【転載】いわゆる「ホワイトハッカー」と呼ばれる人たちの実態

いわゆる「ホワイトハッカー」と呼ばれる人たちの実態【海外セキュリティ】:


 バグ報奨金プラットフォームの米Bugcrowdは、自社のプラットフォームに参加している、いわゆる「ホワイトハッカー」を対象に行なった実態調査の結果を「2020 Inside the Mind of a Hacker Report」として公開しました。

 なお、この報告書では「security researcher」「ethical hacker」「hacker」という用語を、日本で一般的に使われる「ホワイトハッカー」の意味で使っています。また、Bugcrowdも報告書内で明言していますが、あくまでBugcrowdのプラットフォームに参加しているホワイトハッカーを対象とした調査に過ぎないので、必ずしも世界中の全てのホワイトハッカーの傾向を示すものとは限らないことに注意が必要です。

 調査に回答したのは計3493人で、これをBugcrowdは以下の3つに分類しています。

  • 8% Elite - Bugcrowdのプラットフォームにおけるトップ500に入るハッカー
  • 41% Newcomers - Bugcrowdのプラットフォームに登録して12カ月以内のハッカー
  • 51% Regulars - NewcomersでもEliteでもないハッカー
fig1_l.png
(Bugcrowd「2020 Inside the Mind of a Hacker Report」より)
まず「ホワイトハッカー」の属性を紹介する前に、Bugcrowdのプラットフォームにおける報奨金の流れを紹介します。以下の図が示すように、報償金を支払っているのは圧倒的に米国の企業や組織が大多数を占めていますが、受け取る側はインドと米国が他を圧倒している状況が分かります。

loading.png
(Bugcrowd「2020 Inside the Mind of a Hacker Report」より)
次に、回答者が居住している国のトップ10です。居住地は全体で109カ国に渡っているようですが、トップ10内ではアジア太平洋地域の多さが目を引きます。また、先ほど紹介した、報償金の受け取り側でインドと米国がトップ2を占めているのはこの結果を反映しているのでしょう。

  1. インド
  2. 米国
  3. パキスタン
  4. バングラデシュ
  5. インドネシア
  6. 英国
  7. エジプト
  8. オーストラリア
  9. ネパール
  10. ドイツ
回答者の特徴として以下の3点が挙げられています。

  • 3分の1が複数の国籍を有している。
  • 14%が米国のパスポートを持つ権利を有している。
  • 複数の国籍を持つ者のほとんどが今も生まれた国に住んでいる。
話せる言語の数は以下の通り。2カ国語以上を話せるのが当たり前のようです。

loading.png
(Bugcrowd「2020 Inside the Mind of a Hacker Report」より)
生活環境について「都市(Urban)」「郊外(Suburban)」「田舎(Rural)」の3つに分けた結果が以下の図です。この結果についてBugcrowdは、都市やその近郊に限らず、どこでもホワイトハッカーの仕事ができることを示していると述べています。

loading.png
(Bugcrowd「2020 Inside the Mind of a Hacker Report」より)
また、日光を目にする時間を尋ねた結果が以下の図です。3時間以下と回答した29%は夜行性というハッカーに対するステレオタイプのイメージ通りの人たちということでしょう。

loading.png
(Bugcrowd「2020 Inside the Mind of a Hacker Report」より)
これらの結果をBugcrowdは「Hackers speak multiple languages and live in sunny urban areas(ハッカーは複数の言語を話し、日の当たる都市部で生活している)」とまとめています。

 ちなみに、ハッカーに対する周りからのイメージを尋ねた結果は以下の通り。

loading.png
(Bugcrowd「2020 Inside the Mind of a Hacker Report」より)
一方、実際の自分たちのイメージを尋ねた結果は以下の通り。

loading.png
(Bugcrowd「2020 Inside the Mind of a Hacker Report」より)
報告書ではさらに回答者の詳細についても調べています。

