社)

Emotetはメールを媒介しますが、メールそのものがEmotetなのではありません。メールはEmotetをダウンロードさせる入り口に過ぎないのですが、本文に記載されているURLをクリックしたり、添付されているファイル(マクロが組み込まれているMicrosoft Officeのファイル)を開くことでインストールされてしまうということです。

この手のメールを媒介とするマルウェアに対する注意喚起として「不審なメールのURLや添付ファイルを開かないように注意してください」という文言をよく見かけると思いますが、個人の注意に頼る対策というのは限界があります。限界があるというか、うっかり開いてしまっても問題が生じないようにするのが本当の対策です。

不審なメールの特徴として、攻撃する人が「なりすまし」をして勝手に他人のアドレスを名乗っているという点があります。これはSPF認証の仕組みを使えば簡単に見抜くことができます。ただSPFには副作用もあるのでこれで完璧という訳ではありません。

私はかねてから、メールでもっと電子署名を活用すべきだと考えてきました。そう考えるようになったのはメール内容の改竄を検知して、メールの証拠書類としての地位を高めたいと思ったのがきっかけです。電子署名によって送信者のアドレスがその人の所属組織によってオーソライズされたものであることを示すことができれば、SPFよりも高精度でなりすましメールを排除することが期待できます。ちょうど、SNSでアカウントにバッジが表示されるようなイメージです。

ただ、電子署名を利用するにも、証明書の取得にコストがかかる上に、メールを送受信する相手と鍵を交換しないといけないため、これもSPFと同様に自分たちだけ対策して済む問題ではないというのが現実です。(ただこれも、組織の場合は組織が従業員に証明書を発行して組織で認証すれば良いですし、個人の場合はJPKI、公的個人認証サービスというのがあるので、これをうまく活用できないかなとも思っています。)やるとしたら横並びでやらないと効果が薄いので、少なくとも国内だけでも電子署名を義務化したらどうでしょう。


※ この記事は、先日公開した以下の音声コンテンツを基に編集したものです。


そういう大規模な取組みをいつまでも待っていられないので、当座、個人でできる取組みとしては、メールクライアントの設定でHTMLメールを無効化することです。HTMLメールはリンク先のURLを隠すことができるので、無効化することで本当のURLを最初から明らかにすることができます。ただ、スマートフォンのメールアプリやWebメールの場合はHTMLメールを無効化できないかもしれません。(某大手のWebメールもHTMLメールを無効化できないのでセキュリティ面では弱いです。そういうWebメールの仕様も控えた方が良いと個人的には思います。)

添付ファイルに対する対策としては、Microsoft Office製品をインストールしないというのが良いのでしょうが、それでは仕事にならないというケースが多いと思いますので、せめてOffice製品のセキュリティ設定で、マクロの実行を無効化しておきます。

リンクのクリックに対する対策としては、URLフィルタリングが一般的かと思いますが、これはホワイトリスト方式にせよ、ブラックリスト方式にせよリストのメンテナンスをしなければいけないので覚悟が必要です。もちろんきちんと運用している組織もあります。

それが難しければ、セキュリティに対応したパブリックDNSサーバを利用するという手もあります。悪意のあるサイトのURLをクリックしてしまっても、名前解決ができなければブラウザでアクセスできません。イタチごっこなので、完全に防げるとは言い切れませんが、何もしないよりは良いのではないでしょうか。こういう対策は本来は通信事業者にやっていただきたいところではありますが。

メールのセキュリティに関するエピソードがあったのですが、続きはまた今度書こうと思います。



関連記事

プロマネの右腕

クロスイデアでは、新サービス・新ビジネスの 立上げや計画を中心に
プロジェクトマネジメントの支援を行っています。

新サービスの企画を任されたけど どう進めていいか悩んでいる担当者、
部下に新しい企画を任せたけど このままで大丈夫か不安な管理職の方、
以下のサイトをご参照ください。
https://www.crossidea.co.jp/services/right-hand-pmo.html

YouTubeにて動画配信中!

プロジェクトマネジメントのノウハウを
YouTubeで配信しています。
ブログと併せてご活用ください。

Comments are closed.