昨今、ニュースなどで頻繁に耳にするようになった"Emotet(エモテット)"。悪意のある攻撃者から送られたメールなどから感染が拡大しているマルウェアの一種だが、企業の大小を問わず、今年に入ってから被害が拡大している。従来のセキュリティ対策ソフトでは対策が難しく、「最恐のマルウェア」とも呼ばれる。
三井情報(以下、MKI)は6月29日、販売パートナーを対象にした「GO NEXT フォーティネットによるエモテット対策」と題したセミナーを開催。今回は、エモテットの具体的な動作とその対策方法の解説や、クラウド型のメールセキュリティ製品「FortiMail Cloud」が紹介されたセミナーの内容の一部を紹介したい。
被害が急増!「エモテット」の傾向と手口
MKIでは、YouTube上に公式チャンネル「GO NEXT」を開設し、従来からセキュリティ対策の情報発信を行っている。今回のセミナーの第一部は、YouTubeチャンネルの公開収録というかたちで行われ、通常の配信と同様に、チャンネルのMCを務めるタレントの大野愛友佳さんを司会進行役に、MKI ソリューション技術本部 次世代基盤第一技術部の幸丈雄氏と、パートナー営業部の吉田舞桜氏の2人が登場し、「エモテットの脅威とOTシステム(工場)におけるセキュリティの関係性」と題して解説を行った。
吉田氏によると、独立行政法人情報処理推進機構(IPA)に寄せられるエモテットの相談件数は、今年に入って急増しているという。「1月から3月にかけては656件。前期の50倍以上にのぼった」とのこと。4月以降は一度落ち着きを示したものの、その後再度活動が活発化しているそうだ。
また、最近の傾向として、特徴的なのは日本語で示されたエモテットの出現が挙げられる。幸氏は「昨年末から出没していて、それがこの急拡大につながっているとみられている。(IPAの統計は)相談件数の数なので、実際にははるかに多くの被害が発生しているはず。大手企業、自治体、大学なども多数被害を受けていて、非常に懸念される」と話す。
従来のマルウェアと同様に、基本的な手口としては、添付ファイルを開かせる方法だ。"不審な添付ファイルは開かない"というのはビジネスに携わっている人であれば浸透しているはずだが、手口が巧妙になっていることが拡大している一因だという。
「『請求書をお送りします』という本文が添えられていたり、自分が以前に送ったメールの文章が引用されている。しかも、送信者名を見たら取引相手の名前があったりする。しっかりと本文を読めば、おかしいとわかるが、たまたまその人からのメールを待っていたりすると、確認しないまま反応してしまうことがある」(幸氏)
典型的なエモテットは、メールにWordやExcelのファイルが添付されており、そこにマクロが組み込まれており、これが作動するとエモテットのモジュールがダウンロードされて感染してしまう。そして、悪意のある送信者が用意しているサーバーにアクセスし、次々とウイルスを仕込んでいくという仕組みだそうだ。幸氏によると「このウイルスが凶悪で、メールの文面やメールアドレスを読み取ったり、ブラウザからIDやパスワードを盗み出していく。一番怖いところでは、盗み取った情報をもとに、自分が送ったメールを装って、顧客や取引先に偽のメールを送信していく。乗っ取られた人に影響力があればあるほど感染が広がりやすくなる」と警鐘を鳴らす。
被害を防ぐために、たとえ圧縮してパスワードをかけても、重要な書類をメールに添付することを禁止している企業もあるだろう。これに対し、幸氏は見解を次のように話した。
「(パスワード付きZIPファイルを送る)PPAPは、むしろセキュリティリスクを高めるとも言われているので、添付ファイルをやめるというのは、ある程度は有効かもしれない。ただ、すべてやめてしまうというのは、やはり現実的ではない。たとえファイルを開いても、コンテンツの有効化ボタンを押しさえしなければ、感染は免れられる。しかし、100%防ぐことはできないので、その手前で怪しいメールをブロックするセキュリティソリューションが大切。エモテット側も次々と進化を続けているのでセキュリティ対策もいち早くキャッチアップしていく必要がある」
2つ目のトピックとして語られたのは、「OTシステムのセキュリティ」。OTは"オペレーショナル・テクノロジー"の略で、工場やプラントなどの機械設備をコントロールしたり、生産工程を司るオペレーションシステムのこと。OTシステムに対する攻撃も最近増えてきているそうだ。「今に始まったわけではなく、10年以上前からかなり肝を冷やす事例が現れている」と吉田氏。IPA発表資料によると、主なOTシステムを狙ったサイバー攻撃や世界で起こった主なOTセキュリティのインシデントとしては、核施設や世界的な石油企業、自動車工場、鉄道会社や航空会社といったインフラを担う企業、テレビ局など多岐にわたる企業のOTが標的にされ、操業停止や遅延に追い込まれている。
