第82話 知ってそうで知らないランサムウェアとエモテットの違い。

ランサムウェアとエモテットの特徴

昨年流行したランサムウェアとエモテットの2022年型については下記の特徴がある。

ランサムウェア2022
対象：境界機器
脆弱性：既知の脆弱性
対策：アタリマエ対策

エモテット2022
対象：Windows PC
脆弱性：ゼロデイ
対策：多層防御

既知の脆弱性を突いたランサムェア2022

警視庁の報告書によるとランサムウェア2022の感染経路の８割以上が境界機器（ネットワーク機器や公開サーバのこと）の脆弱性をついたものだった。
メールによる感染は１割満たず、2022型に関しては、境界機器の脆弱性を突いた攻撃と考えて良い。

令和５年３月16日 警 察 庁 令和４年におけるサイバー空間をめぐる脅威の情勢等についてhttps://www.npa.go.jp/publications/statistics/cybersecurity/data/R04_cyber_jousei.pdf

放置されたWindows ServerのRDPポート

リモートデスクトップの脆弱性については、認証の脆弱性を突いたと報告されている。ただし具体的な感染事例を調べていくと、これは社内PCへの外部からのリモートデスクトップ接続ではなく、公開Windows ServerにRDPポートが開けたままになった点を突かれたケースが大半であると考えられる。
このため対策は
・社内PCのリモートデスクトップ接続の認証強化
ではランサムウェア2022にはほとんど効果がない。（そもそも社内のPCへのリモートデスクトップ接続において、社員のPCにグローバルIPを与えて外部から接続させる構成を採用している企業はほぼ皆無だろう）
ランサムウェア2022のリモートデスクトップ攻撃については
・システム管理者が忘れている「Windows Serverの開いたままのRDPポート」を調査して閉める
が最も効果的な対策となる。

最優先なアタリマエ対策

このようにランサムウェアの対策は「アタリマエ対策」が最も最優先で行われるべきことだ。

アタリマエ対策：
１.セキュリティパッチの更新適用
２.不要ポートの閉鎖

Windowsのゼロデイを突いたエモテット2022

エモテット2022は、巧妙なメールでユーザに添付ファイルをクリックさせてPCをマルウェアに感染させる攻撃だ。
これはWindows PCのゼロデイの脆弱性を突いた攻撃と言える。

https://www.jpcert.or.jp/at/2022/at220006.html 　　https://www.trendmicro.com/ja_jp/jp-security/22/k/securitytrend-20221114-01.html

セキュリティパッチ配布で鎮火

セキュリティパッチ（Windows Defender）によりエモテットの対策が配布されてからは、感染は激減している。上記グラフでは６月に第２波があったことがわかるが、感染端末はほとんど発生していない。これはこのセキュリティパッチが功を奏したと考えられる。

https://twitter.com/nekono_naha/status/1519249788528902144?s=20

ゼロデイ攻撃に対して効果的な対策は多層防御である。多層防御に関してはまた別の機会に解説を行う。