 まず、人種を尋ねた結果は以下の通り。居住地にアジア太平洋地域が多いことを反映した結果になっていると考えられます。

loading.png
(Bugcrowd「2020 Inside the Mind of a Hacker Report」より)
年齢層は以下の通り。半数以上が24歳以下、つまり1990年代半ば以降に生まれた、いわゆる「Generation Z(Z世代)」の若者との結果になっています。

loading.png
(Bugcrowd「2020 Inside the Mind of a Hacker Report」より)
なお、性別は男性94%、女性6%で、男性が圧倒的に多い結果になっています。

 本人と親の学歴を尋ねた結果は以下の通り。親子の学歴の相関関係を全く分析していないようですが、Bugcrowdは「Hackers are degree-qualified and come from scholarly families(ハッカーは学位を持ち、学問的な家の出身である)」とまとめています。

本人
大卒 49% 36%
高卒 25% 22%
大学院卒 19% 19%
高校中退 7% 23%
家族(世帯)の人数を尋ねた結果は以下の通り。一般的に家族の人数が多いインド(平均4.9人)の回答者が多かったこともあるのでしょうが、それでも米国の平均家族数2.52人(2019年)と比べるとかなり多めな結果になっています。

loading.png
(Bugcrowd「2020 Inside the Mind of a Hacker Report」より)
ハッカーにとって最も重要な問題は何かとの質問に対する回答を、回答者の区分「Regulars」「Elite」「Newcomers」で分けた結果は以下の通り。概ね均一にばらけているとも言えますが、どの区分でも「金を稼ぐこと」が最も多いのが目を引きます。

loading.png
(Bugcrowd「2020 Inside the Mind of a Hacker Report」より)
さらに踏み込んで「neurodiversity(ニューロダイバーシティ)」についても尋ねています。その結果、13%が、統合運動障害、失読症、注意欠陥/多動性障害(AD/HD)、計算力障害、自閉症スペクトラム、トゥレット症候群といった明確な神経発達状態を経験していると回答し、また、その半数近い6%がAD/HDであると回答しています。この結果を多様性の観点も含めてBugcrowdは極めて肯定的に捉えており、さらに「Hackers are empathetic and have extraordinary pattern recognition and memory skills(ハッカーは共感力があり、並外れたパターン認識力と記憶力を持っている)」とまとめています。しかし、このような多様性を肯定的に捉えること自体はもちろん良いのですが、Bugcrowdの捉え方には極端で正確性に欠けるところがあるのは気になります。

 次に、スキルを身に付ける方法を尋ねた結果は以下の通り。プロの指導によるものが13%だけというのは少々残念ですが、さもありなんとも思える結果ではあります。

loading.png
(Bugcrowd「2020 Inside the Mind of a Hacker Report」より)
最も強みのあるスキルについて尋ねた結果は以下の通り。「Web Application Testing」が他の追随を全く許さない圧倒的な多さで極端に偏っているのは(理解できなくはないですが)少し気になります。

loading.png
(Bugcrowd「2020 Inside the Mind of a Hacker Report」より)
ハッカー間の連携の状況を、回答者の区分「Regulars」「Elite」「Newcomers」で分けた結果は以下の通り。どの区分でも「連携したことはないが、今後は連携したい」が圧倒的に多い結果になっています。「連携したことはなく、今後も連携しない」との回答がどの区分でも15%前後いるのは少々気になるところです。

loading.png
(Bugcrowd「2020 Inside the Mind of a Hacker Report」より)
ハッキングに費やす時間帯は以下の通り。ステレオタイプのイメージ通りかもしれませんが「夜(正確には夕方以降)」が圧倒的に多いようです。

loading.png
(Bugcrowd「2020 Inside the Mind of a Hacker Report」より)
この12カ月で行ったことを、回答者の区分「Regulars」「Elite」「Newcomers」で分けた結果は以下の通り。どの区分でも最も多いのは「サイバーセキュリティと最新の侵害に関するニュースをフォロー」となっていますが、あまりに当たり前のことなので無視するとして、Eliteで「オリジナルのリソースを使ったハッキングの方法を他人に教えた」が多く、また、どの区分でも半数以上が「ハッキングに関連したソーシャルグループやコミュニティグループに参加」しているのは注目に値します。特にグループへの参加が半数以上との結果は、先述の「他のハッカーと連携したことがない人が多い」との結果とは対照的な印象を受けます。

loading.png
(Bugcrowd「2020 Inside the Mind of a Hacker Report」より)
回答者らの考えについては以下の3点が挙げられています。