幸氏によると、OTシステムが狙われる理由としては、かつては独自のシステムだったものが、Windowsなどの汎用的なシステムが普及したことで、近年ITシステムへの置き換えが進んでいることが挙げられるという。「汎用的なシステムであれば、セキュリティ側もその仕組みはよく知っているので、サイバー攻撃を受けてもすぐに対策を考えられる。それに対して、OTシステムは制御機器もソフトウェアもネットワークも出自がまちまち。さらに、そこに独自の工夫で汎用システムが組み合わさっているので、これひとつあれば防げるというような手法がなかなか作れず、個別の対応が必要になってくる」と説明した。
・関連リンク:OT セキュリティアセスメント
>>詳しくはこちら
エモテット対策も万全!最新のメールセキュリティソリューション
第二部として行われた「FortiMail Cloudによるメールセキュリティ Emotet攻撃メール対策と保護」と題したセミナーでは、フォーティネットジャパン合同会社 パートナービジネス本部 技術部 シニアシステムエンジニアの矢野勉氏が講演。エモテット対策も含めた最新のメールセキュリティソリューションとして「FortiMail Cloud」を紹介した。
エモテットの温床として最もポピュラーなのはメールだ。矢野氏は「エモテットが厄介なのは、今までのやりとりの情報を読み取り、なりすまして別の人に拡散していくこと」だと説明。その上で、エモテット対策には、"メール侵入"、"ウェブ侵入"、"侵入後の被害拡大"の3つのフェーズに仕切って行うことが必要だと説く。
そして、メール侵入の対策ソリューションとしてフォーティネットジャパンが提供しているのが「FortiMail」だ。アンチスパム、アンチウイルス、フィルタリングなどのさまざまなメールセキュリティ機能を1台で実現。メールセキュリティに特化した専用設計で、受信・送信の双方向での多層防御を行い、添付ファイルを含むコンテンツを漏れなくスキャン可能、DDoS攻撃、DHA攻撃、スパム、フィッシング、ウイルス、スパイウェア、マルウェアをブロックすることができ、高い脅威検知率は第三者機関からも評価されている。
対応するプラットフォームとしては2タイプがあり、自社でコントロールしたい企業向けには物理/仮想アプラインス型、インフラ管理を一任したい企業向けにはクラウド版の「FortiMail Cloud」を提供している。
「FortiMail Cloud」の主な機能として、顧客ごとに専用のVMインスタンスとIPアドレスを用意。独立したインスタンスを用意することで負荷が集中してしまう懸念がないことを特長として挙げる。
ライセンス形態は3パターンを用意。スタンダードな「Gateway」に加えて、メールコンテンツの無害化、URLクリック防御、なりすまし分析、クラウド型サンドボックス、IDベース暗号化機能を追加した「Gateway Premium」、「Microsoft 365」との連携が可能な「Gateway Premium with Microsoft 365 API Support」をさらに用意している。
具体的なエモテット対策として実装している4つのソリューションを紹介した。"パスワードZIPへの対策"、"ショートカットファイルの拒否"、"コンテンツの無害化"、既知攻撃として判定されなかったものを一定時間ストアしておいて再評価することで、時間差を使って検知を高める"アウトブレークプロテクション"により、エモテットの脅威から守る。
資料ダウンロード
>>詳しくはこちら
エモテット対策の実践例
第三部は「FortiMail Cloudの事例紹介 三井情報の製品保守」と題したセミナー。三井情報 ソリューション技術本部 次世代基盤第一技術部の菊地裕明氏が同社におけるフォーティネットの製品保守や、FortiMail Cloudによるエモテット対策の実践事例を紹介した。
MKIが提供している製品保守サービスは、6月現在で約6万台に及ぶ。24時間365日稼働の自社コールセンターを設置し、被害時に備えて交換用機器も約800台用意し、国内15ヶ所に設けた保守サービス拠点で、問い合わせや問題解決に迅速に対応する体制を整え、メーカーからの品質評価は2021年の開始時からほぼ満点のスコアを継続する実績を誇る。
このような高評価の源泉として紹介されたのは、東京・東中野に設置されている「MKI IDEA Lab」。MKIではここを拠点にソリューションの最新技術の検証をはじめ、ナレッジや導入前のシステムの事前検証を行い、蓄積したナレッジや海外ベンダーとのパートナーシップを活かしながら高品質なインフラ基盤の提供を続けているという。 MKIでは、他にも「FortiMail Cloud」を含め、リモートユーザーがインターネットに接続する際のセキュリティゲートウェイをクラウドで提供する「FortiSASE」、ログ管理ソリューション「FortiGate Cloud」といったクラウド製品や仮想環境に対するサポートも実施している。
こうした保守サービスはいずれも代理店経由で加入できるもの。フォーティネットジャパンの矢野氏も「エモテット対策における最適解として、MKI×フォーティネットのソリューションをぜひ検討してほしい」と推薦した。
MKIでは、公式YouTubeチャンネル「GO NEXT」を通じて他にもさまざまなセキュリティトピックをわかりやすく紹介している。菊地氏は、「ぜひチェックしてほしい」と語り、セミナーの最後を締めくくった。
[PR]提供:三井情報