セキュリティインシデントの傾向を知り、対策に活かすには?

2020年下半期(7月~12月)に独立行政法人情報処理推進機構(IPA)に届出のあった、コンピュータウイルス及び不正アクセスの事例について、IPAは次の様に分析しています。

以下、コンピュータウイルス・不正アクセスの届出事例[2020年下半期(7月~12月)]より抜粋

「今期に届出のあった被害について全体を通して見ると、これまでと同様に一般的によく知られたセキュリティ施策を実施していれば、被害を防げたと思われるものが大半を占めた。一方、主にデータを暗号化して復旧のための身代金を要求された被害の届出において、詳細に調査を行っても侵入の経路等、不正アクセスの手口が解明できなかったものがあった。また、様々な攻撃手法を駆使して、組織内のネットワークや組織が利用するクラウドサービス等へ侵害範囲を広げ、組織に甚大な被害をもたらしたもの等、高度な技術を持った攻撃者による、巧妙な侵入や被害拡大の手口が使われたものと思われる事例も見受けられた。」

事例の多くが一般的な対策により被害を防ぐことができたとの実態から、この機会に自社の状況を再点検し、対策がなされていない場合には、この記事が対策導入に関する検討材料の一つとなれば幸いです。

最も多かったウイルス感染の被害状況について

調査期間内で最も多くの被害件数が報告されていたのは、普段利用しているパソコンがウイルス感染の被害にあったという事例であり、そのほとんどが「Emotet」の検知や感染、または「Emotet」への感染を狙ったメールの着信だったとのことです。他には「IcedID」と呼ばれるウイルスの検知や感染の事例も複数報告されているそうです。

(1)EMOTET

Emotetは、情報の窃取に加え、更に他のウイルスへの感染のために悪用されるウイルスです。悪意のある者によって、不正なメール(攻撃メール)に添付される等して、感染の拡大を試みます。Emotetへの感染を狙う攻撃メールは、攻撃対象者(攻撃メールの受信者)が過去にメールのやり取りをしたことのある、実在する相手の氏名、メールアドレス、メールの内容等の一部が流用され、あたかもその相手からの返信メールであるかの様に装います。このようなメールは、Emotetに感染してしまった組織から窃取された、正規のメール文面やメールアドレス等の情報が使われていると考えられます。すなわち、Emotetへの感染被害による情報窃取が、他者に対する新たな攻撃を生み出す悪循環が発生している恐れがあります。

(2)IcedID

IcedIDは2017年9月に最初に発見されたとされるバンキングトロイ(インターネットバンキングの情報窃取を行うウイルス)であり、2020年10月頃から、このIcedIDへの感染を狙ったとみられる攻撃メールがばらまかれていたことが確認されています。これらの攻撃メールはEmotetの攻撃メールと類似しており、メールの返信を装った日本語のメールで、マクロが含まれたWord文書ファイルがパスワード付きZIPファイルとして添付されていた事例もあります。このケースではWord文書ファイルを開いてマクロを有効にすると、IcedIDがダウンロードされ、パソコンに感染してしまいます。

感染ルートの傾向から対策を考える

「EMOTET」や「IcedID」はターゲットを特定の組織やユーザー層に絞って行うサイバー攻撃である「標的型攻撃」に分類されます。前述のとおりその手口は巧妙で、正規のメールを装い、怪しむことなく添付ファイルを開封してしまうことは十分あり得ることです。

まず、侵入経路となるメールとその添付ファイルについて正当性を判断し、不審なものは開かないようにする心がけが必要です。特にパスワード付き圧縮ファイルはセキュリティ製品の検知を回避する手段ともなるため、注意が必要です。

ただし「返信型」のような巧妙な騙しの手口もあるため、メールだけでは不審に気づけない場合もあると思われます。もし、正規のメールと誤解して添付ファイルを解凍し、開いてしまった場合でも、Officeのマクロ機能が有効化されなければ不正活動は開始されません。「マクロ無効化」のセキュリティ警告表示があった場合にはいったん立ち止まり、「コンテンツの有効化」ボタンはクリックしない様にします。一旦ファイルを閉じてから、メールとファイルの正当性を再確認することで、ウイルス感染の被害を防ぐことが可能です。

標的型攻撃メールと注意する時の着眼点を幾つかご紹介します。

  • メール本文に日本語では使用されない漢字(繁体字、簡体字)が使われている
  • 差出人のメールアドレスとメール本文の署名に記載されたメールアドレスが異なる
  • 添付ファイルの拡張子が偽装されている
    例)ファイル拡張子の前に大量の空白文字が挿入されている
  • 添付ファイルのアイコンが偽装されている
    例)実行形式ファイルなのに文書ファイルやフォルダのアイコンとなっている

攻撃メールは、組織の複数のメールアドレスに届くことがほとんどです。そのため、攻撃メールを発見した場合は、発見者が自分に届いたメールだけを削除するだけでは対応として不十分です。例えば、同じ標的型攻撃メールが5人に届いたとして、4人が気づき、1人が気づかずにウイルスに感染してしまった場合、組織としては被害が発生してしまいますので、一人ひとりが注意すると共に、組織内で情報共有することが重要となります。