2019年末に発生したEmotetが暫くぶりに活動を活発化しています。最近は大企業からのリリースが目立つのも特徴かと思います。そのリリースに記載の内容に意味があるのかどうかは別として...
ちなみに、昨年11月下旬から日々増えていたC&Cサーバー(ウイルスに指令を与え制御するためのサーバー)が、日本時間の2月11日を最後に増えていない状況ですし、この記事を書いている2月15日の段階では沈静化しているようにも見えます。しかしながら油断は禁物です。
さて、そんな中で弊社が実施しているEmotet対策を記しておきたいと思います。
それは、ルーターの設定でC&Cサーバーへの通信を遮断する事です。これを実行する事でウイルス本体は指令を受け取る事ができなくなりますので、動きを抑える事が可能になります。と同時に、メールサーバーの設定でS25R(選択的SMTP拒絶)を導入しており非正規のサーバーからと思われるメールを拒絶しております。
要するに2段階の対策を実施しているわけです。
実際、第一段階のメールサーバーでのS25Rにより拒絶されたEmotetによると思われるメールが観測されていますし、メーラーまで到達したEmotetによると思われるメールはありません。ただ、これも万全ではないのと、ISPから発行されたメールアドレスやGmailのようにS25Rが適用されないメールサーバーで受信したメールもありますので、第二段階の設定を行いました。
第二段階はルーターによるC&Cサーバーとの通信遮断になります。一般的にEmotetは早い段階では一般のウイルス対策ソフトでは検知出来ないですし、姿形を変えた亜種が続々出てきていますので一般のウイルス対策ソフトで防御するのは不可能であると考えます。そこで、感染を前提として指令を拒絶出来れば実際に動作する事はないだろうという予測に基づいてルーターに設定を投入しています。但し、この対策が正しいのかどうかは実際に感染していないので不明です。
ちなみに、C&Cサーバーの情報はFEODO trackerというサイトから入手しています。ここの情報を元に日々ルーターの設定を手動で更新する事になります。表計算ソフトで管理する事で作業が単純化されますので、比較的短時間で設定を更新する事が可能になります。
一応、そのような感じで対策をしています。
なお、S25Rは厳しすぎて適切に管理しないと正当なメールも拒絶してしまいますので導入後の運用が簡単ではありません。効果的ではあるものの運用負荷を考えると、正直なところ導入の推奨はしません。そこら辺は、市販の迷惑メール対策ソフトを導入するのが簡単かと思いますが、ある程度判定が緩くなっていますのでEmotetによると思われるメールを全て拒絶出来るかは何とも言えないところです。
また、ルーターによるC&Cサーバーとの通信遮断は有効性の確認をしたわけではありませんので、安心安全であるという保証は全くありません。一応、やっておいた方が無難かな?程度のものですので、そこら辺を御理解頂ければと思います。