  • ハッカーの78%は、今後10年間はAIによるサイバーセキュリティだけではサイバー攻撃を打ち負かすのに十分ではないと述べている。
  • ハッカーの93%は、エンドユーザーと彼らが働いている組織のウェルビーイング(幸福)を気にしている。
  • ハッカーの87%は、自分たちが発見できるほど多くの重要または未知の資産を脆弱性スキャナーでは発見できないとしている。
繰り返しになりますが、今回の調査はあくまでBugcrowdのプラットフォーム上で活動している人たちのみを対象にしており、必ずしも全世界の「ホワイトハッカー」の傾向を示すものではありません。実際に回答者の居住地域に偏りがあることが結果に大きく影響していることは否めませんし、そもそも正直に回答している保証もありません。

 それでも、3000人を超えるホワイトハッカーに対して踏み込んで調査した結果にはそれなりに意味があると言えるでしょうし、中でも人種や居住地などの多様性の観点では(内訳の割合は別として)十分に興味深い結果となっています。なお、報告書では何人かのホワイトハッカーに個別にインタビューした写真付きの紹介文も掲載されているなど、今回紹介していない内容も報告書にはまだ多くあります。図が多用されていて比較的読みやすい作りになっていますので、興味のある方はぜひ原文もご覧ください。

【転載】銚子電鉄、「まずい棒」チーズ味をリニューアル 9月上旬から発売

銚子電鉄、「まずい棒」チーズ味をリニューアル 9月上旬から発売:

97e5deecd925557d891906ebd3c8a995.jpg

銚子電気鉄道は、「まずい棒」チーズ味の味とパッケージをリニューアルして、9月上旬に発売を開始する。 「まずい棒」は「(経営状態が)まずい」にちなんで、2018年8月より発売している菓子。これまでに、「コーンポタージュ味」 […]

投稿 銚子電鉄、「まずい棒」チーズ味をリニューアル 9月上旬から発売TRAICY(トライシー) に最初に表示されました。

【転載】Emotet関連情報収集時のキーワード「emotet OR エモテット OR エモテット OR えもてっと OR "不審メール" OR "ばらまきメール" OR なりすましメール」

Emotet (Part 2/3) : 捕まるもんなら捕まえてみな! | Bromiumブログ



普段、Emotet関連の情報収集するのに、こんな検索で見てます。 「emotet OR エモテット OR エモテット OR えもてっと OR "不審メール" OR "ばらまきメール" OR なりすましメール」 ここ数日は日本の被害情報で酔わんばかり…。 日本でemotetが知れ渡っているのは良いことだけど。: 普段、Emotet関連の情報収集するのに、こんな検索で見てます。



「emotet OR エモテット OR エモテット OR えもてっと OR "不審メール" OR "ばらまきメール" OR なりすましメール」



ここ数日は日本の被害情報で酔わんばかり…。

日本でemotetが知れ渡っているのは良いことだけど。


【転載】Emotetがトレンドマイクロを騙ったメールをばらまく

f:id:SugitaMuchi:20200903085500p:plain

【注意喚起】Emotetがトレンドマイクロを騙ったメールをばらまく:



トレンドマイクロを騙ったメールについて



[2020-09-03 12:00追記]

