パスワードを忘れた? アカウント作成
14958587 story
インターネット

マルウェアEmotetの再拡大で米政府機関、パスワード付きzip添付ファイルはウイルスチェックできないとしてブロックを推奨 37

ストーリー by nagazou
かなりEmotetらしきメール増えてる 部門より
7月頃から活動が活発化しているマルウエア「Emotet」だが、米国土安全保障省のサイバーセキュリティ・インフラセキュリティ庁(CISA)は10月6日、急激に活発化していると改めて警告を行った。州政府や地方自治体を標的にした悪意のあるサイバー攻撃者が大幅に増加しているという(National Cyber?? Awareness SystemSecurity NEXT)。

被害の拡大を受けてCISAとMS-ISACでは、Emotetから保護するために、疑わしい添付ファイルをブロックするプロトコルの適用、ウイルス対策ソフトウェアの使用、疑わしいIPアブレスのブロックなどの対策を行うことを推奨している。

Emotetでは新しい戦術として、パスワードで保護されたアーカイブファイル(Zipファイルなど)を電子メールに添付、電子メールセキュリティゲートウェイを回避する方法をとっているという。このため、パスワード設定されたzipファイルをブロックするなどの対策を取ることを求めている。
  • ブラウザが常時クラッシュして、レスキュー用の大きめの実行ファイルを送ろうとして気づいたのだけど
    以前から Gmail は暗号化 Zip の添付ファイルがあると SMTP を受け付けないようだった。
    実行ファイルをそのまま送っても、拡張子を変えても、暗号化 Zip に入れても相手が受け取れなくて、だいぶ困った。

    ここに返信
    • by Anonymous Coward

      大きめの実行ファイル

      ファイルサイズではねられているだけでは?

    • by Anonymous Coward

      パスワード付zipでもファイル名は、素のまま入ってますよ

  • by Anonymous Coward on 2020年10月13日 14時34分 (#3905726)

    パスワードは次のメールで送ります.zip

    ここに返信
    • by Anonymous Coward

      以前見たパスワードつきZIPのウィルスは、パスワードがメール本文に書いてありました。Emotetはどうなんだろ?別メール?

    • by Anonymous Coward

      次メールは、ターゲットにされるような人物なら意味がないですが
      大量のメールの中から探すとなると手動ではありえないでしょうから通常は、自動
      自動で、どうやってお宝を発掘するかを考えると、パスワード付zipとキーワードでしょう。
      パスワード付zipは、一か月あれば解けてしまいます。(昔の話なので、今はもっと早い)

      パスワード付きzipは、先頭の12バイトをチェックすることで簡易的なパスワードチェックができます、
      しかし、サム?が16ビットしかないので間違いのパスワードでもたまに正常判定がでますので、実際の解凍後に間違い判定でる
      場合に解析に時間が掛かってしまいます。そこで複数ファイルが同じパスワードでzip化されている場合、
      他のファイルの12バイトでもチェックをすることで、実際の解凍をしての判定がかなりすくなくなり早く解析できます。

      パスワード付きzipにする場合、1ファイル毎にzipファイルか、1ファイル毎に違うパスワードしないといけませんw

  • by Anonymous Coward on 2020年10月13日 14時51分 (#3905735)

    zipにexeを入れてると勝手に削除したりと渡すべきファイルが消えるからパスワード1234にしたzipを添付しているのに・・・
    セキュリティって不便な方向へばかり向かうから嫌い

    #メール添付後は確認のメールや電話しろと言われてるw

    ここに返信
  • by Anonymous Coward on 2020年10月13日 13時34分 (#3905690)

    さすが日本が誇る伝統芸能「秘文」

    ここに返信
    • by Anonymous Coward

      秘文でも一緒だろう、この場合

      • by Anonymous Coward

        PPAPと揶揄されてる方法ですね

      • by Anonymous Coward

        あれ、デフォは自己解凍exeじゃなかったっけ
        素のzipよりもっと悪い罠
        # これまでそれ受け取ったことはかなり昔2回位かな廃れていることを望

        • by Anonymous Coward

          自己解凍exeですがパスワードはzip同様別添ですね
          exeなので問答無用で削除されるケースが多かった気がします

          ・・・そこで登場、拡張子偽装して、「ダウンロード後拡張子をexeに変更して実行してください」

  • by Anonymous Coward on 2020年10月13日 14時03分 (#3905708)

    危険に触れさせないようブロックさせるのも大事ですが、こういったファイル、行為が危険ですよと社員に啓蒙と教育することも大事ですね
    メール直接、ダメなら暗号化 zip、それがダメなら URL 経由(Web ページ/ファイル転送サービス)みたいに手が変わっていくので
    とりあえず IPA 曰く [ipa.go.jp] doc/xls が危ないので、ひとまず docx/xlsx なら安心かな(docx とかにマクロ潜り込ませた例はなかったはず)

    ここに返信
    • by Anonymous Coward

      今回は、暗号化ZIPを使わないようにというストーリーでしょう。
      アンチウィルスでスキャンできないようなファイルはメールで送らない、受け取らない。

  • by Anonymous Coward on 2020年10月13日 14時05分 (#3905711)

    パスワードで保護されたアーカイブファイル(Zipファイルなど)は相手が受け取れなくて「失礼」なので
    送信しないようにしましょう!アーカイブファイルを送信する時は、USBメモリにコピーして配達証明で
    送るか、直接手渡ししましょう。また、機密性の高い情報は、平文で送るようにしましょう!

