サイバーセキュリティに関する情報ポータルサイトの「サイバーセキュリティ.com」は、「個人情報漏洩事件・被害事例」が充実したサイトです。このサイトを見ると、ほぼ毎日、組織から何らかの情報漏洩の事件・事故が発生していることがわかります。
皆さんが想像する以上に、サイバー攻撃は、身近な出来事です。
このポータルサイトで、2022年に発生した情報漏洩事件を見ると、Emotetによる感染を原因とした情報流出や不審メールの拡散が相次いでいるのが目立ちます。
Emotetは、2019年の後半から感染が頻繁に発生しています。Emotetは、電子メールに添付された悪性なマクロ付きの Word や Excel ファイルを開くことで、機器を感染させるマルウェアです。ワーム型のウイルスですので、感染すると拡散して、同一ネットワークにある他のコンピューターに不正侵入を試みます。
Emotetは、感染した機器に保存されたメールアカウントやパスワード、アドレス帳などの情報を搾取します。攻撃者は、アドレス情報を元に、他のユーザーへ感染メールを送信します。そのため、感染は組織内に留まりません。取引先や顧客へと被害は拡大します。
もし、組織で管理している機器がEmotetに感染したら、セキュリティ担当者はたくさんのことをしなければなりません。
日本国内で発生する情報セキュリティインシデントの報告を受け付け、対応支援や分析、再発防止の助言などを、技術的な立場から行なう JPCERT/CC(JPCERTコーディネーションセンター)では、Emotetに感染したら、組織としてするべきことを紹介しています。
- 感染端末の隔離、証拠保全、および被害範囲の調査
- 感染した端末を証拠保全する。端末に保存されていた対象メール、およびアドレス帳に含まれていたメールアドレスの確認(端末に保存されていたこれらの情報が漏えいした可能性がある)
- 感染した端末が利用していたメールアカウントなどのパスワード変更
- Outlook や Thunderbird などのメールアカウント
- Webブラウザに保存されていた認証情報 など
- Webブラウザ Google Chromeにクレジットカード情報を保存していた場合、クレジットカードの利用停止
- 感染端末が接続していた組織内ネットワーク内の全端末の調査
- 横断的侵害で組織内に感染を広げる能力を持っているため、添付ファイルを開いた端末だけでなく、他の端末も併せて調査を実施する。
- ネットワークトラフィックログの監視
- 感染端末を隔離できているか、他の感染端末がないかの確認
- 他のマルウエアの感染有無の確認
- Emotetは別のマルウエアに感染させる機能を持っているため、Emotet以外にも感染していたか調査する。もし、別のマルウエアに感染していた場合には、更なる調査・対応が必要となる。
- 被害を受ける (攻撃者に窃取されたメールアドレス) 可能性のある関係者への注意喚起
- 調査で確認した対象メール、およびアドレス帳に含まれていたメールアドレスを対象
- 不特定多数の場合は、プレスリリースなどでの掲載
- 感染した端末の初期化
~引用:マルウエアEmotetへの対応FAQ - JPCERT/CC Eyes | JPCERTコーディネーションセンター公式ブログ
組織がサイバー攻撃にあって、情報漏洩事故につながったら、取引先や顧客からの信頼は一気に失墜します。
CSIRT(セキュリティインシデント対策の専門チーム)は、信頼の回復に向けて、何よりも優先してセキュリティインシデント対応をしなければなりません。信頼を失ったとき、それを元の状態にするには、相当の労力がかかります。そのコストは、セキュリティインシデントを未然に防ぐ対策の数倍、数十倍に及ぶでしょう。
(名声を築くのには20年かかるが、崩すのには5分とかからない。もしそれを弁えていれば、あなたも行動を改めるでしょう。)
~ウォーレン・バフェット(アメリカの投資家)
コスパの観点からも、組織としてなによりもまず必要なのは、信頼を失わないようにするための情報セキュリティ対策だと思います。