<【EMOTET】って結局どう対応すれば良いのか?>
さて、少し遅くなりましたが・・・
既にに多くの人が色々な形で発信されており、セキュリティに携わる方ならご存知であろうホットトピックの【EMOTET】について書いていこうと思います!
まずはおさらいがてら、EMOTETについてまとめます。(※知ってる方は読み飛ばしてください!)
【EMOTET】
誕生日:だいたい2014年頃
種類:トロイの木馬
どこからやってくるか:ほぼメール
特徴:高い感染力、姿を変幻自在にかえる、一人だけだと大したことない
かなりゆる~くまとめてますが、このあたりで良いかなと思います( ´艸`)
そしてここからはEMOTETの感染の流れについて補足したいと思います!
「感染の流れ」
①Officeファイル付きのメールが届く(未感染)
②ファイルを開くと、マクロ機能が実行されC&Cサーバへ通信しにいく(一次感染)
③C&CサーバからEMOTET本体をDLする(二次感染)
④EMOTET本体が実行され、色々な情報が盗まれたり、他のマルウェアをC&CサーバからDLしたりする(三次感染)
さて、ここで一つ重要なポイントがあります。
それはサイバー攻撃をプロセス化して考える癖をつけることです。特に組織でセキュリティ的な役割を担っている方は必須の考え方だと思います。
EMOTETについていえば、①~④で必要になるであろうセキュリティ対策は全く異なってくると思います。
このように【EMOTET、ランサムウェア、BEC】などの流行り言葉ばかりを気にするのではなく、まずは各サイバー攻撃の本質を整理することが【最も低コストで効率的な対策の1つ】だと僕は思っています!
セキュリティを考える上では超重要ですが、EMOTETの話からは少し脱線しました。すみませんでした・・・m(__)m
話をEMOTETに戻し、感染の流れの中で僕的に注目すべき点をいくつか挙げます。
まず注目したいの感染のはじまり(①)は【メール経由】という点です。これを聞くと数年前に標的型攻撃において使用される未知のマルウェアは【ほぼメール経由で感染する】と言われていたのを思い出しますが、その通りです。
別にEMOTET対策なんてものは考えずに【メール経由でやってくるマルウェアへの対策】として対応を考えればOKなわけです!!少々尖った言い方をすれば、標的型攻撃対策として対策をしていれば新たにEMOTET対策は不要だということです。
(※かなり大げさかもですが(笑))
その他にも同様なことが言えます。②ではPowerShellの実行禁止、C&Cサーバへの通信を検知・遮断するような製品としてFW・UTMなどが有効な対策かもしれないですし、③、④あたりではAVソフトが対策の代表格かもしれません。
④で管理者権限を狙うようなマルウェアへは権限管理や資産管理による脆弱性除去が重要かもしれません。
上記はあくまで一例のため組織毎に必要な対策は異なりますが、重要なのはサイバー攻撃の本質を理解しその上で自組織の現在の状況・目指すべき状態をふまえ、対策を考えることです。
あえて言いますが、以下のような【対策だけの対策】はほぼ無意味終わると考えます。
・EMOTETはメール経由で感染するらしい → メール訓練サービスをやろう!
・EMOTETはメール経由で感染するらしい → メールセキュリティ製品を入れよう!
・EMOTETの感染力は強いらしい → 流行りのAVソフトをいれよう!
ここで言いたいのは、EMOTETへの対策をするという目的を達成するためには、
あくまで、上記の「→」の部分で【EMOTETによる攻撃をプロセス化】することが必須だということです。
ぼちぼち、まとめます。
結論、
【EMOTETは既に世の中にあるセキュリティ対策の要素を正しく選択すれば、取るに足らない攻撃である】ということです。
そんな言い切れるの?と思わるかもしれませんが、セキュリティにも、世の中にも100%がないことは皆様ご認識頂いていると勝手に信じております(^^♪
【以下は余談です】
・メール訓練サービスは費用対効果が低い対策だと僕は思っています。実施する場合は、内容、頻度、他の対策との組み合わせを必ず検討すべきです☺
・C&Cサーバへの通信はIPアドレス・URLを基準に検知・遮断をおこなうケースがありますが、攻撃者はIPアドレス・URL共に常に変更してくるので結構難しいです😢
今回は以上です!