パスワード付きzip添付ファイルが危ない？

こんにちは、ロシア製アンチウイルスソフトベンダーDoctor Webの日本法人代表をやっております森 周です。
日本ではAndroid用のアンチウイルスでは高いシェアを頂いたり、ウイルスレポートがたまにニュースに出たりしているので、その件で「Dr.Web」という名前を知っている方もいるかもしれません。

このコラムでは、アンチウイルスの仕事に従事する者として感じたことをサイバー攻撃に関係するニュースなどをネタに徒然に思うことを書いていこうと考えています。

さて、このコロナ禍の影響でテレワークに切り替える企業が多くなりました。その影響があってか、２～3月頃にはサイバー攻撃が減少しました。たぶん、このおとなしかった期間中に、犯罪者集団はテレワークになった企業から情報を盗み出すのに、どんな手を使おうかと作戦を立てていたのではないかと考えています。それか、犯罪者自身もリモートワークの環境を整えていたのかも知れません。

そういうわけで、犯罪者のリモート環境が整ったのか、それともリモートワークに向いた攻撃手段を生み出せたのがきっかけとなったのかは定かではありませんが、4月からまた活動が活発になってきました。

そんな中、マルウェア「Emotet（エモテット）」に新たな手口が見つかったというニュースが配信されました。

「Emotet」対策でパスワード付きzip添付ファイルのブロックを推奨 - 米政府｜SecurityNEXT

マルウェア「Emotet」の新たな攻撃手法を確認、パスワード付きZIPファイルで検出回避｜INTERNET Watch

このウイルスは昔から存在していて、今でも元気に頑張っているウイルスです。去年からは特に大流行していたのですが、今年の6、7月頃からまた活発になってきています。今回はこのEmotetについて書いてみます。

■Emoteとは何か？
Emotetは、外部から受信したメールの内容を盗聴し、内容をまねたメールを、送信元を偽装してあたかも本物のように送信します。つまり、なりすましメールですね。メールには、不正なURLが書かれていたり、Wordに偽装したファイルが添付されていたりします。

昔は拡張子の偽装ができなかったため、添付ファイルの拡張子は.exeのままでした。まあ、怪しんでくれと言っているようなものなので、そう被害は多くはならなかったのですが、最近では.docや.docxなどの拡張子に偽装できるようになりました。

つまり、添付ファイルの実態は拡張子を変えただけの.exeファイルなので、実行してしまえばプログラムが動いてEmotetに感染させられてしまうということになります。
感染すると、PC内部の情報や、そのPCがつながっている会社のネットワークに入り込んで取引先などの情報を盗み出します。さらにその情報を使って、正規のメールを装って取引先にウイルスメールを送り付ける、という流れになります。

■Emotetは大企業へ侵入するための足場づくりで大活躍
もともと、なりすましメールは、ウイルスに感染させる手段としてとても有効な手段として使われることが多いです。例えば楽天クレジットなどの有名なサービスに成りすました詐欺メールなんかはみなさんも見たことがあると思います。また、今年の6月には本田技研でなりすましメールからウイルスが社内に入り込んでしまったことで、生産ラインが停止してしまったという事件がありました。

どういった企業が狙われるのか、といえばやはり大手企業ですが、ネットワークの入り口から出口まで、セキュリティ対策がしっかり施されているところに侵入するのはなかなか大変です。そこで最近は、大企業と取引をしている中小企業を狙うようになっています。

場当たり的に見える犯罪者たちですが、実は時間をかけてしっかりと下調べをしています。もちろん、彼らも日銭は別で稼がなくてはならないので、場当たり的に攻撃を仕掛けることはありますが、やっぱり一獲千金を狙って、大企業に入り込むための突破口を探しています。

最近、中小企業が狙われることが増えたのは、セキュリティの知識や設備不備などで脆弱な環境になりがちの中小企業を経由すれば、大企業への侵入が簡単になります。
条件に合う中小企業を日夜探し、丁度いい中小企業を見つければ、Emotetなどのウイルスを送り込んで足がかりにする、ということを繰り返しています。

■Emotetの新しい手口でユーザーが気を付ける必要が出てきた
従来にはない、パスワードを掛けたZIPファイルが利用されたケースが見つかりました。

日本の企業のほとんどが、添付ファイルを送る際はZIPにしてパスワードロックを掛けるという運用をしています。
当社の製品であれば、ZIP（暗号化）されたファイルでも、中身のウイルス検知は可能ですが、他のウイルス対策ソフトのほとんどはそれができません。
なので、ユーザーがそのことを知らず、正規のメールだと思い込んでファイルを実行してしまえば、あっという間に感染してしまうということになります。

つまり、ZIPファイル自体が偽装の可能性が高くなったということになりますので、ユーザー自身が意識しなくてはならないという課題が突き付けられました。

ところで、パスワードを掛けたファイルをメールで送るその前後にパスワードを送っているということがよくあります。私はこの運用はあまり意味をなしていないと考えています。
そもそも、ファイルを盗まれてしまった時点でメールはずっと監視されているわけで、そのパスワードが書かれたメールも盗聴されているということになります。事前に取り決めていたとしても、中長期でメールを監視されていることもあります。
そういうわけで、ぶっちゃけ当社ではパスワード付きZIPはやっていません。
（ファイルだけが独り歩きしてしまった場合を考えれば、パスワード付きファイルは無駄ではないとは思っています。）

■まとめ
先ほども書いたように、日本の企業は添付ファイルにパスワードロックを掛けましょうとか、ZIPにパスワードを掛けましょうと言う運用を推奨している企業がほとんどです。特に大手はそうですね。

米国で見つかった手口ですが、今後、国内でも使われる可能性があります。そうなればメールでのファイルのやり取りをどうするかで困る企業は多く出てくると思います。
この手法がどれほど日本国内で広がるのか、被害率はどの程度になるかはこれから見ていくしかありませんが、日本全体で運用を変えなければいけないという事態になるかもしれません。

今後、私たちは日本企業のセキュリティ運用として何が正しいかをご提案しなくてはならないと考えています。とはいえ、いろんな事情を考えれば、別にいますぐZIP×パスワードの運用を止めろと言う提案をするつもりはありません。
これから見直すべきタイミングが来たときには、DLPとか、ファイル共有システムを使うのがいいのか？それともメールサーバを含めたネットワーク側の防御を多層化するのが良いのか？あるいはそれ以外の方法があるのか？いろんな手段から考えていきたいですね。