本件に関して、トレンドマイクロ社がサポート情報を出したようです。



さて、本題に入りますが、ブログのタイトルにあるように2020-09-03 06:35:29から、トレンドマイクロを騙ったEmotetの感染を狙ったメールがばらまかれていることを観測しています。

f:id:SugitaMuchi:20200903084732p:plainトレンドマイクロを騙ったメールの観測履歴

以下に、観測したメールを示します。
f:id:SugitaMuchi:20200903085500p:plainトレンドマイクロ・サポートセンター満足度アンケート調査 ご協力のお願い
f:id:SugitaMuchi:20200903085622p:plainトレンドマイクロ・カスタマー満足度アンケート調査 ご協力のお願い

※上記に示したメールには無いような添付ファイル名のものがあるという情報も入っていますので、注意が必要です。

【転載】セキュリティ製品の自社導入事例をプレスリリースするのは、個人的には「やってはいけない」こと。

cover_news037.jpg

協和エクシオが自社グループのCSIRT体制を強化、決め手は何か:

協和エクシオは2020年9月3日、自社のCSIRT(Computer Security Incident Response Team)である「EXEO-SIRT」を強化するため、日本アイ・ビー・エム(以下、日本IBM)のセキュリティ製品を採用したと発表した。
 協和エクシオは2019年7月にEXEO-SIRTを立ち上げ、同年12月には「日本シーサート協議会」に加盟した。同社は、セキュリティ施策の方針として「見守るセキュリティー」を掲げている。日本IBMによると、見守るセキュリティーは、業務上のセキュリティ制限を緩和する代わりに、サイバー攻撃などからIT資産を保護するための、監視や防御機能を強化する取り組みだという。
EXEO-SIRTに新たに採用された日本IBMのセキュリティ製品は2つだ。「IBM Security QRadar SIEM」(以下、QRadar)は、セキュリティ情報のイベントを管理するSIEM(Security Information and Event Management)である。「IBM Security Resilient SOAR platform」(以下、Resilient)は、インシデント対応管理プラットフォームであるSOAR(Security Orchestration, Automation and Response)だ。
 QRadarは、セキュリティ製品やネットワーク機器、各サーバから収集したイベントログを統合管理するシステムだ。潜在リスクや発生しているインシデントを分析し、具体的な脅威を把握できる。同製品は、ネットワークフローからも不審な振る舞いを検知し、サイバー攻撃や内部不正、情報漏えいといったリスクの識別を支援する。
 Resilientは、監視機器やセキュリティ製品と連携し、インシデントを一元的に管理するプラットフォームだ。「プレイブック」と呼ばれる運用フローを作成することで、類型化されたインシデントに自動で対応する。日本IBMによると、プレイブックはインシデント状況に応じて動的に更新されるという。
 協和エクシオは、今後「見守るセキュリティー」を発展させて培ったスキルやノウハウを基に、サービスを提供する予定だ。

【転載】決して信頼せず、常に検証:ゼロトラストのセキュリティモデル

決して信頼せず、常に検証:ゼロトラストのセキュリティモデル:









近年、組織の間で「ゼロトラスト」モデルの採用が広がりつつあります。2019年のデータによると、情報セキュリティチームの78%が、このモデルを導入済み、または移行の計画を進めています(英語)。今回は、ゼロトラストの概念を説き明かし、企業にとって魅力的である理由を明らかにします。

境界がなくなる

「境界セキュリティ」は企業インフラの保護で使われる一般的な用語で、インフラ外から企業のリソースに接続しようとするありとあらゆる試みを徹底的にチェックして封じ込めることを指します。基本的な考え方は、企業ネットワークと外界との間に境界を設けることです。境界の内側、つまり企業ネットワークの内部は信頼ゾーンとなり、その中のユーザー、デバイス、アプリケーションにはある程度の自由が与えられます。

信頼ゾーンの範囲が、ローカルネットワークとそこに接続する固定デバイスに限られていたころ、境界セキュリティは有効でした。ところが、モバイルデバイスの数が増え、社員によるクラウドサービスの利用が増えたことで、「境界」という概念が不明瞭になりました。最近では、企業リソースのうち少なくとも一部は社外に、場合によっては海外に置かれています。壁を高くして守るのは、まるで現実的ではありません。信頼ゾーンに侵入して自由に動き回ることは、格段に容易になっています。

