マルウェアの現在のターゲットは固定化された文化

2021年01月06日

2年ぐらい前から姿を見せ、現在に至るまで 猛威を振るい続けるEmotet。
多くの企業は 堅牢なセキュリティを構築しているはずなのに、
なぜ これほどまでに 被害が拡大するのでしょうか。
今回、その理由について 考えてみます。

検出されない理由

検出されない理由は、パスワード付与されたZIPファイルにあります。
パスワード付きZIPの仕組みまでは 詳しくは知らないのですが、
たぶん、パスワードを基準に 本当に暗号化を行っているようです。

つまり、複合化のためのキーもなしに ウィルススキャンをかける事は不可能で、
スキャンを たやすく通過する事でしょう。

しかし、ZIPファイルのパスワードを 総当たりで解除する事は 意外と簡単なようです。
しかし、これをウィルススキャンに組み込もうとすると、
当然 莫大な処理がかかるうえに、全員のPCに その仕組みが組み込まれたら、
暗号化の意味がありません。

パスワード付きZIPファイルを 不正ファイルとして判断するのは、
もはや人の判断に ゆだねられるでしょう。

欺く対象

セキュリティソフトを欺くのは、簡単な話となりました。
単に ZIPファイルにパスワードを付けるだけです。
そして それを開いてもらいさえすれば いいだけです。

Emotet自体は それほど複雑な作りではないと 私は考えます。
ただ、文章が巧妙になっただけと思います。
AIが発達したからとか、そんな たいそうな理由でもありません。

メールの文章は、誤字も書式の乱れもない 丁寧なビジネス文書で送れば、
おそらくは大半の人は 警戒しないでしょう。
そこに 人間味は必要なく、機械でも生成できる文章でも いいわけです。
そのような文章の例は、ネット上にゴロゴロ転がっているわけです。

送信先を探すのも容易です。
ウェブサイトの会社概要欄に載っている メールアドレスはもちろん、
ドメインに「info」「saiyou」などを付け足せば、いくつかは当たりを引きます。

特に「履歴書」などは 効果バツグンでしょう。
なにしろ その会社や取引先の人間の情報は必要なく、
相手は「採用ご担当者様」と呼び、自分は適当な名前を名乗ればいいだけです。
これから入ってくる新人なら、把握しきれておらず、
「履歴書」を開いてみるまで わからないのですから。

Emotetはセキュリティを欺くよりも、
人を欺く事に特化したものだと考えます。

固定された文化を狙った攻撃

海外では どうかはわかりませんが、少なくとも日本では、
ZIPファイルはパスワード付与し、
パスワードを別途送るというのがマナー
になっています。

ウィルススキャンに通らない パスワードZIPですが、
残念な事に、そのような論理的根拠よりも、マナーの方が勝ってしまうのでしょう。
必然的に スキャンを通過するファイルを
許してしまっている文化に なってしまっています。

『きちんとした文章が書けてえらい!』
『情報を暗号化できてえらい!』
そんな気持ちが勝ってしまい、
人間味の感じない文章でも 機械生成された文章と気付かず、
暗号化のせいで セキュリティを通過してしまっても、
既存のマナーを遵守する事のほうが 評価されてしまうのでしょう。

マナー遵守からの脱却も必要

日本には様々なマナーが存在しますが、
そういう固定化されたマナーも、攻撃者の標的になります。

例えば ビジネスメールの書き方や パスワードZIPの送り方も、
マナーとして成り立っているがゆえ、
攻撃者にとってのヒントにも なってしまっているとも言えます。

人の個性は その人に会うまでは 把握する事はできなくても、
マナーは学ぶ事はできます。
つまり、マナーに沿った人間を偽る事で、機械が人を欺く事も容易と言えます。

Emotetは 人の手によって実行されてしまえば おしまいです。
そして、固定化されたマナーは 機械でも容易に守る事は可能です。

マナーからの脱却と言っても、失礼を許していいというわけではありませんが、
マナーとは 守る意味を考えて守らなければなりません
そのマナーが古くて通用しなくなったのなら、もはや守る価値などありません。

人を見る目も変えていく必要があります。
特定のビジネスマナーを 機械的に守れている人間よりも、
多少の失敗はあれど、ちゃんと相手の気持ちに配慮できているかどうか。
相手の人間味を しっかり確認しないと、機械に欺かれるがままです。

Pocket