株式会社宝情報

メディア MEDIA

Check Point UTM で可能な Emotet 対策

  • LINEで送る
  • このエントリーをはてなブックマークに追加
世界中で猛威を振るう Emotet マルウェア。
現在報告されているケースでは、感染を防ぐための一般的な対策は次の2点です。

  1. 不審なメールは安易に開かない
  2. Word の設定を確認し、マクロが自動実行されないようにする

(Emotet について詳しくはこちらの記事をご覧ください。)

上記に加え、今回は Check Point UTM の対応状況について、注意点も含めて詳しくお伝えします。


Anti-Virus・Anti-Bot 等が Emotet に対応

Check Point UTM の Anti-Virus と Anti-Bot は Emotet に対応しており、これらのセキュリティ機能が動作する通信に対しては Emotet の検知、防御が可能です。

更に、Emotet の亜種についても検知、防御が可能です。
Check Point 社の脅威データベース ThreatWiki で実際に「Emotet」と検索してみると、記事執筆時点で7万に迫る関連項目がヒットしますが、これらは最新のシグネチャの適用された Anti-Virus または Anti-Bot で検知、防御が可能です。
しかし、絶えず発生する亜種に対し、シグネチャの更新はどうしてもそれを追いかける格好になります。
未登録の亜種が検知をすり抜ける可能性は、常に考慮する必要があります。
Emotet01.jpg

Check Point ThreatWiki で Emotet を検索した結果(2019年12月6日時点)


また、Anti-Virus、Anti-Bot 以外の機能も Emotet 対策に有効です。
Emotet に関する報告では、Emotet に感染させる際や追加で別のマルウェアに感染させる際に外部サーバーと通信することが判明しています。
URL Filtering はこうした通信のドメイン情報を検査し、不審な接続先であればその通信を自動的に遮断します。

メールを受信した際の処理について

Check Point UTM では、受信メールに対してAnti-Virus による添付ファイルの検査の他、Anti-Spam によるスパムメール判定を実施しています。
しかし、暗号化通信については検査対象とならない他、JPCERT/CC の報告事例にあるようなメールについては、通常のメールとして受信する可能性もあるため注意が必要です。

JPCERT/CC の報告するところによると、Emotet の主な感染経路は次の通りです。

JPCERT/CC が確認している事案では、主にメールに添付された Word 形式のファイルを実行し、コンテンツの有効化を実行することで Emotet の感染に繋がることが分かっています。
(中略)
Emotet の感染に繋がる添付ファイル付きのメールは、Emotet が窃取した情報などを元に独自に作成されているものに加え、実際の組織間のメールのやりとりの内容を転用することで、感染元から送信先への返信を装うものがあります。そのため、取引先の担当者から送られているようにみえるメールでも、実際はEmotet が窃取した情報を元に攻撃者側から送られている「なりすましメール」である可能性があるため、注意が必要です。

マルウエア Emotet の感染に関する注意喚起 – JPCERT/CC


報告されているケースの場合、普段から利用しているメールアドレスで、正規のやり取りへの返信を装ってメールが送られてくる、と言うことになります。
こうしたケースは一般的なスパムメールとは様々な点で異なるため、スパムとは判定されない可能性があります。

また、先に引用した報告では「メールに添付された Word 形式のファイルを実行し、コンテンツの有効化を実行することで Emotet の感染に繋がる」ともあります。
このような、添付ファイルそのものがマルウェア本体では無いケースでは、Anti-Virus の除去対象とならない可能性もあります。

メール受信後、不審なファイルのマクロを実行した場合

前提として、不審なファイルのマクロは実行しないことがベストな対策です。
しかし、万一マクロを実行したことによる外部との通信、つまり Emotet 本体のダウンロードを行う通信は、Anti-Virus ・ Anti-Bot ・URL Filtering 等による検知、防御対象となります。

内部感染について

UTM は、主に入口対策、出口対策を行うための機器です。
Check Point UTM も内部通信に対する検査を行っていないため、もし既に社内に感染端末が存在していた場合、内部感染を防ぐことはできません。
内部感染の防止は、SubGate セキュリティスイッチエンドポイントセキュリティ製品など、異なるセキュリティ製品で対策を行ってください。


参考(外部サイト)


マルウエア Emotet の感染に関する注意喚起|JPCERT/CC

マルウエアEmotetへの対応FAQ|JPCERT/CC



資料請求・お問い合わせ


製品の導入を検討されているエンドユーザー様向けの問い合わせ窓口です。


新規パートナーお問い合わせ


製品の取り扱いを検討されている販売代理店様向けの問い合わせ窓口です。

 
  • LINEで送る
  • このエントリーをはてなブックマークに追加