Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

ZIP添付ファイルブロックの衝撃

Emotetはビジネスでのメール文化にも影響を与えそうです。CISAのアラートに書かれているEmotet緩和策ではウィルス対策ソフトでスキャンできないZip添付ファイルをブロックする事が推奨されています。

www.security-next.com

 

公式発表CISA: サイバーセキュリティインフラストラクチャセキュリティ庁)

 

キタきつねの所感

コロナ禍を受けて、ビジネスにおけるメールの重要度というのは下がっているとは思いますが、ZIPファイルが使えなくなると言われると困る方も多いのではないでしょうか。主に私です。

Emotetは7月からキャンペーンが再開され、米国、カナダ、フランス、日本、ニュージーランド、イタリア、オランダ等での被害が急増しており、拡散が早いマルウェアであるが故に企業も対策に迫られています。

 

CISAのアラートでは、ZIPファイルの部分について以下の様に書かれています。

活動のタイムライン
(中略)
9月:
マイクロソフトのセキュリティ研究者は、Emotetキャンペーンの戦術の要点を特定しました。新しい戦術には、パスワードで保護されたアーカイブファイル(Zipファイルなど)を電子メールに添付して、電子メールセキュリティゲートウェイをバイパスすることが含まれます。これらの電子メールメッセージは、モバイルデバイスで作成されたドキュメントを配信することを目的としており、ターゲットユーザーを誘導して、マクロがドキュメントを「表示」できるようにします。これは、マルウェアの配信を実際に可能にするアクションです。

CISAアラートより引用)※機械翻訳

 

このアラートの元となったのは、マイクロソフトの発表を受けたBleeping Computerの9/22記事です。

CISAアラートで引用されています

www.bleepingcomputer.com

Emotetボットネットは、悪意のあるスパムキャンペーンを切り替え、パスワードで保護されたアーカイブを大量に配布して、電子メールセキュリティゲートウェイをバイパスしています。

このキャンペーンは金曜日に開始され、期限切れのWindows 10 Mobileで作成されたと主張するドキュメントが作成されAndroidで作成されたふりをして大量のメッセージが送信されました。

ユーザーをだまして、別のオペレーティングシステムで作成されたドキュメントをマクロで表示できるようにすることは説得力のある戦略かもしれませんが、Windows 10 Mobileの使用(月の初めから)は、OSが2020年1月にサポートを終了したため、失敗です

Microsoftによると、Emotetは月曜日に策略を切り替え、Androidで作成されたと主張するドキュメントの配信を開始し、ドキュメントを表示するには「コンテンツを有効にする」(つまり埋め込みマクロコードをアクティブにする)をクリックする必要があるとのことです。

(Bleeping Computer記事より引用)※機械翻訳

 

現在の攻撃は、EmotetはWindows10 MobileやAndroidで作成された文書の振りをしたパスワード保護された添付ファイル(EmotetペイロードをDLする悪意のあるマクロ混入)を、開かせてマクロをオンにさせる(コンテンツを有効にする)事を狙ったものがあるという事を示唆しています。

 

※Bleeping Computer記事より引用(攻撃メール例)

f:id:foxcafelate:20201009052842p:plain

 

Emotetのボットが活発に活動している以上、警戒は当然の事ではありまし、実際に被害が出ている(開いている人がいるのだろう・・と思います)以上は、対策を考えるべきかと思います。

しかしサンプルのメール(どこからかのコピーと推測されます)は、タイトルや、引用メール文面の日付が2014年になっていたり、文面でも個人名宛に書かれてなかったり、メールで使われる言語が英語、フランス語、イタリア語となっていて、日本語は(まだ)対象に含まれない点を考えると、緩和策の全てを日本企業が実践する状況にまでは至ってないのかも知れません。

 

CISAのアラートには、緩和策が結構書かれています。ZIPファイルのブロックはこの中の1つとして書かれています。

緩和策
CISAとMS-ISACは、連邦、州、地方、部族、領土政府、および民間部門のネットワーク防御者が、組織のシステムのセキュリティ体制を強化するために次のベストプラクティスを適用することを検討することを推奨しています。システムの所有者と管理者は、望ましくない影響を回避するために、実装前に構成の変更を確認する必要があります。

