“賢すぎる”マルウェアに要注意 - 知人からのメールもニセモノかも?
目次を閉じる
セキュリティに改めて注意を
同僚と同じオフィスで机を並べて働いているときは、自然に情報交換できていました。それが、在宅勤務やリモートワークを始めると、意識せず行えていた雑談や会議、ファイル共有などをどう実行すべきか、工夫する必要に迫られます。
ファイル共有は、コロナ以前から取引先とのあいだでやっていたように、メールへのファイル添付で済ませられます。ただし、インターネットを経由してファイルをやり取りするため、情報漏えいに用心しなければなりません。
そこでよく利用されたのが、暗号化したファイルをメールで送り、別のメールで復号用パスワードを送るという、俗に「PPAP」と呼ばれる手法です。ただ、PPAPはファイルとパスワードを同じ通信経路で送信するので、途中ですべてのデータが盗まれやすく、簡単に情報流出します。それに、そもそもメールは大量のデータ送信に適していませんでした。
メールによるファイル送信は手軽なものの、これら弱点があります。そのため、最近はPPAPを使用禁止にする企業が増えました。
仕事に欠かせないファイル共有サービス
リモートワークが広まるにつれ、さまざまなクラウドサービスが使われるようになりました。当然、ファイル共有もメールではなく、クラウドストレージやファイル転送サービスを利用する習慣が広まったのです。今や、ファイル共有サービスは仕事に欠かせないツールといえます。
そんなファイル共有サービスにも、セキュリティ面で注意すべき点があります。
「OneDrive」からマルウェア感染
デジタルアーツの調査レポート(※1)によると、ファイル共有に使えるサービス「Discord」と、マイクロソフトのクラウドストレージ「OneDrive」が、マルウェア感染拡大に悪用された例が多かったそうです。そうしたURLの数を集計したところ、2021年11月時点でDiscord関係が7,706個、OneDrive関係が7,531個、その他が6,769個で、DiscordおよびOneDriveが突出していました。
Discordは無料でチャットやビデオ通話に使えることもあり、人気のあるサービスです。一方のOneDriveは、マイクロソフトのサービスであるうえ、Windowsから使いやすく、多くの利用者がいます。いずれも、アップロードしたファイルの共有用URLを生成すれば、そのURLを伝えるだけでファイルを相手に渡せて便利です。
ただし、共有URLを関係のない他人に知られたら、あっという間に情報が流出してしまいます。
また、同僚や取引先の人から仕事でファイル共有URLが送られてくれば、疑うことなくアクセスしてファイルをダウンロードして開いたり実行したりするでしょう。そのファイルにマルウェアが仕込まれていたら、とても危険です。
共有URLの送り主が、実は知人を装ったサイバー攻撃者かもしれません。知人が信頼できるサービスで送信してきたとしても、意図せずマルウェアに感染したファイルだった、ということも考えられます。
出典:デジタルアーツ / マルウェアに悪用されるファイル共有サービス
※1 デジタルアーツ『マルウェアに悪用されるファイル共有サービス』,https://www.daj.jp/security_reports/220117_1/
慣れ親しんだツールにも用心
すでに紹介した情報ですが、仕事で使うウェブサイトも注意が必要です。アトラスVPNが調査(※2)したところ、多くのフィッシングサイトがマイクロソフトやアドビの製品関連サイトを偽装していました。もちろん、OneDriveもフィッシングサイトの偽装対象なので、OneDriveのようなURLでも安易にアクセスするのは危険です。
アトラスVPNは、企業でよく使われる「Microsoft Office 365」「Google Docs」「PDF」などの文書ファイルがマルウェアの配布手段に多用された、とする調査レポート(※3)も公表しています。具体的には、ダウンロードされたマルウェアの43%がオフィス文書に仕込まれていたそうです。
気になる調査結果もあります。サイバーリスク・アライアンス(CRA)によると(※4)、米国では企業の43%が過去2年間に1回はランサムウェア攻撃を受けていて、標的の36%が「リモートワーカーの作業環境」でした。おそらく、ランサムウェア以外のマルウェアも、脆弱(ぜいじゃく)なリモートワーク環境を狙う可能性が高いでしょう。
さらに、「クラウドインフラ/プラットフォーム」(35%)や「クラウドアプリ(SaaS)」(32%)も狙われやすいので、外部からファイルを受け取るときは、油断しないようにしましょう。
※2 アトラスVPN『73% of phishing sites impersonate Microsoft product-related login pages』,https://atlasvpn.com/blog/73-of-phishing-sites-impersonate-microsoft-products-related-login-pages
※3 アトラスVPN『43% of all malware downloads are malicious office documents』,https://atlasvpn.com/blog/43-of-all-malware-downloads-are-malicious-office-documents
