叡智の三猿

〜森羅万象を情報セキュリティで捉える

当サイトは、アフィリエイト広告を使用しています。

パスワード付きの「ZIPファイル」と、Emotet攻撃

今年、日本で発生したセキュリティ事故で特徴的だったのは、Emotet(エモテット)による感染被害が多かったことです。特に2021年の終わりから2022年の前半にかけては、被害事例が相次いで情報セキュリティのニュース記事に掲載されたのが印象的でした。

サイバーセキュリティの世界的なリーダーであるトレンドマイクロ社は以下の記事を発信しました(2022年5月)。

2022年第1四半期トレンドマイクロは、EMOTETの新亜種を複数用いた感染活動をさまざまな地域や業界で数多く発見しました。トレンドマイクロの観測では、EMOTETの感染被害の多くは日本国内で確認されており、次いで「アジア太平洋地域(APAC)」、「ヨーロッパ、中東、およびアフリカ(EMEA)」地域の国々でした。

【引用】復活したEMOTETの脅威動向解説:2022年第1四半期は日本での検出が最多(トレンドマイクロ社のリサーチより)

Emotetは、標的型攻撃メールによるマルウエアです。Emotetは知り合いになりすましたメールから感染します。取引先の名前でパスワード付きの「ZIPファイル」が送られ、添付されたWordやExcelファイルを実行するとパソコンが感染します。Emotetに感染すると、アカウントや本文、アドレス帳の情報が盗まれます。

パスワード付きの「ZIPファイル」は、わたしたちの日常業務でもよく使われます。

特に社外とのやりとりで、WordやExcelなどのファイルを送る際は、ファイルをパスワード付きの「ZIPファイル」に加工してメールに添付するのが一般的です。

パスワードの考案については、下記のようなフリーで使える生成ツールを使って、ランダムな文字列を使うことが多いと思います。
www.luft.co.jp

送付する側はファイルを圧縮してパスワードをつけるひと手間かかる行為ですし、受信者もパスワードを解除してファイルを解凍する手間がかかります。しかし、パスワード付きの「ZIPファイル」のやり取りをすることで、お互いが情報セキュリティに配慮した情報交換をしていることを認識するので、信頼関係が深まります。

「ZIPファイル」の送信と、パスワードの送信は分けるのが一般的です。

このやり方、巷ではPPAP方式(俗称)と呼ばれています。

  • Password付きZIP暗号化ファイルを送ります
  • Passwordを送ります
  • Aん号化(暗号化)
  • Protocol

PPAP方式による添付ファイルの送信

PPAP方式を自動で行うWebサービスもあります。このようなサービスを利用すれば、送信者側はファイルを暗号化せず、そのままメールに添付して送れば、Webサービスがパスワード付きの「ZIPファイル」として暗号化し、送信先に暗号化された添付ファイル付きのメールと、ランダムなパスワードを伝えます。

情報セキュリティ対策として行っている、パスワード付きの「ZIPファイル」なのですが、なかのファイルがウィルスだった場合、ファイルが暗号化されることで検知されにくくなるデメリットがあります。

Emotetは、日本の会社や組織の日常業務で一般化しているPPAP方式の弱点を突いた攻撃です。

日本国内に関するインシデント等の報告の受け付け、対応の支援、発生状況の把握、手口の分析、再発防止のための対策の検討や助言などを、技術的な立場から行なっているJPCERTコーディネーションセンター(JPCERT/CC)では「マルウェアEmotetの感染再拡大に関する注意喚起(下記)」のなかに、使用しているパソコンがEmotetに感染しているか否かをチェックするツールを無償提供しています。

www.jpcert.or.jp

わたしが使っているパソコンで試しに実行してみたら「感染してない」とのメッセージがでました

EmoCheckの実行結果

セキュリティ対策としての効果が疑問視されているPPAP方式ですが、どの会社でも業務のなかであまりにも定着しているので、早々になくなることは無いと思っているのですが、一部の大手企業ではPPAP方式を廃止する動きもみられるようです。

2022年の後半は、ニュース記事を見る限りEmotetによる感染は、沈静化しているようにも見えます。

来年はこのまま収束するのか、再び猛威をふるのか注目したいです。