2010年、Forrester Researchの主任アナリストであるジョン・キンダーバグ(John Kindervag)氏が、境界セキュリティに代わるものとして提唱したのが、ゼロトラストの概念です。境界の外部と内部という区別をやめてリソースに集中しようという提案でした。ゼロトラストとは要するに、信頼ゾーンというものを一切なくすことです。ゼロトラストモデルでは、ユーザー、デバイス、アプリケーションが、企業リソースへのアクセスをリクエストするたびにチェックを受けます。

ゼロトラストの実際

ゼロトラストに基づくセキュリティシステムの導入に、1つに決まったアプローチがあるわけではありません。とはいっても、そうしたシステムの構築に役立つ中核的な原則はいくつか挙げることができます。

アタックサーフェスではなく保護サーフェス

ゼロトラストの概念で一般的に語られるのは「保護サーフェス」です。保護サーフェスには、機密データ、インフラのコンポーネントなど、組織が不正アクセスから保護すべきものがすべて含まれます。保護サーフェスはアタックサーフェスよりかなり小さいのですが、これは、アタックサーフェスには脆弱性が潜在するインフラ資産、プロセス、関係者がすべて含まれるためです。したがって、保護サーフェスの安全を確保するほうが、アタックサーフェスをゼロにするより容易です。

マイクロセグメント化

境界外部での防御に備える従来のアプローチとは異なり、ゼロトラストモデルは、企業のインフラやその他リソースを小さいノードに分解します。ノードの構成要素は、1台のデバイスや1つのアプリケーションといった小さな単位になることもあります。結果として極小な境界がいくつも生まれ、そのそれぞれにセキュリティポリシーとアクセス権限が割り当てられます。そのため、アクセスの管理を柔軟に行えるようになり、企業ネットワーク内で脅威が無制限に拡散するのを阻止することができます。

最小権限の原則

各ユーザーには、それぞれの業務の遂行に必要な権限しか付与されません。したがって、個々のユーザーアカウントがハッキングされても、侵害されるのはインフラの一部だけで済みます。

認証

ゼロトラストの原則では、企業情報にアクセスしようとする試みはすべて、安全が確認されるまで潜在的脅威として扱う必要があります。そのため、セッションごとに、各ユーザー、各デバイス、各アプリケーションは認証手順を通過し、該当するデータへのアクセス権があることを証明しなければなりません。

総合的な管理

ゼロトラストを効果的に導入するために、ITチームは業務用のあらゆるデバイスとアプリケーションを管理できる必要があります。エンドポイントやインフラの他のコンポーネントで何かが起きるたびに、その情報を記録し分析することも必須です。

ゼロトラストの利点

業務のモバイル化が進むにつれて境界は不明瞭になる一方ですが、ゼロトラストはそんな境界の保護を不要にするだけでなく、別の問題も解決します。特に、プロセスを実行するものを何度でもチェックすることから、たとえば、社員の退職や職責変更といった場合にアクセス権の停止や調整で対応するなど、変化に適応しやすくなります。

ゼロトラストを導入する際の課題

ゼロトラストに移行しようとしても、組織によっては時間がかかり、困難が伴う可能性があります。社員が会社の備品と個人のデバイスをどちらも業務に使用している場合、すべての備品をリストアップする必要があります。その上で、業務に必要なデバイスに関する企業ポリシーを設定し、リストにないデバイスからの企業リソースへのアクセスはブロックしなければなりません。複数の都市や国に拠点がある大規模企業になると、そのプロセスには時間がかかります。

ゼロトラストへの移行に順調に適応できるシステムばかりではありません。たとえば複雑なインフラが社内にある場合、現在のセキュリティ標準に対応できない古いデバイスやソフトウェアが残っている可能性があります。そうしたシステムの入れ替えにも、時間と費用がかかります。

フレームワークの変化に対する備えが、社員の側にできていない場合もあります。インフラのアクセス制御や管理を担うことになるIT部門や情報セキュリティ部門のメンバーも、同様に備えができていない可能性があります。

