第76話 PCのアタリマエ対策

ランサムウェア感染経路第３位

今回はPCのアタリマエ対策について解説する。

図１　ランサムウェア感染経路（出典：INCIDENT RESPONSE REPORT 2022 UNIT42 by PALO ALTO NETWORKS）

図１にあるように、昨年のランサムウェア感染の１２％がPC経由と考えられる。グローバルIP機器対策と同様に、PCについてもまずアタリマエ対策が重要となる。

アタリマエ対策１：
PCのセキュリティパッチ

昨年２０２２年２〜５月に国内で流行したEmotetを例に考える。

まず２月にIPAからEmotetの活動が再開している注意喚起が発表された。

Emotetの攻撃活動の急増 （2022年2月9日 追記）
Emotetの攻撃メールの手口については、Excelファイルのマクロ機能の悪用、パスワード付きZIPファイルの悪用が目立つものの、大きな変化はありません。本ウェブページの内容を改めて参照し、注意してください。

https://www.ipa.go.jp/security/announce/20191202.html#L18

Emotetの被害が世界的に広がる中、MicorosoftはVBAマクロそのものをブロックする対策を行うと発表。

インターネットからのマクロは、Office では既定でブロックされます（2023/03/03）
VBA マクロは、悪意のあるアクターがマルウェアやランサムウェアを展開するための一般的な方法です。 そのため、Office のセキュリティを向上させるために、インターネットからファイル内のマクロをブロックするように Office アプリケーションの既定の動作を変更しています。

https://learn.microsoft.com/ja-jp/deployoffice/security/internet-macros-blocked

この発表を受けて攻撃者グループ（TA542）は、Officeアプリを使用しない手口に切り替えた。

ショートカットファイルを悪用した攻撃（2022年4月26日 追記）
2022年4月25日頃より、ショートカットファイル（LNKファイル）を悪用してEmotetへ感染させる手口を確認しています。ショートカットファイルがメールに直接添付されている場合（図17）と、ショートカットファイルがパスワード付きZIPファイルとして添付されている場合（図18）があります。このショートカットファイルをダブルクリックなどで開くとEmotetに感染するため、注意が必要です。

https://www.ipa.go.jp/security/announce/20191202.html#L19

この新しい攻撃方法に対して、３週間後の５月１７日にマイクロソフトはMicrosoft Defender ウイルス対策にてセキュリティパッチをリリース。

トロイの木馬:PowerShell/BynocoLNK.BKC!MTB（2022 年 5 月 17 日公開 ）
Microsoft Defender ウイルス対策は、この脅威を検出して削除します。

https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Trojan:PowerShell/BynocoLNK.BKC!MTB&ThreatID=2147818856

これらの対策の効果もあり、Emotetの感染件数は激減した。

図２　2022年ランサムウェア相談件数（https://www.ipa.go.jp/security/txt/2022/q4outline.html）

この一連の流れからわかるように、やはりOSベンダーなどから提供されるセキュリティパッチが最も効果的であると言える。

３種類のセキュリティパッチ

Windowsのセキュリティパッチには３つの種類がある。

１，Windows Update（セキュリティ更新プログラム）
２，アンチウィルスソフト（Windowsのデフォルトでは「Microsoft Defender ウイルス対策」が実装されている）
３，アプリのセキュリティ更新プログラム（特にMS OfficeやChromeなどのセキュリティ更新プログラムは重要）

とにかく業務で使用するWindows端末は、社内PC、持ち出し許可PC、私用PC問わず、少なくともこれらのセキュリティパッチが常に最新に適用されていることが、最も費用対効果の高い「アタリマエ対策」といえる。

アタリマエ対策２：
社員への具体的な注意喚起

しかし今月に入り、攻撃者グループはこれらの対策をかいくぐる新しい攻撃手法を開始している。

Microsoft OneNote形式のファイルを悪用した攻撃（2023年3月17日追記）
2023年3月16日に、Microsoft OneNote形式のファイル（.one）を悪用してEmotetへ感染させる新たな手口を確認しました。この手口では、攻撃メールに添付されたMicrosoft OneNote形式のファイルを開き、ファイル内に書かれた偽の指示に従って「View」ボタン（ボタンに模した画像）をダブルクリックすると、「View」ボタンの裏に隠されている悪意のあるファイルが実行され、Emotetに感染する恐れがあります。なお、攻撃メールの文面はこれまでと大きな違いはありません。

https://www.ipa.go.jp/security/announce/20191202.html#L24

Microsoftはこれに対しても対策手段を講じると発表しているため、あと数週間でこの攻撃も下火になると予想される。
しかしそれまでの「ゼロデイ期間」については次の２つの対策が有効である。

図３OneNoteを利用したEmotet（https://www.ipa.go.jp/security/announce/20191202.html#L24）

図３のようにIPAサイトでは攻撃手法の詳細をいち早く公開している。
したがってこれらの攻撃手口の具体例を社員や関係者に具体的に注意喚起することは有効だ。

標的型メール訓練では、事前に手口を知らせた場合は、クリック率は約１０％であったというデータがある。
漠然と「怪しいメールは不用意にクリックしないように」という注意では効果は期待できないかもしれないが、上図のように具体的な手口の注意喚起であれば高い効果が見込める。