マイクロソフト、「Emotet」感染による顧客ネットワークの停止事例を公開

Liam Tung (ZDNET.com) 翻訳校正: 編集部

2020-04-06 11:05

 Microsoftは米国時間4月2日、サイバーセキュリティソリューショングループ内のチームである「Detection and Response Team(DART)」が扱った事例を紹介する、2本目となるレポートを公開した。今回のレポートでは、1人の従業員がフィッシングメールを開いてしまった結果、社内ネットワークの全面停止に至った顧客の事例が紹介されている。このメールには、バンキング型トロイの木馬として悪名高い「Emotet」が含まれていた。

 Microsoftが今回紹介しているインシデントレスポンスの詳細(顧客名にはFabrikamという仮の名前が用いられている)は、2018年2月にペンシルバニア州アレンタウン市によって開示されたサイバーセキュリティインシデントと類似している。同市は復旧に要する費用を100万ドル(約1億900万円)と見込んでいた。

 この攻撃によって、185台の監視カメラのネットワークを含む同市の中核的なシステムがダウンしたと、Associated Pressが報じていた。

  この報道では、Emotetは自己増殖しながら従業員のログイン認証情報を盗んだとする市長の説明を伝えていた。同市は「急速に悪化する事態を食い止める」ために、緊急対応の初期費用としてMicrosoftに18万5000ドル(約2000万円)を支払い、さらに80万~90万ドルが復旧に必要となる見込みだとしていた。

 FabrikamがMicrosoftのDARTに支援を要請したのは、当該従業員がフィッシングメールを開いた8日後のことだった。その時点で、Emotetの活動によって、コンピューターと基幹システムが正常に機能しなくなっており、ネットワーク帯域幅が限界を超えてしまっていたという。

 同マルウェアは不正に侵入した被害者のコンピューターを用いてDDoS攻撃を仕掛け、ネットワーク容量を超える負荷を発生させていた。

 「このウイルスは、185台の監視カメラネットワークも含めて、Fabrikamのシステムすべてを脅かした。経理部門は外部の銀行取引がまったくできず、パートナー企業はFabrikamが管理するデータベースにアクセスできなかった。カオス状態だった」とDARTチームは記述している。

 さらに「彼ら(Fabrikam)は、このシステム障害が、ハッカーによる外部からのサイバー攻撃によって引き起こされたのか、社内のウイルスに起因するものなのかを特定できなかった」と説明。

 「自らのネットワークアカウントにアクセスできれば、判断の手がかりが得られたかもしれない。しかしEmotetによって、実質的に何の作業もできなくなるほどネットワークの帯域幅が消費されていた。電子メールすら遅くて使いものにならなくなっていた」(DART)

 同インシデントに対応するために、DARTの複数のメンバーが現地に出向き、他のDARTメンバーたちもリモートによる支援を提供した。

 同市のシステムの内部を確認するため、DARTは「Defender Advanced Threat Protection」「Azure Security Scan」「Azure Advanced Threat Protection」などのマルウェア検知ツールのトライアルライセンスを導入した。

 Emotetによるネットワーク全体への感染と再感染を抑止するために、現地のDARTメンバーはリモートツールを利用して、Fabrikamのネットワークにアクセスし、管理者権限を用いてシステムを隔離するための緩衝地帯を構築した。

 このアプローチにより、ウイルス対策ソフトウェアによるEmotetの除去に向け、同マルウェアを隔離できるようになった。Microsoftは同時に、ウイルス対策ソフトウェア向けに同マルウェアのシグネチャーをアップロードし、Emotetの根絶に乗り出した。

 さらに、現地でリバースエンジニアリングを担当していた技術者たちは、被害環境の復旧に向け、「Microsoft System Center Configuration Manager」を修復した。

 Microsoftは、Fabrikamがベストプラクティスに準拠せず、電子メールフィルターによる社内メールのスクリーニングを怠っていた結果、警告が発せられる隙もないまま社内でのEmotetのまん延を招いたと指摘している。もしもFabrikamが社内メールのスクリーニングを実施していれば、攻撃が始まる前に管理用のディレクトリーを守るだけの貴重な時間を得られていたはずだ。

 Microsoftはこのような攻撃に対処する手段として、多要素認証の利用などを挙げた。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    従来型のセキュリティでは太刀打ちできない「生成AIによるサイバー攻撃」撃退法のススメ

  2. セキュリティ

    マンガでわかる脆弱性“診断”と脆弱性“管理”の違い--セキュリティ体制の強化に脆弱性管理ツールの活用

  3. セキュリティ

    クラウドセキュリティ管理導入による投資収益率(ROI)は264%--米フォレスター調査レポート

  4. セキュリティ

    情報セキュリティに対する懸念を解消、「ISMS認証」取得の検討から審査当日までのTo Doリスト

  5. セキュリティ

    ISMSとPマークは何が違うのか--第三者認証取得を目指す企業が最初に理解すべきこと

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]