Emotetの防ぎ方
こんにちは。ネットワークソリューション特集 編集部です。
今回は、Emotetの防ぎ方についてご紹介します。
先月から感染が急増しており、ピーク時の5倍を観測されてます。
Emotetとは
マクロ付きのExcelやWordファイルでパスワード付きZIPファイルとしてメール添付されファイルを開封後にマクロを有効化する操作を実行することでEmotetの感染します。パスワードZIPだとメールゲートウェイでマルウェアスキャンが出来ないためスルーされて受信されます。
メール本文中のリンクをクリックすることでマルウェアファイルがダウンロードされたり、アプリケーションのインストールを装いEmotet感染を狙うケースもあります。
怪しい送信元(特に取引先国以外のドメイン等)のメールは破棄する、Officeファイルのマクロ機能を無効にすればある程度は軽減します。
最近のマルウェアはランサムウェア型(ファイルを暗号化して金銭を要求する)が多いので業務停止のリスクもあります。
UTM機器のIPS、AV機能で防ぐ
UTM機器のIPS、AV機能のシグネイチャ対応で防止します。
ZIP暗号化ファイルや未知の攻撃は防げません。
メールゲートウェイセキュリティで防ぐ
送信元偽装、有害ドメインからのメール、非暗号化添付ファイル、メール内のURLはメールゲートウェイで防止します。企業によっては暗号化ファイルは破棄処理するところもあります。
しかし、PPAP(パスワード付きzipファイルと、そのパスワードを別送する)等の暗号化添付ファイルの場合はマルウェアスキャンが出来ないため防ぐことが出来ません。
そのため、メールゲートウェイでは本文中のURL無害化(リンクの削除、テキスト化、改変等)を実施してユーザがクリックしてもマルウェアがダウンロードしないように対策を行います。
DNSセキュリティで防ぐ(SASE)
添付ファイルのマクロ実行、メール内のURLクリックで悪意のあるドメインをDNSセキュリティで認識してアクセスブロックして防止します。
定期的に悪意のあるドメインは収集されていますがリストにないドメインは迂回されてしまいます。カテゴライズされていないドメインをブロックする等の運用も必要です。
SWG(セキュアウェブゲートウェイ)で防ぐ(SASE)
添付ファイルのマクロ実行、メール内のURLクリックで悪意のあるドメインをSWG(セキュアウェブゲートウェイ)認識してアクセスブロックして防止します。
SWGもDNSセキュリティと同じく定期的に悪意のあるドメインは収集されていますがリストにないドメインは迂回されてしまいます。カテゴライズされていないドメインをブロックする等の運用も必要です。
クラウドストレージで防ぐ
メール添付ファイルの代わりにBox、OneDrive、Googleドライブ、Sharepointなどクラウドストレージへアップロードしてファイルをやり取りします。
この対策はメール内のURLクリックでのマルウェアダウンロードは防げません。
まとめ
Emotetの防ぎ方のまとめです。
- メールゲートウェイセキュリティで防ぐ
- DNSセキュリティで防ぐ
- SWG(セキュアウェブゲートウェイ)で防ぐ
- クラウドストレージで防ぐ
- Emotetの防ぎ方はランサムウェア対策にも有効
エンドポイントのマルウェア対策が基本ですが1つのセキュリティ対策で終わりではなく今の時代は多層防御が重要です。
攻撃側の手法も巧妙になってきており、1つのセキュリティ対策だと防ぎきれません。
今回はEmotetの防ぎ方についてご紹介しました。
