ノギンの泡沫投資日記

50代、年間配当40万弱…そんな年齢でそんな額? と知りつつも殖やしたいブログ。

【Emotet】わかっていても動揺を誘うメール。多層防御の要は「人」?

f:id:benzoin:20220316194914j:plain

本日は投資と関係ない雑談です。

つい最近、勤め先のアドレスに不審なメールが届くようになりまして
それが、自分の上司や別部署の要人からのメールなわけです。

どうやら自分はその人にメールをしていて、返信が来たようです。

そのメールにはパスワードつきで圧縮された添付ファイルがついていて、「以下のメールの解凍パスワードをお知らせします」と記されています。

はい、Emotet

www.lanscope.jp

事前に注意喚起を見ていたので、「うわっ…これはアレだ」と思って消しましたけど。

するとすぐにチャットが来て、別の偉い人が「お前からこんなメールが来たんだが??」と。
別の人からもチャットが来て、「変なメールを消しましたが、まずくないですか?」と。

うーわー。

即時にPCの一斉検査をかけたり、何だかんだありまして、結局「感染元は別会社の〇〇だった」ということになったんですが。

これ、仕事中に上司からメールがあって、添付ファイルがついてると、少なからず動揺しませんか?
自分は一瞬考えてしまいました。

ん? 自分は確かにこの人にメールしたけれど、どの件の返信なんだ? と。
それから一泊おいて、やっと「いやいや違う、これはアレだ」と気づくわけです。

安全な行動をできるかは、普段の周知と訓練しだい

今回自分にチャットをくれた人たちはとても重要な基本行動を実践していました。

  • 「お前からこんなメールが来たんだが??」
    →添付ファイルを開く前に念のための事実確認。
  • 「変なメールを消しましたが、まずくないですか?」
    →事の大きさをすぐに察知して情報共有。

これ、何の準備もない状況だとなかなか出来ないと思いませんか?
忙しい中、ボンヤリとメールを受けていると、つい開いちゃったり…しますよね。

特にこういうメール系だと、10人のうち1人でもボンヤリさんがいたら、それだけで全員感染という怖さがあります。

警戒十分な人が数人いるだけじゃ駄目。
誰が狙われても大丈夫なようにしておかないと。

それにはやっぱり、普段から「こんなメールにご注意」という周知と、実際にメールを消す、必要な人に連絡する、という訓練が欠かせないと思った出来事でした。



多層防御って重要

そうは言えど、周知や訓練だけだと心許なく感じます。
人間なので、つい添付ファイルを開いてしまう、ということはあります。
相手は強力なマルウェアなので、人間だけに責任を負わせることはできないです。
セキュリティソフトがあるからといっても、ソフトをすり抜ける奴もあります。

じゃあどうすれば…というと、結局は複数の層で対策を組み合わせる、しかないかなと。

第1の対策、メールの入口

勤め先のメールはOffice365で、あらかじめメール対策の「Exchange Online Protection」が有効になっていたので、真っ黒なメールは配信前に取り除かれる予定でした。

個人契約のOffice365も、プランによってはサービスがついてる…んじゃないかな。

あとで調べてみると、10通のうち5通くらいはこの仕掛けにかかり、残りの5つはそのまま配信されちゃった、という具合です。つまり、入口対策がしくっている状態でした。
このへんはもう戦いなので、漏れるメールがあるのは仕方ないと思うしかないです。

第2の対策、セキュリティソフト

メールの添付ファイルがダウンロードされたら、次はPCに入っているセキュリティソフトの出番です。

ここでEmotetの場合、添付ファイルにパスワードがかかっていることが災いします。
大抵のセキュリティソフトは、パスワードつきの圧縮ファイルを検索できないのです。

利用者がパスワードを入力し、解凍した瞬間を狙ってうまく駆除してくれれば良いのですが。

第3の対策、通信の出口

セキュリティソフトが検知せず、または駆除に失敗すると、悪性の通信が社内外に放出されます…。

もし、社内の出口ルータークラウド連動型のセキュリティが入っていて、悪性の通信やブラックリストのサーバーに宛てた通信を遮断できれば、万一感染PCが発生しても被害の広がりが抑えられます。

第4の対策、人

今回感じたのは、「ちゃんと動けば、人って強くね?」という思いでした。

自分に連絡をくれた人は、第1の対策であるメールの入口がしくっても、第2の対策であるセキュリティソフトに出番を与えず、マルウェアの感染を回避したのですから。
更に、周りの人に注意喚起を広めるという付加価値つきです。

普段から情報を取り入れ、実地や脳内でイメージトレーニングを積んでいれば、かなり高レベルの危険回避ができるんじゃないか。

そして、全員がそのレベルに達していれば、それは安全な集団を作るんじゃないか。

なんてね。

逆に考えると、企業が起こす事故対策は人が育たないと駄目だ、ということなのでしょう。