情シスが抱えるITインフラやネットワーク、セキュリティの悩みを解決するメディアサイト情シスが抱える悩みを解決するメディアサイト

最近流行の『Emotet』について。私達のセキュリティ対策が今、試されてます。

ブログ
情シス
情シスショールーム

最近流行の Emotet(エモテット) です。

会社?業界?によってはあまり届いていないという声も聞きますが、当社は多くのお客様・取引先様に加え、メルマガを多数のお客様に配信していることで、 その返信を装った Emotet メールが多数着弾しています。(数十通/日 レベル)
ほぼすべて、実際のメールに返信&実在のメールアドレスを使用しています。これは当社の関係先で感染が拡大しているということであり、 内何社かは私達からお声をおかけしたことで、感染が発覚した企業様もありました。

私は正直、当初このマルウェアをナメてました。

「今どき添付ファイル型なんて誰もひっかからないよ」と...。
しかし、Emotet の特徴は、マルウェアが自動生成する文面の巧妙さにありました。既存のメールの返信でかなり自然な文面で返信する形を取り、受信者に添付ファイルを開くように促します。AI でも搭載されているのだろうか??

当社でも、すんでのとこで感染、といったケースが見られました。
導入したセキュリティソリューションの多層防御の一つにひっかかり、事なきを得ましたが、久しぶりにマルウェア攻撃で肝を冷やしました。これはちょっとこれまでとレベルが違うぞと、全社アナウンスを打って危機感を煽りつつ、メールに関わるセキュリティ関連ソリューションの設定を強化しました。
当社の社員も気が引き締まったようで、これまで以上に外部からのメールを疑ってかかる姿勢が戻ってきました。

情シスで主に強化したのは、「Office 365 ATP」の設定です。初期設定は OFF になっているのですが、Office 365 の契約ライセンスによって、実は既に使える企業様も多いと思いますので、是非確認して設定してみてください。

以下、実験的に入れた設定の一例です。手探りでやっている最中ですのであくまでも参考としていただければと思います。

  • 「一般的な添付ファイルの種類フィルター」を ON
  • メールフロールールで、外部からの Word ファイルの添付をスパム認定(ZIP 内にあっても機能します)
  • 「ZAP」機能有効化(これは元々 ON でした)
  • 「動的配信」機能有効化
  • Word マクロ設定を「デジタル署名されたマクロを除き、すべてのマクロを無効にする」設定を配布
    ※これは Office 365 でなく、Active Directory のグループポリシー実施

・・・最近、添付ファイルを私達が結構防ぐようになったことで、攻撃側は URL 型に切り替えてきているようです。URL 型では、Office 365 ATP で設定可能な項目はあまりないようで、エンドポイントでの強化が重要な局面になってきました。
基本的にゼロデイ攻撃ですのでパターンファイルには期待できず、振る舞い検知や EDR といったエンドポイントの機能が必要ですね。
これまで進めてきた私達のセキュリティ対策が今、試されています。

これまで予算が取ってもらえなかった情シスさんは、これを機に改めて導入の動きを起こしてみるのが吉と思います。

なお当社で Emotet の対策セミナーを企画しております。
私は登壇しませんが、Emotet の概要や対策についてのお話が聞けますので、もしご都合よろしければ参加いただければと思います。

Emotet 対策のセミナーを緊急開催します!!

緊急開催!! Emotet 対策セミナー
 ~ 「Emotet」ウイルスの感染から自社の情報を守る ~

日時:2020年1月10日(金)15:00~17:00 (14:30 開場)
会場:株式会社ソフトクリエイト

■プロフィール■

長尾 聡行
株式会社ソフトクリエイトホールディングス
情報システム部 部長

プログラマーとしてキャリアをスタート。前職 大手ネット企業の情シス担当。ソフトクリエイト入社後、PM として数多くのインフラ構築、セキュリティ対策ソリューションを手掛ける。インフラ構築サービス 部長を経て、現在、ソフトクリエイトホールディングスの情シス責任者としてグループ企業2社(ecbeing、SOFTCREATE)を含む800ユーザー、1200クライアントの社内システム管理を統括兼任として、ISMS管理責任者、個人情報保護責任者、CSIRT 代表者を務め、社内セキュリティにおいても統括的な役割を担う。

★★★「ノベルティ」をプレゼント★★★

ブログのご感想をメール(宛先:rescue@softcreate.co.jp)でお送りください。
感想をお送りいただいた方に「ノベルティ」を差し上げます。
ぜひ、ご感想をお送りください。お待ちしております★

関連キーワード
ITインフラに関するおすすめ記事
“便利屋” から脱却したい情シスの皆さんへ
「情シスショールーム」へようこそ!
そのデータ重要ですか?
おぐねた :昔なつかしパソコンとーーーく 〜 PC98編(第2弾)
おぐねた :昔なつかしパソコンとーーーく 〜 PC98編(第1弾)
おぐねた :昔なつかしパソコンとーーーく 〜 フロッピーディスク編
おぐねた :昔なつかしパソコンとーーーく 〜 MO ドライブ編
パロアルト次世代ファイアウォールの“同盟”相手とは?
真田信之の“24時間365日”監視システム?
おぐねた :プロ野球とインターネット