読者です 読者をやめる 読者になる 読者になる

#セキュリティのアレ 『(2)Microsoft Officeのマクロ機能を利用した「ばらまき型ウィルス」』をみた感想的なアレ

ここでは 2015/11/18 に掲載された「セキュリティのアレ」シリーズ『(2)Microsoft Officeのマクロ機能を利用した「ばらまき型ウィルス」』を拝見した感想/メモ/雑記を書いています。

  • 「セキュリティのアレ」って?

@IT さんでシリーズとして掲載されている、セキュリティ専門家の方と @IT 編集部の方々が時事ネタを語るシリーズです。
今回拝見したのは↓
セキュリティのアレ(2):Microsoft Officeのマクロ機能を使った「ばらまき型ウイルス」、今すぐ実践可能な対策は?【動画】 - @IT
関連記事 → マクロウイルスの再来?:偽装メールが再び拡散、不正マクロを仕込んだ添付ファイルでマルウエア感染 - @IT


以下、感想/メモ/雑記です。
---

今回のテーマは「添付ファイルを開かせたら攻撃者の勝ち」のばらまき型ウイルスの話。
昨日(2016/2/8) rtf ファイルのマルウェア (T9000) のニュースが米国の方で来ていたから、今日明日あたり日本でも取り上げられるかもしれない。なんだか Office 系マルウェアのところでタイムリー?
さて、それでは今回の予習。
添付ファイルがマルウェアかもしれない、と気付く方法の一つとして↓の資料を作ってくださった方がいらっしゃいますので、せっかくなので改めて目を通しておきます(超大作)。

Windows標準の機能を使用した標的型攻撃の対策 #ssmjp /ssmjp1507 // Speaker Deck
- #ssmjp 2015/07 - connpass
Windows標準の機能を使用した標的型攻撃の対策 ドライブ・バイ・ダウンロード編 #ssmjp /ssmjp1507-2 // Speaker Deck
- #ssmjp 2015/07の2 - connpass

---

(冒頭)
辻さん寒そう。夏生まれなのかな(偏見)
鼻啜ってるから風邪気味だったのかもしれない。

---

「しかもこれ、請求書とかデジタル複合機からの受信通知だとか…スキャンの結果だったりとか」(宮田さん)
「FAX とかね」(辻さん)
「そういうメールを装って…(略」(宮田さん)

実在する企業からとは言え、別企業の(?)デジタル複合機の受信通知と言うのは、もし届いたら違和感ある気が。まあ、見てみないことには何とも判断つきませんね。おそらく受信通知はどこの複合機も似たようなものでしょうし、別企業のものからと判別つけられるかどうか…。
ファイル開くな、はさすがに厳しそう。営業さんに飛ぶメールを見てるだけで「あぁ、これは精査する余裕なさそう」なんて思います。

---

「ただひとつ今回の大きな特徴は、今宮田さんが言ったけども、 Microsoft Office のマクロって機能を使ってるってのがあるじゃないですか。これですよね。ここがまあ、対策のポイントかなぁと思いますけど」(根岸さん)
「みなさんはマクロって使われてます?」(宮田さん)
「いやー…ないですね、僕は。送られてきたこととかあります?」(辻さん)
「ほとんどない…ですけども…」(根岸さん)
「記憶にないぐらいですね」(辻さん)

今回の場合は特徴的な、マクロ機能を使ったマルウェア
うん、外部から送られてくる Office データにマクロ機能が使われているものは、今のところ見た覚えがない。社内のデータになら見覚えがあったように思います。

---

「…でも全部が全部 Word じゃないんですよね。Word じゃないものも中にはあって…」(辻さん)
「zip で exe で…とか」(根岸さん)

zip で exe の自動実行形式。NHK でも取り上げられ(てしまっ)た Emdivi が確かにそういうタイプだったような。
.pdf.exe。「.exe」の前にスペースがめっちゃ入っていて「.exe」に気づけないパターンとか、ちょくちょくマルウェア感染ストーリーの例に挙がる印象があります。あと fdp.exe の RLO とか。
拡張子は絶対に表示してほしい、完全に同意。そこでブロックできるかは別として、気付く術の一つとして設定しておきたい。

---

「どっかの実在する企業を騙って、やっているじゃないですか。…(略)見る人によっては、そこが…その…侵入されたりとか、踏み台にあったりとかになってるって思ってる人も…いるみたいなんですよ。Twitter とか見ていると」(辻さん)

今回のものではないけど、実在する企業を騙るメール 企業が踏み台、侵入されるパターンについて。ないとは言えないけど、ばらまき型ならわざわざ乗っ取ってまでやることではない気がしますね。侵入したのなら企業内の情報を盗む方が良いような(侵入できた企業が持っている情報に依りますが)。
世間一般で言われている APT 攻撃の場合、『本当のターゲットはメールを送った企業なんだけど、穴が見つからないから侵入が容易な関連企業から攻めている』っていうのはありそうですね。穴熊囲いには端攻めです。

---

(誤ったプレスリリースを発表後、修正したことについて)
「…やられた側、騙られた側も…やっぱりちょっと、慌てちゃったっていうところがあるのかなぁと」(辻さん)
「まあ、あのね、素早く情報を出したっていうところはとてもいいと思いますけどね。まぁ、で、間違えたら訂正したっていうのも、まあね、ありますよね」(根岸さん)

素早く被害の状況を公開してくれるのはとても良いことかと。
訂正も OK。ともかく公開してくれることが大事。個人的には事態に対して真摯に対応しようとしているのかも、と思います。

---

「メールって、アドレスとか簡単にね、偽装できるって、まあ知らない人は知らない…ねぇ」(根岸さん)
「知らない知らない」(辻さん)
「知らないんですよ」(根岸さん)

メールアドレス偽装の容易性。知らない人は知らない。メーラーでも sendmail(mail) コマンドでも telnet でも。
実演動画を公開するのはどうでしょうかね(文京区の方を見ながら)…できないか。悪用する人は出そうだ。

---

「…なかなかこの対策の仕方というのがどうしたらいいのか…先ほどちょっと、マクロをオフにしてしまえばいいというのが一つあったんですけど…他に何か方法はありますか」(宮田さん)
「…個別の対策じゃないんだけども、一般の利用者からは…まあ今、そういうメールが来てなくてもこのあと来るかもしれないので、やっぱりそういう今…あのー、攻撃というか、ばらまきによるそういう被害が起きてるってことをまず知らないと(略」

対策は冒頭の資料にあらかた書いてあったかと思います。

---

まとめ、対策等→14:47 ごろ

---

こういう事例を見た時に考えたいのは被害が出る前の情報共有、まず一発目がきたときに、システム的にどうやって気付くか、でしょうか。気付くのが人任せだと、他の人のところで手遅れになってた、とかいうシチュエーションが起きるのは想像に難くないですし。外部〜内部メールサーバ間のシステムで検出/隔離できるのがベターなのかな?
あとは事後対策。情報共有もしかり、開けてしまった人のフォローができる体制を作っておきたいところです。