ID非公開

2022/5/19 15:21

44回答

弊社スタッフがEmotetに感染しました。

ベストアンサー

1

1人がナイス!しています

Emotetは、パスワード付ZIPを多用します。 パスワード付きzipメールの受信拒否は、Emotetに対し、一定の効果があります。 エンドポイントセキュリティで検出できない、できたてのウイルスが添付されていてもブロックしてくれるからです。

その他の回答(3件)

0

今回のケースの原因まで特定するのは無理ですね。仮にセキュリティシステムの開発者に説明されてもあなたが理解できないでしょう。一般論の説明でぼんやり納得するしかないです。 うちの会社では不定期でemotetに似せたメールが社内から送られてきます、訓練としてです。 言葉で「怪しいメールを開かないように」と注意喚起しても、パッと見怪しくないからクリックするんです、あれは。

1

説明は、感染した原因の検体を渡して、担当営業ではなく技術的に求めてもいいと思います。 やはり、emotetも既存製品の挙動から逃れるための対策はしているようで、難読化したり、Windows標準機能を使ったりしています。ウイルス対策ソフト・セキュリティ製品は100%検知は無理です、特に今年に入ってからは、国内でシェアの高い製品の対応が遅れ気味な気がするので、国内での被害が多いと感じます。 対策は emotetが流行っていることを察知して注意喚起する。今年に入ってからは、何度かニュースになっています。 すでに回答のあるとおり、PowerShellやWscriptを一般利用者が使う例は少ないので、停めるのも一案だと思います。 ほかには、メール添付のマクロ付きファイルやlnkファイルはブロックする。

1人がナイス!しています

1

▼Emotet感染企業一覧 https://cybersecurity-info.com/column/who-hacked-by-emotet/ 中には、ライオン・積水ハウス・クラシエといった名の通った企業もいくつか見られますが、Emotetはセキュリティで最も脆弱な「人間」をターゲットとするマルウェアですので、社員教育が徹底されていなければ、何を導入していようが感染する時は感染するって事ですね。 いやだって、「勝手に実行される」のではなく「人間自身が」悪意のあるコードの実行を自ら許可するのですから。 Emotetの基本的な動作原理は、Office系のファイルを開く → マクロ実行 → WMI → PowerShell…で、最終的に悪意のあるコードを実行するのはPowerShellによってダウンロード&実行されるプログラムです。 ただし亜種も色々とあり、今流行っている亜種で被害事例が多いのは、おそらくはOffice系のファイルからマクロを実行するタイプではなく、以下のような「.lnk」ファイルを利用したものだと思います。 https://forest.watch.impress.co.jp/docs/news/1406053.html よって、従業員が「何をしたのか?(どういった操作を行い何を許可したか)」をヒアリングする必要があります。 ひょっとしたら、何かしらの警告(実行確認)は出ていたのかもしれないのに、それも従業員が許可してしまったのかもしれませんし、従業員の操作により、セキュリティ製品の動作を止めるような処理が実行されたのかもしれません。 あるいは、単に新しいタイプの振る舞いを検知できなかっただけかもしれませんし、セキュリティ製品の動作レベル設定が不適切だったのかもしれません。 なお、私がお世話している会社で、Emotet感染を広げるメールを開きマクロを実行してしまった従業員の例が2020年に2件ありましたが、両方ともESETというアンチウイルスアプリが、マクロ実行動作を検知し実行を止めたようです。 それに対して私は、「運が良かっただけです」と説明しています。 Emotetは頻繁にバージョンアップを繰り返していますので、2020年当時に流行ったEmotetと今流行っているEmotetとは「別物」ですし、検知できないレベルでセキュリティ製品の動作を止めてしまうような処理が行われたらお手上げです。 私が相談を受けた例では、最終的にはPowerShellを使わないようにする設定を施しましたが、最も大事なのは社員教育だという事もあわせて伝えてあります。

1人がナイス!しています

UTMについては、例えばEメールの添付ファイルを自動的に全部削除する…ような設定・処理が行われていたら、それは結果的にはEmotet対策にもなります。 あるいは、例えば特定のサーバIPからのダウンロード処理をブロックする(あるいは許可したサーバIP以外からのダウンロード処理を一切認めない)ような設定・処理が行われていたら、それは結果的にはEmotet対策にもなります。 逆に言えば、Eメールの添付ファイルが従業員のデバイスまで到達し、未知のサーバIPからのダウンロードが自由に行える状況なら、Emotetへの「感染を防ぐ」役割は果たせません。 それは、UTMには意味が無いという意味ではなく、守備範囲が違うという意味です。