全1961文字
PR

著名なセキュリティーリサーチャーのpiyokango氏が注目のシステムトラブルをピックアップ。今週の注目ネタは……。

 今回は3件のトピックを紹介する。Emotet(エモテット)マルウエアの国内感染者への注意喚起と、テレワークのセキュリティーに関する実態調査、ソリトンシステムズ製品のゼロデイ脆弱性である。

国内感染者のデータは海外の捜査機関から入手(2月19日)

 総務省と警察庁、ICT-ISACは共同で、Emotetの国内感染者に関する情報をインターネット接続事業者(ISP)に提供し、該当者に注意喚起を行うと発表した。

Emotetマルウエアの国内感染者への注意喚起
Emotetマルウエアの国内感染者への注意喚起
(出所:総務省)

 Emotetは2019年ごろから国内外で感染を急速に広げた。JPCERTコーディネーションセンター(JPCERT/CC)は2020年2月、国内で3200組織以上が感染したと発表していた。

 Emotetに感染した端末は、別のマルウエアに感染させる攻撃メールを送ることがある。この攻撃メールにはマルウエアに感染させる文書ファイルをパスワード付きZIPファイル(圧縮ファイル)にして添付し、そのパスワードを別のメールで送っていた。このやりとりの方法は「PPAP」と呼ばれ、EmotetはPPAPのやりとりを全面的に禁止する企業が一気に増えたきっかけの1つになっていた。

 ただEmotetについては2021年1月27日までに、海外の捜査機関などによってEmotetを運用していたメンバーが逮捕され、感染端末に命令を出すコンピューターが差し押さえられた。さらに海外の機関が感染端末に命令を出す別のコンピューターを立ち上げて、4月25日に感染端末のEmotetを停止させる。総務省などがISPに提供する国内感染者のデータは海外の捜査機関から得られた。

 無効化されたEmotetの国内感染者に対して、どうして注意喚起を行うのか。注意喚起の取り組みに協力しているJPCERT/CCは2月22日、同社のブログでその理由を説明した。

Emotetマルウエアに関するブログ記事
Emotetマルウエアに関するブログ記事
(出所:JPCERTコーディネーションセンター)

 Emotetに感染すると、端末などに保存された認証情報やメールアカウント、メールの内容、アドレス帳などが窃取され、Emotet以外のマルウエアに2次感染している可能性があるという。Emotetが無効化されても窃取された情報の悪用や別のマルウエアの活動は継続する恐れがあるため、注意喚起を行うとしている。

 なお、今回の注意喚起は不正利用の恐れのあるIoT機器の調査やその機器の利用者への注意喚起を行う取り組み「NOTICE」の枠組みを通じて実施される。

https://www.soumu.go.jp/menu_news/s-news/01cyber01_02000001_00095.html