最近旬な話題の「Emotet」

いわゆるマルウェアですが、なぜこれがいま話題になっているかと言うと、

・Outlookからメール情報と連絡先を抜き取って本物と見分けがつかないメールを送信
・感染そのものは添付ファイルのマクロが行うが、マクロを有効化させる手段がスマート
・メモリ上にのみ存在してファイルの実態がないファイルレスマルウェアで検知が難しい
・Windows Defenderが誤検知してEmotetに感染したとメッセージを出す(←!)

うん、、、最後の項目が気になりますね(笑)

私の周りでも、”社内中のPCのDefenderが誤検知してお祭りになった”という話を聞きました。

結果からみると「誤検知でよかったね」ということになりますが、対応している人間はたまったもんではなかったでしょう。

セキュリティソフトの誤検知や誤動作は定期的にやってきます。
よくあるのが不具合のあるパターンファイルが配布され、それを適用したクライアントが特定の条件で誤動作をするというようなパターン。

私が体験したのはZIPファイルをスキャンするとループ処理に至り、CPUがMAXまで回り、やがてOSがハングするというもの。
このときも50台ぐらいのサーバーから一斉にアラートが挙がり、生きた心地がしませんでした(笑)

こんなかわいい誤動作をするセキュリティソフトですが、かといって無くすわけにはいかないので、こうしたことも運用経験として対応していくことになるのかなあというところですかね。

Emotetに話を戻すと、ポイントはマクロを有効化するのは人間であること。

そうなんです、様々な脅威に備えてドアにカギを掛けているのにも関わらず、ドアのカギを開けて驚異を招き入れてしまう。

最終的には人がセキュリティホールになる現実は何ともやるせないですね。

ちなみにISMSではこういった教育に対する計画やエビデンスを作成することを必須としています。
セキュリティはいたちごっこだとよく言われますが、立ち止まった時点で相手にどんどん離されてしまいます。
システム増強以上に、教育も継続し続けることが重要ですね。