マルウェアに一般的に関連付けられている電子メールの添付ファイル(.dllや.exeなど)をブロックします。
ウイルス対策ソフトウェア(.zipファイルなど)でスキャンできない電子メールの添付ファイルをブロックします。
・グループポリシーオブジェクトとファイアウォールルールを実装します。
ウイルス対策プログラムと正式なパッチ管理プロセスを実装します。
・電子メールゲートウェイにフィルターを実装し、ファイアウォールで疑わしいIPアドレスをブロックします。
・最小特権の原則を順守します。
ドメインベースのメッセージ認証、レポート、および適合性検証システムを実装します。
・ネットワークと機能をセグメント化および分離します。
・不要な横方向の通信を制限します。
・ファイルとプリンターの共有サービスを無効にします。これらのサービスが必要な場合は、強力なパスワードまたはActiveDirectory認証を使用してください。
・多要素認証を実施します。
・電子メールの添付ファイルを開くときは、添付ファイルが予期されていて送信者がわかっているように見える場合でも、注意してください。電子・メールの添付ファイルでの注意の使用を参照してください。
未・承諾の接続要求を拒否するように構成された、代理店のワークステーションファイアウォールを有効にします。
・代理店のワークステーションとサーバーで不要なサービスを無効にします。
・疑わしい電子メールの添付ファイルをスキャンして削除します。スキャンした添付ファイルが「真のファイルタイプ」であることを確認します(つまり、拡張子がファイルヘッダーと一致します)。
・ユーザーのWebブラウジングの習慣を監視します。疑わしいサイトや危険なサイトへのアクセスを制限します。
・リムーバブルメディア(USBサムドライブ、外付けドライブ、CDなど)を使用する場合は注意が必要です。
・実行する前に、インターネットからダウンロードしたすべてのソフトウェアをスキャンします。
・最新の脅威の状況認識を維持し、適切なアクセス制御リストを実装します。

CISAアラートより引用)※機械翻訳

 

普通に企業が実施すべき対策が網羅されており、その有効性について頷けるものは多くのですが、企業の置かれている立場によって緩和策(多層防御)をどの程度取り入れるかは違ってくるかと思います。

例えば海外拠点での英語メールが当たり前に飛び交っているのであればZIPファイルブロックまで考慮に入れて、緩和策を取り入れるべきでしょうし、日本ではまだそのリスクが低いので、従業員啓蒙(教育)のみとしておくという判断もあるかと思います。

 

私は、CISAアラートに書かれている以下の点から、現時点で多くの日本企業が重視すべきなのは「マクロ」対策ではないかと思います。

ターゲットユーザーを誘導して、マクロがドキュメントを「表示」できるようにします。これは、マルウェアの配信を実際に可能にするアクションです。

CISAアラートより引用)※機械翻訳

 

ZIPファイルであろうと、パスワードが掛かってないWordファイルであろうと、メール受領者が、「コンテンツを有効にする」(マクロをONにする)部分がEmotet等のマルウェアに狙われていると思うので、(業務に影響がなければですが)マクロ付ファイルをメールでやり取りするのを原則禁止する為に、啓蒙(教育)、デフォルト設定でのマクロオフ、添付ファイルの自動ダウンロード停止をオフにする事等にウェイトを置いた方が効果は高い気がします。

 

もし自分の会社でZIP添付ファイルが禁止になったら・・・社外の方とのやり取りに、やはり困る気がします。

尚、CISAのアラートには代替手段は一切書かれていません

 

少し考えてみましたが、クラウドのファイルストレージを利用してファイルを渡す、Sharepointを使う、漏えいしてもそんなに実害の無いファイルであればZIPの標準暗号を使う(AES暗号ではないのでスキャンできるはず・・・)等は思いつきましたが、いずれにせよ従来より手間がかかるなという印象です。

 

他にも、ZIP付きファイルをメールで送っておいて、携帯SMSでパスワードを送る(2経路)手法も良いのではないかと思うのですが)、そもそも携帯番号を知っている方にしか使えないので、汎用的では無い気もします。

 

現在そうしたセキュリティツール(あるいは別な対策)があるのか分かりませんが、マクロ起動を強制的に止めてくれるものがあれば、一番楽な気がします。

※どなたか良いマクロの止め方があればご教授下さい・・・

 

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 コンクリートブロックのイラスト

 

更新履歴

  • 2020年10月9日 AM(予約投稿)