以上の点を踏まえると、多くの場合、段階的なゼロトラスト移行計画が必要になると言えそうです。たとえばGoogleも、ゼロトラストに基づいたBeyondCorpフレームワークの構築に7年を要しました(リンク先は英語)。拠点が少ない法人組織であれば、導入期間が大幅に短くなるかもしれませんが、それでも数週間や数か月にまで短縮できるとは期待しない方がよいでしょう。

これからのセキュリティ、ゼロトラスト

このように、従来の境界セキュリティから移行して、ゼロトラストのフレームワークで保護サーフェスを確立するのは、利用可能なテクノロジーを駆使すると想定してもなお困難なプロジェクトです。エンジニアリングの点からも、社員の意識を変えるという点からも、容易にはいかず、時間もかかるでしょう。しかし、情報セキュリティ関連の支出が削減され、インシデントの発生数とそれに伴うダメージが抑えられるため、企業にとって利点があることは間違いありません。

【転載】Emotetの感染を狙ったメールに関する情報(2020-09-01観測) ~武漢ウイルスにはPCR検査、EmotetにはEmoCheck~

JPCERT/CC、Emotetの感染チェックツール「EmoCheck」を公開 - INTERNET Watch

Emotetの感染を狙ったメールに関する情報(2020-09-01観測):

個人で観測した内容(意見)をもとに記事を執筆していますので、偏りや誤りがある点についてはご了承ください。

どうもsugimuです。

※Twitterでも情報を公開しています。

Emotetの感染被害が拡大していることを受け、注意喚起を兼ねて直近の攻撃に関する内容について紹介していこうと思います。


目次

  • 日本語のEmotetの感染を狙ったメールの内容
  • 添付(ドキュメント)ファイルを開いた際に表示されるイメージ
  • 対策と感染した場合について
  • おまけ 2020-09-02から観測されているパスワード付きzipが添付されたメール
  • まとめ

2020-07-17にEmotetの感染を狙った攻撃が再開されて以降、日本国内の複数組織で感染被害を確認しています。



組織によっては複数のメールアカウントが侵害されていることや、ラテラルムーブメント(横展開、組織内での複数感染、などを意図)していることに気づいていない可能性がある組織も確認しています。



また、yahooやocn、plalaやbiglobe等で取得・払い出される個人メールアカウント所有のPC感染も複数確認しています。



ばらまきメール回収の会で活動をしているbom氏によると、2020-08-31よりJPドメインの感染端末からのメール送信が急増してきているとの報告もあります。



.jpの2020/08の #Emotet に感染しメール送信している数の推移

昨日から急増しています。
また、日本向けにメールが出ていなくとも、日本からメールが出てしまっている状態です。

組織内から感染端末がないか、メールが出ていないか、今一度ご確認ください。 pic.twitter.com/rixlrY1WQ8
— bom (@bomccss) 2020年9月1日


※ばらまきメール回収の会についてはこちらを参考するとよいでしょう。




本記事では、Emotetに感染した可能性やEmotetの感染を狙ったメールが届いていることに気づくためのきっかけづくりとして、2020-09-01に観測したEmotetの感染を狙ったメールのばらまき型と一部の返信型にフォーカスを当てて、件名・本文・添付ファイル名等を紹介しようと思います。

以降で紹介する内容のメールが届いた、メールの添付ファイルを開いてしまった、など心当たりがある場合は適切な対応が必要となってくると思われます。



例えば、Emotetに感染したままにしておくと、マルウェア付きメールを外部に送信する「加害者」となってしまう可能性があることや、
過去にやり取りしたメールが不正に収集されて情報が外部へ漏れてしまうこと、ランサムウェア被害に遭い業務が停止してしまうなどの可能性を孕んでいます。

