中堅中小企業狙い撃ちの猛威
2022年3月よりマルウェアEmotetの活動再開が確認され、多くの中堅中小企業で急速に感染が拡大しています。さらに大手企業が感染を発表するニュースも珍しくなくなってきました。Emotet は2020年にも猛威を振るいましたが、2021年11月頃から再び感染が増え始め、2022年3月には、Emotetに感染しメール送信に悪用される可能性のあるメールアドレス数が2020年の感染ピーク時の5倍以上に急増しています。
Emotetを操るランサムウェアギャングは多くの変種を生み出しました。これらのグループの目的は明確で、お金を稼ぐことです。Deep Instinct社のサイバーセキュリティ担当であるチャック・エベレット氏は、「2022年の2月と3月に日本企業を標的とした大規模なフィッシングキャンペーンが行われ、実際に感染が拡大しました」とレポートしています。
また、トレンドマイクロ社が発表している「2022年第1四半期におけるEmotet検出台数(地域別)」では、日本国内の検出台数は42,592件と報告されています。これは北米地域の約31倍に相当する件数で、日本の法人企業数を100万社とすると4.3%の企業で感染が確認されたということです。この結果だけでも、日本国内が明確な標的になっていることがわかるでしょう。
これまで、この種のメールはたどたどしい日本語で記述されていることが多かったため、一目で怪しいと判断できたのですが、今回のものは一目で判別することが困難です。会議開催依頼や賞与の連絡など、我々が日頃から目にする件名のメールで、本文の日本語も自然だからです。そのため、予定を常に確認している経営層や幹部の人たち、本社からの情報のほとんどをメールで確認している地方支店の社員たちは、疑いを持つことなく攻撃メールを開いて感染を広げてしまいます。
ひとり情シス企業は予算が厳しく、経営者の理解も得にくいうえに、日常のタスクに追われてひとり情シス自身の時間も取りづらいです。しかし、セキュリティのリスクは待ったなしです。ひとつひとつの防衛手段を実行するためには、情シス主導で対策方法を決定し、予算獲得を含めて社内で確認していく必要があるでしょう。そこで今回は、一般社団法人ひとり情シス協会が編集したひとり情シス列伝に登場している「後方支援型ひとり情シス」の吉成 功氏が実際に実施しているセキュリティ対策を報告します。
セキュリティ対策にはさまざまな方法がありますし、企業によりソシューションの向き不向きもあります。一つの対策事例としてご確認いただけますと幸いです。
Emotet対策、ひいてはセキュリティ対策には、下記の2点が必要だと思います。
①人的教育
②システム的な対策
また、これらの対策を実施できるように
③経営層対策
が必要だと考えます。今回は、この3点について説明します。
人的教育
●標的型メール訓練
擬似的な「標的型メール」をユーザーへ送信し、標的型メールへの対応を教育、訓練することは必須です。標的型メール訓練は1度で終わりではなく、定期的に繰り返し行いましょう。年に1回か2回、感染被害が拡大している状況ではさらに回数を増やしてもよいです。また訓練を行う際には、経営幹部数人とひとり情シス内に情報をとどめておきましょう。何月何日に標的型メール訓練をしますとあらかじめ全社に伝えてしまうと、訓練の意味がなくなってしまいます。さらに、所属する会社の繁忙期に合わせるなど、標的型メールを送信するタイミングにも工夫が必要です。
標的型メールを送る時は、事務連絡を通達する部門長や総務部長など、社員が衝動的に反応しそうな責任者のアカウントから発信します。メールの件名は、「賞与について」、「リモートワーク運用変更について」、「交通費精算について」、「ノートPC機種変更について」など、時節柄、気になる内容にすべきです。訓練開始後、情シスに来ている派遣さんが真っ先に引っかかってしまったという笑い話がありますが、社員が本気で騙されてしまうような件名を設定しましょう。Emotetを配布する人々には血も涙もありません。会社を壊滅に追い込みます。効果的な水際戦略を実行するためには、確実に訓練になる状況を設定しましょう。ただし、社外の顧客名や顧客名に類似している宛先から発信するのは避けた方が無難です。信憑性があり訓練には適しているかもしれませんが、訓練とは知らずに実際の顧客に連絡してしまうと顧客含めて大混乱になってしまう恐れがあります。
標的型メール訓練は、定期的にシナリオを変えて行うとより効果的で、自社のセキュリティのウィークポイントも炙り出すこともできます。これはCSIRT(Computer Security Incident Response Team)と呼ばれる、セキュリティ上の問題に起因した事故が発生した場合に対応する組織体の役割のひとつです。前もって訓練をしておくことで、実際にウイルス感染した場合の情報伝達の経路を確立するとともに、問題意識を経営陣に持ってもらい、セキュリティ関係の提案が通りやすい素地を作ることができます。可能であれば、社内CSIRTをきちんと構築、運用できるところまで持っていければ最高です。
しかし、会社によっては、セキュリティ投資に渋い経営層もいらっしゃるかと思います。その場合は、訓練のための環境構築を自作するところから考え始める情シスも少なくないでしょう。結論から言えば、自作もできなくはないと思います。しかし添付ファイルを開かせるにしろ、リンクをクリックさせるにしろ、その結果の統計を取るにはそれなりの技術知識が必要です。またメールアドレスを詐称する場合などは、社内システムが迷惑メールと判断しないように調整する必要があるため、メールに関する知識も必要でしょう。当然ですが、自前で構築するための工数も掛かってきます。標的型メール訓練サービスは意外と安価で提供しているところもあるので、自作を検討する前に既存のサービスを調べてみることをおすすめします。
●ウイルス感染のシミュレーション
セキュリティインシデントというものは突然やってきます。その時にどう対処するのか、どのような経路、判断で情報を経営層に上げるのかなど、その場しのぎの対応ではうまくいかないものです。実際にセキュリティインシデントが社内で発生したと想定して、社としてどのように対処するか、どのような経路で情報伝達をするかなどについて、経営陣を巻き込んで事前にシミュレーションしておきましょう。
