日本医師会、Emotetに感染
9月8日のことですが、日本医師会事務局のパソコンがEmotetに感染したことを伝えるメールが届きました。日本医師会からの発表はコチラ → 日本医師会事務局におけるコンピュータウイルス感染とそれを発端にした関係者への不審メール発生に関するお詫びとご報告
8月4日にWordを開いて感染
報告を読むと、届いていたメールに添付されていたWordドキュメントを開いてEmotetに感染したみたい。結果、そのパソコンのメールソフトでやりとりしていたアドレス(日本医師会職員、都道府県医師会職員、関係省庁職員など)の名前を騙り、かつメール本文を使ったメールが送信されたようです(苦笑)。
まさに報じられているEmotetの活動です(苦笑^2)。
しかし、この感染した(してしまった)パソコンのユーザー… Emotetの活動が再び活発になってきたと注意喚起が流れていたにも関わらず、なぜWordドキュメントを開き、かつマクロを実行させたのだろう?
駆除できずにパソコンまで届いたメール
報告によると、日本医師会のメールサーバー上では(ベンダーはわかりませんが)対策ソフトによるチェックをしているそうです。これまではパソコンに届く前に駆除できていたそうですが、今回のメールは届いたみたい。
届いたメールを開くときにも駆除できなかったようなので、エンドポイントの対策ソフトも対応できていなかったようです。そういった意味では運が悪かったのかもしれません。しかし、繰り返しになりますが、なぜWordドキュメントを開いてしまったのだろうと感じます。
ひょっとしたら被害者でもあるのか?
日本医師会、Emotetに感染しているので被害者には違いないのですが、しつこいですが、このご時世になぜ開いたのだろうと思わずにはいられません。そんなことを思うと、Wordドキュメントを開いた理由が、そのメールがかつてやりとりをしたことがあるアドレスであり、かつ本文も引用されていたようなメールだったのかもしれないと思ったりも… そう、Emotetに感染した者から届いたメールなのかもと。
仮にそうであれば、被害者でもあるのかと。もちろん、仮にそうであったとしても今後加害者にもなる可能性があるわけですが。
今後の対策
Emotetに感染させる添付ファイルがwordドキュメントだけでなく、パスワード付Zipファイルもでてきているということで、入口対策とエンドポイントの対策だけでなく、出口対策の仕組みを導入したいとのこと。また、職員のリテラシー向上を図っていくとのこと。後者は言うはカンタンだけど、実際は難しいだろうなぁ。
さて、前者の出口対策… 仮に感染したとしても、その影響を外に出さないようにする対策ですね。出口対策、私がいる法人ではエンドポイントでは Webレピュテーション、ネットワークにおいている複数の機器で、Webフィルタリングとボットネットフィルタリングを行っています。もちろん、すべて異なるベンダーで。
しかし、これらはあくまでそのベンダーのパターンファイルやリストが対応していないと防ぐことができないんですよね。そういった意味では、先日話をきいたダークトレースのサービスなんかは気になります。そういった既存とは異なるアプローチのものを導入することでよりセキュアにするのがよいのですが、なかなかコストがかかるんですよね… ナカナカ難しいものです。