4段階防御もすり抜けるパスワードZIPファイルの実体
こちらのnoteは、セキュリティ専門家松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」4月20日の放送内容を一部抜粋しご紹介します
・今回の解説ニュース
・多層のセキュリティチェックもすり抜けるパスワード付きZIPファイル
・マルウェア感染したことは本人も周囲も気付かない?
今回の解説ニュース
複数のセキュリティ対策をしていたにもかかわらず、Emotetに感染したことが発表されています。セキュリティ対策をしていてもEmotetに感染してしまう原因と、感染後に被害を広げないための対策について説明します。
今回のインシデントは、従業員の使用するパソコン1台がEmotetに感染し、メール情報が窃取されました。調査会社によるログならびに端末に対する詳細調査により、当該端末に保存されていたメールアドレス、メール件名、メール署名の情報の流出を確認しています。また、顧客及び関係者からの情報提供で、メール本文についても流出したと判断しています。
対策として、感染が疑われるパソコンを特定し、ネットワークから遮断し、当該端末のフォレンジック調査を開始しています。再発防止策として、より強固なセキュリティ対策が見込まれるWebメールへの移行、クラウドストレージへ移行しPPAP運用を廃止、従業員への情報セキュリティ教育を強化し、不審メールの見分け方などの周知徹底を行うということです。
多層のセキュリティチェックもすり抜けるパスワード付きZIPファイル
Emotetは多層防御をすり抜けて、感染を広げています。原因として、パスワード付きZIPでセキュリティチェックがかけられていない現状が考えられます。
セキュリティの多層防御とは、情報資産を守るために複数の方法やレイヤーで行うセキュリティ対策です。ファイアウォールとIPS、ゲートウェイとエンドポイントなど、複数の方法やレイヤーで対策することで、ひとつのセキュリティを突破されても別の仕組みで防御を試みます。ただし、多層防御もマルウェア自体をセキュリティチェックにかけられることを前提としていることがほとんどです。セキュリティチェックの方法は様々ありますが、プログラムが動く状態か、動いている状態でないと、マルウェアであるかの判断をすることができません。その状態を阻んでいるのがパスワード付きZIPです。
パスワード付きZIPで圧縮されたファイルは暗号化されています。暗号化された状態のファイルは読み取ることも、実行することもできません。つまり、マルウェアであるかどうかの判断ができないことになります。今回のインシデントでも、EPPで検知できたのは感染から5分後ということで、実際に人の手でパスワード付きZIPが展開された後に実行されて初めて、Emotetであることが検知されたことになります。
対策として、パスワード付きZIPはマルウェアである可能性を想定して拒否することが考えられます。いわゆる、PPAP廃止の動きが社会全体で発生している背景でもあります。
その他のトピック
マルウェア感染したことは本人も周囲も気付かない?
(全文はこちら)