    なお、この駄文は「日本など7カ国、暗号化された通信へのバックドアをIT企業に要請」と関係は不明です。

    ここに返信
    • by Anonymous Coward

      ishの出番だな。

      • by Anonymous Coward

        Base64じゃ不服で?

        • by Anonymous Coward

          ishなら変換効率が高いしエラー訂正もあるし。

          # 誰かビジネスマナーにしてくれないかなぁ

          • by Anonymous Coward

            ishが効率高いのは半角カナを使うからだが、ISO-2022-JPでは全角に変換されたりして送れないしUTF-8ではバイトになってかえって効率が悪い。良くも悪くもシフトJISに最適化されている

          • by Anonymous Coward

            ishって最初に手にいれる実行ファイル(EXEファイルでなくCOMファイル)が
            テキストのみでできてなかった?コードがテキストになるように、命令分けてたりしてたんよね

            バイナリをアップできないからishをつかうのに、ishがバイナリだと使えないからだよね

            • by Anonymous Coward

              debugにリダイレクトにで流し込んで実行ファイルを作るんだったけ。
              AX25の狸ワッチだけでRBBSからいろんなプログラムを手に入れてたな

      • by Anonymous Coward

        懐かしいな。
        パソコン通信でishダウンロードしたらishでテキスト変換されてて
        困り果てた記憶が蘇る。

  • by Anonymous Coward on 2020年10月13日 14時20分 (#3905717)

    少なくても以前なら「暗号化圧縮+パスワードメール別送ルール」だと思ったけど。

    ここに返信
    • by Anonymous Coward on 2020年10月13日 14時39分 (#3905731)

      うちはPマークとISMSとってるけど去年そのルールは規定からも消した。
      何か言ってきたらバトるつもりだったんだけど完全スルーだった。

    • by Anonymous Coward

      パスワードはFAXか電話で、が安全だったりして。
      合い言葉なんかも加えると、二段階認証!?

      • by Anonymous Coward

        そこで「+83」とか怪しい国際番号付の電話がかかってくるのですね。
        ナニワ金融道なら「+893」になるのかな?ww

    • by Anonymous Coward

      そんなルールをサンプル文書に入れてるコンサルが入っているかどうかであって、
      PマークやISMSとは直接関係ないです。

  • by Anonymous Coward on 2020年10月13日 14時35分 (#3905728)

    似非真田「こんな事もあろうかとパスワード付き7zファイルを添付している」

    ここに返信
    • by Anonymous Coward
      zipでくれと言ったでおじゃろうがっ!
    • by Anonymous Coward

      単にメールゲートウェイのフィルタで添付ファイルのペイロードが落とされるだけでは

  • by Anonymous Coward on 2020年10月13日 20時57分 (#3905960)

    ファイルを受け渡すときはパスワード付きアーカイブに必ずしましょう
    ファイルを受け取るときはパスワード付きアーカイブは必ずやめましょう

    ここに返信
  • 同じ経路でパスワード送って安全性が高まるわけがないのに、誰がこんなバカな「常識」を広めたんだろ?
    最初に始めた奴も顔から火が出そうな状態だと思うぞ。

    ここに返信
    • by Anonymous Coward

      それについては過去に何度も誤送信対策だって言われてるジャン。

      宛て先コピペか送信済みメールにリプライしちゃったら無意味だけど。

      • by Anonymous Coward

        >宛て先コピペか送信済みメールにリプライしちゃったら無意味だけど。

        普通はそうする。
        いちいちパスワードメールを新規作成してアドレス手打ちしてる人なんているの?

      • by Anonymous Coward

        パスワード別送をシステムで自動化してる企業が多いからマジで意味ないよ。

        結局のところ、屁理屈こねて変わろうとすることから逃げてるだけ。
        「セキュリティは向上しないけど、誤送信対策にはなってるから……」などと言う未練がましい人間の弱さをクラッカーは狙っている。
        サイバー攻撃は年々巧妙化してるというのに、その対策はいつまで経っても変わらないとか馬鹿馬鹿しい。

typodupeerror

にわかな奴ほど語りたがる -- あるハッカー

読み込み中...