受信したメールで特に注意が必要な点としては、取引先や実在する組織・個人、知り合いからメールが届く可能性もあるということです。




日本語のEmotetの感染を狙ったメールの内容

以下は「ばらまき型」と呼ばれるメールの内容となります。
f:id:SugitaMuchi:20200902094825p:plain詳細1
f:id:SugitaMuchi:20200902094657p:plain詳細2
f:id:SugitaMuchi:20200902094729p:plain詳細3

冒頭でも記載しましたが、これらは「ばらまき型」と呼んでいる部類のメールの内容となります。



上記以外にも、「返信型」と呼ばれるメールでは過去のメールでのやり取りに返信してくる形で、Emotetの感染を狙ったドキュメントファイルが添付されていたり、
メールの返信と誤認させるような内容でEmotetの感染を狙ったドキュメントファイルが添付されている場合を数多く確認しています。



以下は「返信型」と呼ばれるメールの一部の件名および添付ファイル名です。

※本文は実際のメールのやり取りの内容が含まれているため割愛しています。

f:id:SugitaMuchi:20200902225145p:plain詳細4
f:id:SugitaMuchi:20200902225204p:plain詳細5
f:id:SugitaMuchi:20200902225224p:plain詳細6

上記に示す「返信型」はファイル名に特徴があるため、返信されてきたメールに上記ファイル名のファイルが添付されていた場合は、注意が必要でしょう。

次に、「リンク型」と呼ばれるメールについてです。

「リンク型」では、メールにドキュメントファイルは添付されておらず、URLリンクが記載されています。

このURLリンクを開くことでEmotetの感染を狙ったドキュメントファイルがダウンロードされてきます。

ダウンロードされたファイルは実行しないように注意しましょう。



これらのメールの内容は、実際に不正に収集された内容が悪用されているケースも多いため、日本語的な内容に違和感がないものもあります。

そのため、メールの送信元情報や添付ファイル名等、様々な情報から判断する必要があります。。。

参考程度ですが、観測したメールの添付ファイル名をツイートしているので、同じようなファイル名が添付されたメールが届いていないか、などを確認するのも一つの手かと思われます。



画像1枚目、2枚目
2020-09-01 観測した #Emotet の感染を狙った添付ファイル名とその件数(上位140くらい)
※日本語ではない添付ファイル名も日本国内に着弾しています。

画像3枚目、4枚目#Emotet の感染を狙った #Maldoc のルアー

(5/5) pic.twitter.com/xpVkpZxvVr
— sugimu (@sugimu_sec) 2020年9月1日




添付(ドキュメント)ファイルを開いた際に表示されるイメージ

Emotetの感染を狙ったメールに添付されるファイルとしては、主にドキュメントファイルに関連付く拡張子の「.doc」「.docm」「.rtf」が存在することに加え、
パスワード付きの圧縮ファイル「.zip」も存在します。(.zipは、本記事を執筆している2020-09-02から観測)

パスワード付きの圧縮ファイル「.zip」は、本文に記載されたパスワードを使用して解凍すると、ドキュメントファイルが生成されます。

これらのドキュメントファイルを開くと以下に示すイメージが表示されることが多いです。

f:id:SugitaMuchi:20200902101025p:plainルアー1
f:id:SugitaMuchi:20200902101041p:plainルアー2

仮に、これらのイメージが表示されるドキュメントファイルを開いてしまった可能性がある、開いてしまった、など心当たりがある場合は、Emotetに感染した可能性があるため、適切な対処が必要となってきます。



また、これらのイメージは攻撃者の自由に変更することが可能だと思われ、今後さらに改良がくわえられて見た目や文言が変わっている可能性があることも留意が必要です。


対策と感染した場合について

全体的に言えることは、不審なメールの添付ファイルは絶対に開かないということです。

Emotetに限らず、過去にマルウェア感染の事例では不審なメールの添付ファイルを開いたことに起因しているインシデントが多いです。

「何をもって不審であると判断すればいいのか」という話もあると思いますが、Emotetの感染を狙った攻撃にフォーカスを当てていえば、
メールの内容に心当たりがない、添付ファイル名がおかしい、送信元が知らないメールアドレス、などを細かく確認し少しでも違和感を覚えたら添付ファイルを開かない。



