SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Security Online Day 2025 春の陣(開催予定)

2025年3月18日(火)オンライン開催

Enterprise IT Women's Forum

2025年1月31日(金)17:00~20:30 ホテル雅叙園東京にて開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

『EnterpriseZine Press』

2024年秋号(EnterpriseZine Press 2024 Autumn)特集「生成AI時代に考える“真のDX人材育成”──『スキル策定』『実践』2つの観点で紐解く」

EnterpriseZineニュース

SBテクノロジー、EDR需要増を受けて新サービス提供──メールを起点とした脅威動向を解説

 3月27日、SBテクノロジーは、国内外のサイバー攻撃における脅威動向と同社「SBT-SOC」に関する勉強会を開催した。

 はじめに、SBテクノロジー プリンシパルセキュリティリサーチャー 辻伸弘氏は、「バラマキメール攻撃の変化と不変」と題して説明を始めた。マルウェア感染の仕組みについて、パスワード付きのZipファイルがメールサーバーを経由してエンドユーザーに到着。マクロが実行されると、PowerShellやbitsadmin.exe、curl.exeなどを呼び出してDL、C&Cサーバーなどからマルウェアを招き入れるとした。感染したマルウェアによっては、メール内容だけでなくブラウザに保存されているID/パスワード、Cookieなども窃取されるため、二要素認証なども突破される。

 そうした状況下で、PPAPを廃止したり、外部取得ファイルのセキュリティ警告(MoTW:Mark of The Web)を適用したりと対策を施している企業が増えているという。なお、ISOやRARといったコンテナファイルによるMoTWを回避する手法がEmotetなどで使われていたが、Microsoftが既にパッチを公開している。「攻撃者からすると逆風が吹いている状況だが、新しい手法も生まれている」として、Microsoft OneNoteを悪用する方法を解説。一見すると同ソフトウェアで作成された通常のビジネス文書に見えるが、不正挙動するファイルを隠しているという。ダブルクリックで画像が拡大表示されるなど、正常動作に見せかけた挙動も確認できる。

 こうした脅威に対処するための基本として「不必要なファイルの受信拒否やアプリケーションの削除」「外部ファイルであることを保持する圧縮・解凍ソフトの利用」「常に最新のパッチを適用」「外部受信ファイルに対するマクロブロック機能の活用」「不審なファイル受信時や事故発生時に適切な部署への報告を徹底すること」などを挙げた。

[画像クリックで拡大]

 辻氏は「着目すべき不変のポイントは、マルウェアを呼び込む部分。Emotet対策という言葉も溢れているが、メールでデリバリする脅威は同様の動きを見せているため、個別ではなく共通部分を押さえて対策することが重要。また、感染しないような対策をしたうえで“侵入を前提とした”対策を講じるべき」と喚起した。

 また、同社SBT-SOCセンター長 市川隆義氏は、「SBT-SOC」について紹介。同SOCでは、2023年3月8日、9日の大規模なバラマキ型のメール攻撃によって数社が被害を受けていることを確認しており、MoTWが適用されない圧縮・解凍ソフトウェア製品を使用していることが要因と見られるケースもあるとした。「PPAPに対応するため、サードパーティー製品を使ったために起きたのではないか」と市川氏は推察する。

 また、USBデバイスからの感染も拡大している。マルウェア「Raspberry Robin」に感染したケースを同社SOCでも観測しており、USBを差し回すことで企業内で拡散されるような動きも見られるという。さらに、社内環境にグローバルIPを付与するモデムを持ち込んでいたため、ブルートフォース攻撃の標的にされたケースもあるとして、「どれもユーザーニーズがリスクを発生させているのではないか。まずは、リスクと認識されているものに対しては速やかに対処する必要がある」とした。

[画像クリックで拡大]

 最後に、同社のセキュリティ事業が伸長していることに触れ、特にEDR需要が拡大しているとした。同日に「VMware Carbon Black」に対応したマネージドセキュリティサービス「MSS for EDR(VMware Carbon Black)」の提供を発表しており、今後はセキュリティ人材の採用・育成強化にもより取り組んでいくという。

[画像クリックで拡大]

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
この記事の著者

岡本 拓也(編集部)(オカモト タクヤ)

1993年福岡県生まれ。京都外国語大学イタリア語学科卒業。ニュースサイトの編集、システム開発、ライターなどを経験し、2020年株式会社翔泳社に入社。ITリーダー向け専門メディア『EnterpriseZine』の編集・企画・運営に携わる。2023年4月、EnterpriseZine編集長就任。

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/news/detail/17548 2023/03/28 18:04

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング