第82話 知ってそうで知らないランサムウェアとエモテットの違い。
ランサムウェアとエモテットの特徴
昨年流行したランサムウェアとエモテットの2022年型については下記の特徴がある。
既知の脆弱性を突いたランサムェア2022
警視庁の報告書によるとランサムウェア2022の感染経路の8割以上が境界機器(ネットワーク機器や公開サーバのこと)の脆弱性をついたものだった。
メールによる感染は1割満たず、2022型に関しては、境界機器の脆弱性を突いた攻撃と考えて良い。
放置されたWindows ServerのRDPポート
リモートデスクトップの脆弱性については、認証の脆弱性を突いたと報告されている。ただし具体的な感染事例を調べていくと、これは社内PCへの外部からのリモートデスクトップ接続ではなく、公開Windows ServerにRDPポートが開けたままになった点を突かれたケースが大半であると考えられる。
このため対策は
・社内PCのリモートデスクトップ接続の認証強化
ではランサムウェア2022にはほとんど効果がない。(そもそも社内のPCへのリモートデスクトップ接続において、社員のPCにグローバルIPを与えて外部から接続させる構成を採用している企業はほぼ皆無だろう)
ランサムウェア2022のリモートデスクトップ攻撃については
・システム管理者が忘れている「Windows Serverの開いたままのRDPポート」を調査して閉める
が最も効果的な対策となる。
最優先なアタリマエ対策
このようにランサムウェアの対策は「アタリマエ対策」が最も最優先で行われるべきことだ。
Windowsのゼロデイを突いたエモテット2022
エモテット2022は、巧妙なメールでユーザに添付ファイルをクリックさせてPCをマルウェアに感染させる攻撃だ。
これはWindows PCのゼロデイの脆弱性を突いた攻撃と言える。
セキュリティパッチ配布で鎮火
セキュリティパッチ(Windows Defender)によりエモテットの対策が配布されてからは、感染は激減している。上記グラフでは6月に第2波があったことがわかるが、感染端末はほとんど発生していない。これはこのセキュリティパッチが功を奏したと考えられる。
ゼロデイ攻撃に対して効果的な対策は多層防御である。多層防御に関してはまた別の機会に解説を行う。
この記事が気に入ったらサポートをしてみませんか?