セキュリティ機関が公開している情報等を確認し届いたメールの内容や添付ファイルが非常に似ているなどといった場合も、添付ファイルを開かない、など心がけるようにしましょう。

(当然、人によって不審の度合いも定義も違いますし、正規のメールを不審だと誤認してしまう可能性があることも理解はしていますので、とても難しい話だと思います。)

また、Emotetはメールの添付ファイルであるドキュメントファイルを開き「コンテンツの有効化」することで感染します。

「コンテンツの有効化」をすることによって、悪意あるマクロコードが実行されて外部からEmotetをダウンロード・実行されて感染してしまいます。

そのため、あらかじめマクロコードを無効化することによってドキュメントファイルを開いたとしても悪意あるコードが実行されないように設定をしておくのも一つの手です。

f:id:SugitaMuchi:20200902111227p:plainマクロの設定
マクロコード無効化の詳細な設定方法は以下の[ JPCERT/CC - IV. 対策 ]に記載があります。
www.jpcert.or.jp

自分の組織内の端末や自分が利用している端末のWordがこの設定になっていることを確認しておくといいかもしれません。

上述したこと以外にも、Emotetの感染を狙ったメールが届いた可能性がある、Emotetに感染した可能性がある、心当たりがある場合などは以下に示す記事を参考に対応を行うとよいと思われます。
blogs.jpcert.or.jp
www.ipa.go.jp

加えて、ばらまきメール回収の会で活動をしているbom氏のブログにも詳しく対応方法が記載されているため、参考にするとよいでしょう。
bomccss.hatenablog.jp

もし対応できない場合や大規模な感染が疑われる場合は、自身で対応せずに専門の機関等への相談も検討する必要があると考えます。

※ばらまきメール回収の会についてはこちらを参考するとよいでしょう。


おまけ 2020-09-02から観測されているパスワード付きzipが添付されたメール

2020-09-02からパスワードで保護されたzipファイルが添付されたEmotetの感染を狙ったメールを観測しています。

f:id:SugitaMuchi:20200902102830p:plainパスワード付きzipファイルが添付されたメール

パスワードは本文に記載されており、このパスワードを使って解凍すると上記で紹介したようなEmotetの感染を狙ったドキュメントファイルが生成されます。



この「パスワードで保護されている」ということが特に危険で、メールゲートウェイを導入していたとしてもウイルススキャンができないため、経路上で弾くことができずに端末使用者まで届いてしまう可能性が非常に高いです。

そのため、今後さらにEmotetの感染被害が増加する可能性があると考えらえれます。


まとめ

Emotetの感染を狙った攻撃は日々進化しています。

例えば、メール内で使用される日本語が自然になってきたり、添付ファイル名が日本語のものが増えたり、パスワード付きzipファイルを添付してメールゲートウェイをすり抜けようとしたり、、、

攻撃者は確実に日本組織や個人を狙っており、日本国内においても感染数が爆増しています。

いつ自分にもEmotetの感染を狙ったメールが届いてもおかしくない状況だと思います。



Emotetに感染すると攻撃者側へ過去にやりとりしたメール内容が不正に収集されてしまい、更なる感染拡大にそのメールの内容を悪用されてしまいます。

加えて、メールアカウントの認証情報も不正に収集されていることによって、正規のSMTPサーバとメールアカウントを悪用され感染拡大に加担してしまうことにもなります。

被害者だったはずが、知らぬ間にウイルス付きメールを世界中にばらまく加害者になってしまうということです。



さらにEmotet経由でランサムウェア被害に遭う組織も確認しており、被害状況によっては業務を停止せざるを得ない場合もあります。



Emotetは風邪のようなものです。

ある組織や個人から、関連する組織や個人へと感染を広げます。

取引先や知り合いなどにウイルス付きメールを送り付けることが無いように、今後も業務を継続していけるように、他人事と思わずに注意していきたいですね。