Emotetの猛威に業界業種を問わず相次ぐ被害――報告義務化で企業リスクは増大

3月の記事では、2022年も引き続き「ランサムウェア」と「標的型攻撃」が脅威になるとする調査結果を紹介し、ファイル添付メールで感染を広げるマルウェア「Emotet」への注意喚起について触れました。その後、悪い意味で予想は的中し、国内で被害が相次いでいます。

2022年に入って増え続ける Emotet 被害

日本のIT国家戦略を支えるIPA（情報処理推進機構）は、情報セキュリティ安心相談窓口に対して、2022年3月1日～8日に323件の相談を受けたと発表しました。これは、前月同時期（2月1日～8日）のおよそ7倍に当たります。

実際、3月以降に以下のような企業や団体から Emotet 被害報告がなされています。業界業種を問わず、被害に遭っていることが理解できるはずです。しかも、ここに挙げた例は「Emotet による被害」を明示しているもののみで、それ以外のマルウェア感染被害や情報漏洩事件を含めるとさらに多くの被害が報告されています。

• 東北海道の自動車会社
• 業務用冷凍冷蔵庫の製造会社
• 倉庫関連の業界団体
• テレマーケティング企業
• 西日本の通信会社
• 土木・建築・建設会社
• 介護サービス会社
• アパレル会社
• IT開発・コンサルティング会社
• ITサービスベンダー
• 太陽光発電関連の業界団体
• 鋼材会社
• 新聞社
• 印刷製本会社
• 病院
• 大学
• キッチン用品販売会社
• 鉄道会社
• プロサッカーチーム運営会社
• 農業関連の業界団体

さらにIPAは、2022年4月25日ごろから Emotet に感染させる新たな手口が確認され始めたと発表しました。これは、ショートカットファイル（LNKファイル）の仕組みを悪用したもので、ファイルをダブルクリックなどで開くと、リンク先からスクリプトが読み込まれ Emotet に感染してしまいます。

これまでの Emotet では、Office の Word や Excel ファイルのマクロ機能などが使われていました。この手口に対しては、マクロの実行を許可しない設定を基本にするなどの対策がなされていましたが、ショートカットファイルの場合はより容易に感染してしまう可能性があります。

現在、このショートカットファイルが直接添付されたケースとZIPファイルとして添付されたケースが確認されており、IPAは企業に対して注意を促しています。特に日本では、ゴールデンウィークに入ることで、自宅で作業したり、連休明けに多量のメールを一気に処理したりと、セキュリティに対する隙が生じやすくなるため十分に気を付ける必要があります。

日本国内におけるインターネットセキュリティ研究組織のJPCERTコーディネーションセンター（JPCERT/CC）では、Emotet の感染有無を確認するためのツール「EmoCheck」を開発・公開しています。

Emotet の変異種に対応するために逐次アップデートされており、2022年4月28日時点の最新バージョンは「2.2」です。以前に感染確認をした方も、定期的なアップデートの確認と感染確認をしておくようにしましょう。

法改正で情報漏洩報告が義務化

Emotet に限らず、2022年に入ってから企業の情報漏洩事件が増えていると感じている方は多いのではないでしょうか。前述のように、被害が増えていることも確かですが、企業からの報告が増え、それに伴ってメディアのニュースも増えたことも理由の一つと考えられます。

2022年4月1日から、改正個人情報保護法が施行されています（正式名称は「個人情報の保護に関する法律等の一部を改正する法律」で2020年6月12日に公布されました）。この改正法により、一定基準を満たす個人情報漏洩が発生した場合、「個人情報保護委員会への報告」と「被害者本人への通知」が義務化されました。

この変更を見越して、多くの企業は2022年に入ると情報漏洩時の迅速な報告体制を整備しています。

• 情報漏洩の脅威が増し、実際の被害も増えている
• 情報漏洩を迅速かつしっかりと報告する義務がある

この2つの理由から、マルウェア感染被害や情報漏洩事件が世間でこれまで以上に報道されるようになっています。企業としては、実際の被害に加えて、被害や事件が広く知られることで、評判を落とすという二重のリスクを負うことになります。これを防ぐためには、これまで以上にセキュリティ対策を行う必要があります。

「メールのアドレスをBCC欄に入れるつもりがCC欄に入れて送ってしまった」
「会員名簿を送る相手のメールアドレスを間違えて別の相手に送ってしまった」

このような人為的なミスも、もちろん情報漏洩に該当します。個人情報を含む重要データを共有する際は、このようなミスが起こらないようなソリューションを導入することがリスク対策になります。

PPAP代替ソリューションとしておすすめの MOVEit

Emotet をはじめランサムウェアや標的型攻撃では、手法としてメールが多く使われます。根本的な対策は、やはりPPAPを含むメールを使ったファイルのやり取りの禁止でしょう。現実問題として、ZIPファイルが添付されたメールを受信拒否する企業も増えているため、ビジネスを続けるなら禁止以外の選択肢はありません。さらに、万が一侵入を許しても情報にアクセスできないようにするための暗号化やテレワーク時代に適したクラウド化なども必須です。

プログレスの MOVEit は、このようなニーズに応える安全なマネージド・ファイル・トランスファー・ソリューションです。社員が個人情報を含むデータをメールで送信したり、なりすました相手から危険なファイルをメールで受信したりする心配がなくなります。高度なセキュリティ機能と世界的に認められたAES-256暗号化方式を採用しているため、機密情報の漏洩も防止できます。また重要なデータを暗号化保存し、ランサムウェアなどで攻撃するハッカーに対し自社のデータを無価値化することができます。

PPAPの代替ソリューションとしてぜひ検討してみてください。