ID非公開

2022/5/19 15:21

44回答

弊社スタッフがEmotetに感染しました。

弊社スタッフがEmotetに感染しました。 UTMやエンドポイントセキュリティなどの対策は行っていました。 エンドポイントセキュリティも業務用のものでふるまい検知の機能は搭載していました。 当然、該当のメールを開いたスタッフが一番悪いのですが振る舞い検知でも検知できないのはなぜなのでしょうか? 担当営業に問い合わせましたが、納得できる説明ではなく知識も乏しい回答でした。 今回、感染後にレジストリを書き換えられたようです。 私の認識ではそもそも書き換えの動作は振る舞い検知により止められる認識でした。

ウイルス対策、セキュリティ対策 | パソコン184閲覧

ベストアンサー

1
fun********

2022/5/20 1:02(編集あり)

[UTMの突破について] Emotetメールの添付がパスワード付ZIPファイルの場合、ファイルが暗号化されているためウイルスチェックはされなかったのではないでしょうかね。 [振る舞い検知突破について] 以前、Emotetは、振る舞い検知対策も考慮されたつくりになっている。という記事を読んだことがあります。 悪いいみで改良された振る舞い検知対策の効果があったのですね。 振る舞い検知で検知されない方法の例をここでかくわけにはいきませんが、そういう手法も開発されているということです。 Emotetは常に悪い意味で改良されており、officeアドインとしてつくられたものもあります。 攻撃側は、防御技術を攻略する手法を考えています。過信しないことです。

1人がナイス!しています

fun********

2022/5/25 19:53

Emotetは、パスワード付ZIPを多用します。 パスワード付きzipメールの受信拒否は、Emotetに対し、一定の効果があります。 エンドポイントセキュリティで検出できない、できたてのウイルスが添付されていてもブロックしてくれるからです。

その他の回答(3件)

0
mom********

2022/5/25 5:39

今回のケースの原因まで特定するのは無理ですね。仮にセキュリティシステムの開発者に説明されてもあなたが理解できないでしょう。一般論の説明でぼんやり納得するしかないです。 うちの会社では不定期でemotetに似せたメールが社内から送られてきます、訓練としてです。 言葉で「怪しいメールを開かないように」と注意喚起しても、パッと見怪しくないからクリックするんです、あれは。

1
akm******

カテゴリマスター

2022/5/19 18:52

説明は、感染した原因の検体を渡して、担当営業ではなく技術的に求めてもいいと思います。 やはり、emotetも既存製品の挙動から逃れるための対策はしているようで、難読化したり、Windows標準機能を使ったりしています。ウイルス対策ソフト・セキュリティ製品は100%検知は無理です、特に今年に入ってからは、国内でシェアの高い製品の対応が遅れ気味な気がするので、国内での被害が多いと感じます。 対策は emotetが流行っていることを察知して注意喚起する。今年に入ってからは、何度かニュースになっています。 すでに回答のあるとおり、PowerShellやWscriptを一般利用者が使う例は少ないので、停めるのも一案だと思います。 ほかには、メール添付のマクロ付きファイルやlnkファイルはブロックする。

1人がナイス!しています

1
chi********

カテゴリマスター

2022/5/19 16:44

▼Emotet感染企業一覧 https://cybersecurity-info.com/column/who-hacked-by-emotet/ 中には、ライオン・積水ハウス・クラシエといった名の通った企業もいくつか見られますが、Emotetはセキュリティで最も脆弱な「人間」をターゲットとするマルウェアですので、社員教育が徹底されていなければ、何を導入していようが感染する時は感染するって事ですね。 いやだって、「勝手に実行される」のではなく「人間自身が」悪意のあるコードの実行を自ら許可するのですから。 Emotetの基本的な動作原理は、Office系のファイルを開く → マクロ実行 → WMI → PowerShell…で、最終的に悪意のあるコードを実行するのはPowerShellによってダウンロード&実行されるプログラムです。 ただし亜種も色々とあり、今流行っている亜種で被害事例が多いのは、おそらくはOffice系のファイルからマクロを実行するタイプではなく、以下のような「.lnk」ファイルを利用したものだと思います。 https://forest.watch.impress.co.jp/docs/news/1406053.html よって、従業員が「何をしたのか?(どういった操作を行い何を許可したか)」をヒアリングする必要があります。 ひょっとしたら、何かしらの警告(実行確認)は出ていたのかもしれないのに、それも従業員が許可してしまったのかもしれませんし、従業員の操作により、セキュリティ製品の動作を止めるような処理が実行されたのかもしれません。 あるいは、単に新しいタイプの振る舞いを検知できなかっただけかもしれませんし、セキュリティ製品の動作レベル設定が不適切だったのかもしれません。 なお、私がお世話している会社で、Emotet感染を広げるメールを開きマクロを実行してしまった従業員の例が2020年に2件ありましたが、両方ともESETというアンチウイルスアプリが、マクロ実行動作を検知し実行を止めたようです。 それに対して私は、「運が良かっただけです」と説明しています。 Emotetは頻繁にバージョンアップを繰り返していますので、2020年当時に流行ったEmotetと今流行っているEmotetとは「別物」ですし、検知できないレベルでセキュリティ製品の動作を止めてしまうような処理が行われたらお手上げです。 私が相談を受けた例では、最終的にはPowerShellを使わないようにする設定を施しましたが、最も大事なのは社員教育だという事もあわせて伝えてあります。

1人がナイス!しています

chi********

2022/5/19 17:38

UTMについては、例えばEメールの添付ファイルを自動的に全部削除する…ような設定・処理が行われていたら、それは結果的にはEmotet対策にもなります。 あるいは、例えば特定のサーバIPからのダウンロード処理をブロックする(あるいは許可したサーバIP以外からのダウンロード処理を一切認めない)ような設定・処理が行われていたら、それは結果的にはEmotet対策にもなります。 逆に言えば、Eメールの添付ファイルが従業員のデバイスまで到達し、未知のサーバIPからのダウンロードが自由に行える状況なら、Emotetへの「感染を防ぐ」役割は果たせません。 それは、UTMには意味が無いという意味ではなく、守備範囲が違うという意味です。