※4 CRA『CRA Ransomware Study: Invest Now or Pay Later』,https://www.cyberriskalliance.com/wp-content/uploads/2022/02/CRA-2022-Ransomware-Study-Press-Release.pdf
シャドーITを避け、十分なセキュリティ教育を
IT管理部門としては、十分な対策や教育を施し、使用するサービスを信頼性の高いものだけに限定したいものです。そうすれば、セキュリティが危険にさらされるリスクを減らせます。
ところが、便利なサービスはすぐ勝手に使われ、シャドーITになってしまいます。
安易に使われる未承認サービス
ノウ・ビフォーが調査した(※5)ところ、企業では多くの従業員が許可された以外のクラウドサービスを利用していました。
まず、情報のやり取りや保管に承認されていないクラウドサービスを使っているか尋ねたところ、以下のように2割から3割程度の人が「はい」と答えました。
| 地域 | 未承認サービス利用者の割合 |
|---|---|
| 南米 | 20.4% |
| アフリカ | 20.5% |
| 欧州 | 24.8% |
| 北米 | 27.0% |
| オセアニア | 32.0% |
| アジア | 32.6% |
出典:ノウ・ビフォー / Shadow IT is real: 1 in 2 employees use unauthorized file services in order to get their job done.
未承認のファイル共有サービスから業務用PCにファイルをダウンロードしている人も、以下のとおり大勢いました。特に、アジア地域では半数以上の人が、ダウンロードしています。
| 地域 | 未承認サービスからダウンロードする人の割合 |
|---|---|
| 南米 | 25.6% |
| アフリカ | 19.6% |
| 欧州 | 29.0% |
| 北米 | 29.6% |
| オセアニア | 30.6% |
| アジア | 54.6% |
出典:ノウ・ビフォー / Shadow IT is real: 1 in 2 employees use unauthorized file services in order to get their job done.
シャドーITにはIT管理者の目が届かないので、便利だと思って使っているファイル共有サービスが危険なものかもしれません。安全なサービスであっても、不用意なアクセス権限を設定したり、使い方を誤ったりすると情報流出につながります。
いくら仕事に役立つからといっても、使う場合はあらかじめIT管理部門に相談しましょう。優れたサービスであれば、正式に導入される可能性もあります。
※5 ノウ・ビフォー『Shadow IT is real: 1 in 2 employees use unauthorized file services in order to get their job done.』,https://www.knowbe4.com/hubfs/Quarterly_Report_Q1_2022%20(2).pdf
知人からのファイルも疑おう
情報流出といえば、このところ「Emotet(エモテット)」というマルウェアが猛威を振るっています。
警察庁の情報(※6)によると、Emotetは2021年1月にいったん活動停止へ追い込まれたものの、2021年11月中旬に活動再開したそうです。主に返信を装ったメールの添付ファイルとして広まり、そのファイルが開かれるとPCに感染します。そして、PCから情報を不正取得して外部へ送信したり、周囲のPCへ感染を試みたりします。組織内に一度入り込むと、感染がどんどん拡大する危険なマルウェアです。
独立行政法人情報処理推進機構(IPA)は3月9日、Emonetに関する相談が前月比7倍の勢いで急増していると公表(※7)し、厳重な注意を促しています。
感染経路こそEmotetと異なりますが、ファイル共有サービス経由で感染するマルウェアも同じく危険です。Emotet同様、知人や取引先からのファイルだと信じたら、すぐに開いて感染しかねません。受け取るファイルは、まず疑ってかかるべきです。
メールの添付ファイルやファイル共有サービスなど、マルウェアの入り込む経路は多数あります。怪しいメールや通信をフィルタリングするセキュリティ対策は有効ですが、意識向上や教育、適切なルールにも高い効果が期待できます。
シャドーITを回避して安全な環境を構築して運用できるよう、現場で求められる機能を定期的にヒアリングして対応するよう心がけましょう。
※6 警察庁『Emotetの解析結果について』,https://www.npa.go.jp/cyberpolice/important/2020/202012111.html
※7 IPA「『Emotet(エモテット)』と呼ばれるウイルスへの感染を狙うメールについて」,https://www.ipa.go.jp/security/announce/20191202.html
