マルウェアEmotetの再拡大で米政府機関、パスワード付きzip添付ファイルはウイルスチェックできないとしてブロックを推奨 38
ストーリー by nagazou
かなりEmotetらしきメール増えてる 部門より
かなりEmotetらしきメール増えてる 部門より
7月頃から活動が活発化しているマルウエア「Emotet」だが、米国土安全保障省のサイバーセキュリティ・インフラセキュリティ庁(CISA)は10月6日、急激に活発化していると改めて警告を行った。州政府や地方自治体を標的にした悪意のあるサイバー攻撃者が大幅に増加しているという(National Cyber?? Awareness System、Security NEXT)。
被害の拡大を受けてCISAとMS-ISACでは、Emotetから保護するために、疑わしい添付ファイルをブロックするプロトコルの適用、ウイルス対策ソフトウェアの使用、疑わしいIPアブレスのブロックなどの対策を行うことを推奨している。
Emotetでは新しい戦術として、パスワードで保護されたアーカイブファイル(Zipファイルなど)を電子メールに添付、電子メールセキュリティゲートウェイを回避する方法をとっているという。このため、パスワード設定されたzipファイルをブロックするなどの対策を取ることを求めている。
被害の拡大を受けてCISAとMS-ISACでは、Emotetから保護するために、疑わしい添付ファイルをブロックするプロトコルの適用、ウイルス対策ソフトウェアの使用、疑わしいIPアブレスのブロックなどの対策を行うことを推奨している。
Emotetでは新しい戦術として、パスワードで保護されたアーカイブファイル(Zipファイルなど)を電子メールに添付、電子メールセキュリティゲートウェイを回避する方法をとっているという。このため、パスワード設定されたzipファイルをブロックするなどの対策を取ることを求めている。
Gmail は暗号化 Zip の添付ファイルを許可しない (スコア:2)
ブラウザが常時クラッシュして、レスキュー用の大きめの実行ファイルを送ろうとして気づいたのだけど
以前から Gmail は暗号化 Zip の添付ファイルがあると SMTP を受け付けないようだった。
実行ファイルをそのまま送っても、拡張子を変えても、暗号化 Zip に入れても相手が受け取れなくて、だいぶ困った。
Re: (スコア:0)
大きめの実行ファイル
ファイルサイズではねられているだけでは?
Re: (スコア:0)
パスワード付zipでもファイル名は、素のまま入ってますよ
だから、パスワードもメールで送るのさ! (スコア:1)
パスワードは次のメールで送ります.zip
Re: (スコア:0)
以前見たパスワードつきZIPのウィルスは、パスワードがメール本文に書いてありました。Emotetはどうなんだろ?別メール?
Re: (スコア:0)
次メールは、ターゲットにされるような人物なら意味がないですが
大量のメールの中から探すとなると手動ではありえないでしょうから通常は、自動
自動で、どうやってお宝を発掘するかを考えると、パスワード付zipとキーワードでしょう。
パスワード付zipは、一か月あれば解けてしまいます。(昔の話なので、今はもっと早い)
パスワード付きzipは、先頭の12バイトをチェックすることで簡易的なパスワードチェックができます、
しかし、サム?が16ビットしかないので間違いのパスワードでもたまに正常判定がでますので、実際の解凍後に間違い判定でる
場合に解析に時間が掛かってしまいます。そこで複数ファイルが同じパスワードでzip化されている場合、
他のファイルの12バイトでもチェックをすることで、実際の解凍をしての判定がかなりすくなくなり早く解析できます。
パスワード付きzipにする場合、1ファイル毎にzipファイルか、1ファイル毎に違うパスワードしないといけませんw
スキャンがあるからパスワードつけてるのに (スコア:1, おもしろおかしい)
zipにexeを入れてると勝手に削除したりと渡すべきファイルが消えるからパスワード1234にしたzipを添付しているのに・・・
セキュリティって不便な方向へばかり向かうから嫌い
#メール添付後は確認のメールや電話しろと言われてるw
拝承 (スコア:0)
さすが日本が誇る伝統芸能「秘文」
Re: (スコア:0)
秘文でも一緒だろう、この場合
Re: (スコア:0)
PPAPと揶揄されてる方法ですね
Re: (スコア:0)
あれ、デフォは自己解凍exeじゃなかったっけ
素のzipよりもっと悪い罠
# これまでそれ受け取ったことはかなり昔2回位かな廃れていることを望
Re: (スコア:0)
自己解凍exeですがパスワードはzip同様別添ですね
exeなので問答無用で削除されるケースが多かった気がします
・・・そこで登場、拡張子偽装して、「ダウンロード後拡張子をexeに変更して実行してください」
啓蒙と教育 (スコア:0)
危険に触れさせないようブロックさせるのも大事ですが、こういったファイル、行為が危険ですよと社員に啓蒙と教育することも大事ですね
メール直接、ダメなら暗号化 zip、それがダメなら URL 経由(Web ページ/ファイル転送サービス)みたいに手が変わっていくので
とりあえず IPA 曰く [ipa.go.jp] doc/xls が危ないので、ひとまず docx/xlsx なら安心かな(docx とかにマクロ潜り込ませた例はなかったはず)
Re: (スコア:0)
今回は、暗号化ZIPを使わないようにというストーリーでしょう。
アンチウィルスでスキャンできないようなファイルはメールで送らない、受け取らない。
新たなビジネスマナーとコンプライアンスの予感 (スコア:0)
パスワードで保護されたアーカイブファイル(Zipファイルなど)は相手が受け取れなくて「失礼」なので
送信しないようにしましょう!アーカイブファイルを送信する時は、USBメモリにコピーして配達証明で
送るか、直接手渡ししましょう。また、機密性の高い情報は、平文で送るようにしましょう!
