NRIセキュアテクノロジーズは2月6日、報道機関向けに説明会を開催。同社が提供する「セキュリティログ監視サービス(NeoSOC)」で得られた最新の脅威動向について解説した。
NRIセキュアテクノロジーズの天野一輝氏
NeoSOCは、ルーツに当たる運用監視サービスが1995年に開始されており、2020年で25年目を迎える。顧客数200社、監視対象センサー数約5000台、ログ総数約10億件/日、アナリスト数約80人という“国内最大規模”のサービスを24時間体制で提供している。国内の2拠点(東京/横浜)と北米の3拠点を中心に3交代のシフト勤務を行い、午前9時/午後5時/午前0時が切り替え時間となる。午前0~9時の時間帯は時差の関係で北米が担当するという。なお、北米の拠点には現地採用のアナリストも所属しているが、日米でサービスレベルの差が生じないように、日本からも現地駐在という形で人員が派遣されているという。
マネージドセキュリティサービス事業本部 SOC事業推進部 主任セキュリティアナリストの天野一輝氏は、NeoSOCで収集・分析したログ情報から得られた最新の脅威動向として、2019年秋ごろから日本企業にも多くの被害を与えたマルウェア「Emotet」について説明した。
Emotet自体はダウンローダーで、他のマルウェアなどを感染端末に引き寄せるように動作する。Emotetの配布はメールに添付されたDOCファイルまたはメール内に埋め込まれたURLリンクからのダウンロードという形になる。Emotetは古くから存在するマルウェアで、最初に観測されたのは2014年ごろで、2017年ごろにダウンローダーに変化したという。
その後、一時見かけなくなったそうだが、2019年9月から活動を再開し、12月下旬にいったん活動が停止した後、2020年1月14日に活動再開を検知する、というサイクルをたどっている。しかも活動停止を経るごとに巧妙化しているという。
例えば、かつては英語のメールに添付されていたが、2019年9月移行は日本語のメールが使われるようになり、さらにその日本語の文面が、一見して怪しいと思われるものから、ごく自然なビジネスメールに見えるレベルにまで“品質向上”を果たしており、かつての様に「怪しいメールは開かない」という心構えだけで見分けることは難しくなっているという。2019年12月には「賞与関係の通知」という文面で感染を引き起こしているが、これも日本企業の内情を理解し、いかにもありそうなタイミングでそれらしい文面のメールを配付するという手口の巧妙化が背景にあるという。
なお、同社では「Secure SketCHブログ」を通じて最新のセキュリティ情報を発信しているので、こうした情報も活用してどのような攻撃が行われているのかを知っておくことが有益だろう。