なお、この駄文は「日本など7カ国、暗号化された通信へのバックドアをIT企業に要請」と関係は不明です。
Re: (スコア:0)
ishの出番だな。
Re: (スコア:0)
Base64じゃ不服で?
Re: (スコア:0)
ishなら変換効率が高いしエラー訂正もあるし。
# 誰かビジネスマナーにしてくれないかなぁ
Re: (スコア:0)
ishが効率高いのは半角カナを使うからだが、ISO-2022-JPでは全角に変換されたりして送れないしUTF-8ではバイトになってかえって効率が悪い。良くも悪くもシフトJISに最適化されている
Re: (スコア:0)
ishって最初に手にいれる実行ファイル(EXEファイルでなくCOMファイル)が
テキストのみでできてなかった?コードがテキストになるように、命令分けてたりしてたんよね
バイナリをアップできないからishをつかうのに、ishがバイナリだと使えないからだよね
Re: (スコア:0)
debugにリダイレクトにで流し込んで実行ファイルを作るんだったけ。
AX25の狸ワッチだけでRBBSからいろんなプログラムを手に入れてたな
Re: (スコア:0)
懐かしいな。
パソコン通信でishダウンロードしたらishでテキスト変換されてて
困り果てた記憶が蘇る。
PマークやISMS/ISO27001はどうなってたっけ? (スコア:0)
少なくても以前なら「暗号化圧縮+パスワードメール別送ルール」だと思ったけど。
Re:PマークやISMS/ISO27001はどうなってたっけ? (スコア:1)
うちはPマークとISMSとってるけど去年そのルールは規定からも消した。
何か言ってきたらバトるつもりだったんだけど完全スルーだった。
Re: (スコア:0)
パスワードはFAXか電話で、が安全だったりして。
合い言葉なんかも加えると、二段階認証!?
Re: (スコア:0)
そこで「+83」とか怪しい国際番号付の電話がかかってくるのですね。
ナニワ金融道なら「+893」になるのかな?ww
Re: (スコア:0)
そんなルールをサンプル文書に入れてるコンサルが入っているかどうかであって、
PマークやISMSとは直接関係ないです。
問題ない (スコア:0)
似非真田「こんな事もあろうかとパスワード付き7zファイルを添付している」
Re: (スコア:0)
Re: (スコア:0)
単にメールゲートウェイのフィルタで添付ファイルのペイロードが落とされるだけでは
矛盾 (スコア:0)
ファイルを受け渡すときはパスワード付きアーカイブに必ずしましょう
ファイルを受け取るときはパスワード付きアーカイブは必ずやめましょう
添付ファイルはパスワードzip+別メールでパスワード送る (スコア:0)
同じ経路でパスワード送って安全性が高まるわけがないのに、誰がこんなバカな「常識」を広めたんだろ?
最初に始めた奴も顔から火が出そうな状態だと思うぞ。
Re: (スコア:0)
それについては過去に何度も誤送信対策だって言われてるジャン。
宛て先コピペか送信済みメールにリプライしちゃったら無意味だけど。
Re: (スコア:0)
>宛て先コピペか送信済みメールにリプライしちゃったら無意味だけど。
普通はそうする。
いちいちパスワードメールを新規作成してアドレス手打ちしてる人なんているの?
Re: (スコア:0)
パスワード別送をシステムで自動化してる企業が多いからマジで意味ないよ。
結局のところ、屁理屈こねて変わろうとすることから逃げてるだけ。
「セキュリティは向上しないけど、誤送信対策にはなってるから……」などと言う未練がましい人間の弱さをクラッカーは狙っている。
サイバー攻撃は年々巧妙化してるというのに、その対策はいつまで経っても変わらないとか馬鹿馬鹿しい。
Re: (スコア:0)
大丈夫?
日本語読める?