巧妙な手口で企業や組織を狙う手法として今でも脅威となっている「Emotet」。ランサムウェアと同様、ユーザーの心の隙を狙い、添付ファイルやダウンロードファイルを介して、PCへの侵入しようと常に私たちを狙っています。未だに被害が続いている中、多くの企業が対応しきれていないという現状もあります。HPのセキュリティ・エキスパートに対応策と具体的なアクションについてアドバイスをいただいたので紹介します。

話者）
株式会社 日本HP
ワークフォースサービス・ソリューション事業本部 ソリューション技術部
セキュリティソリューションアーキテクト
木下 和紀 エドワルド 氏

狙われる日本の企業・組織

―― Emotetやランサムウェアが流行して結構経ちますけども、現在も被害が続いているようですね。最近の動向で何か特徴はありますか？

特に動向はあまり変わってないっていうのが現実です。Emotetやランサムウェアを仕掛けてくる攻撃者は、マルウェアのばら撒きと、拡散を続けています。どこかで誰かが引っかかるだろうといった考えのようです。

どうしてもまだ被害を受けてしまうユーザーがいる以上、攻撃者は方法を変える必要がないのです。

―― 例えばEmotetやランサムウェアの被害を受けるのはどのような人あるいは組織ですか？

被害を受けている人、あるいは組織の傾向として、対策が不十分というケースもありますが、対策できていると思っていたけれど実は正しく機能していなかった、というケースが多いように感じます。

昔からアンチウイルスは入れているけれども、現在ではその対策だけでは不十分になっていて、最新の攻撃に対応したセキュリティの考え方に沿っていなかったという場合もあります。

―― 侵入を許してしまった場合はどうなるのでしょう？

感染した端末から横展開して、ネットワーク越しで広がりながらファイルを暗号化していくような考え方のマルウェアです。攻撃側は、できるだけ多くの人質を作ろうとします。Emotetやランサムウェアの目的は、簡単に表現すれば「できるだけ早く、広く、暗号をかける」ということです。侵入を許してしまった場合、重要な情報が暗号化され、金銭を要求されることになります。また相手は犯罪者なので金銭を支払ったとしても暗号が解除される保証はなく、最悪のケースではさらに金銭を要求されることに発展します。

―― 気づいたときには手遅れということも…

私が対応したケースでは、30分で約700台感染していた例もありました。そのペースで感染が広がってしまうと、担当者が気付いても何もできないというのが実際なのです。

―― となると、やはり、未然に防ぐということの重要性を再認識しなければなりませんね。例えばどのようなソリューションが効果的だったりするのでしょうか？

たとえば、Microsoft365を使っていれば、ゲートウェイ型のネットワークセキュリティがついてきますから、ある程度安全と思われているお客様も結構多いのですが、メール添付に暗号化されたファイルや、ユーザーが自分の意志でダウンロードしたファイルは、どうしてもゲートウェイ型では保護しきれないです。

そうやってすり抜けたファイルをPCで開こうとした時に、アンチウイルスが入っているので守ってくれると思いがちです。ただ、従来のアンチウイルスは例えるなら指名手配犯の写真を参照（シグネチャー）して検疫を実施しているようなものですから、指名手配の出ていない犯人（ウイルス）は検知できません。また指名手配されてリストが出回るまでにタイムラグがあるので、その時間のギャップを突かれたら止めることができずに容易に侵入されてしまいます。

また、現在注目されている「NGAV」と言われる次世代アンチウイルスソフトウェアですが、指名手配書に追加で振る舞い（職務質問）も確認しています。よって、検出できる確率は上がると思います。ただし、その振る舞いというのも、AIに学習させているので、学んでいない振る舞いが実行された時には突破されてしまう可能性は残ります。

それらを考慮してセキュリティを設計していくしかないのが実情です。

どうすれば防ぎきれるのか？

―― 今のお話で出てきたキーワードは大きく2つあると思います。ひとつはシグネチャーや振る舞い型ではすり抜けてしまうというところ、もうひとつは、そもそも自らダウンロードしてきたもので検知されない場合は無防備というところですね。このような状況に対応できるHPの製品はありますか？

HPの製品でいえば「HP Sure Click」があります。先ほど述べたような侵入の仕方でPCに入ってきたファイルを開こうとした場合、アプリケーションごと仮想環境の中で展開します。つまり、仮想環境の中の隔離された領域でマルウェアがいないか検査できるのです。

例えば、仮想環境の中でWordやExcelのファイルを開いた場合、そのまま編集することもできます。その途中でリスクが潜んでいることに気が付いたとしても隔離した状態にあるので、アプリケーションを閉じてしまえばPC側には影響がないのです。

―― つまり、うっかり、見慣れないファイルをダブルクリックしてしまった場合でも、閲覧も編集もでき、怪しい内容であった場合は閉じてしまえば無かったことにできるのですね。

その通りです、感染を狙う悪意が動きを見せても「元に戻せる」というのがHP Sure Click最大のメリットだと思います。

―― なるほど、そうなるとファイルを経由するランサムウェア全体にも有効ですね。もう1点、NGAVが有効だというお話しもありましたが、HPにもそれに該当する製品はあるのですか？

はい。「HP Sure Sense」という製品があります。こちらはシグネチャー型の特長と、AIによる振る舞い検知ができるので、NGAVとして機能します。

この2つの製品は「HP Wolf Pro Security」という統合セキュリティソリューションの中に含まれています。ですから、このソリューションを使っていれば、HP Sure Senseで一度チェックしてマルウェアが検出されなかったものを、さらにHP Sure Clickによって仮想空間の中で開くことができます。

つまり、2段階のチェックをすることになるので、この包囲網をかいくぐってさらにPCの内部に侵入するというのは、不可能に近いと思います。

HP Wolf Pro Securityによる多重防御がポイント

―― 確かにHP Sure ClickとHP Sure Senseによる多層防御があればかなり安全ですね。でも、これだけのセキュリティソフトウェアをPC上で展開するとなると、動きが重くなったりはしませんか？

そう心配される方は多いですね。HP Sure Clickを開発したのは、私の上司でもあるIan Pratt（イアン・プラット）です。彼はXen開発の生みの親で仮想技術の先駆者でもあります。この技術を知り尽くしているので、HPのセキュリティソリューションはいずれもPCに大きな負担を掛けないように開発されているのでご安心ください。

つい先日も導入したばかりのお客様のところへご挨拶に伺ったのですが、エンドユーザーの方が、アプリケーションのウィンドウに枠が掛かるだけで、新しいセキュリティソフトが入ったことが分からない。動きも以前と変わらないと評価をいただきました。

ほとんどの導入企業様は、特別なマニュアルや教育プログラムも不要で、これまで通りに業務が継続できています。セキュリティソフトウェアとして、導入したPCを扱うエンドユーザーが「どこが変わったかわからない」と感じているのは最大の誉め言葉だと思います。

―― それは安心ですね。セキュリティソリューションとなると、管理負担も大きいと思うのですが、その点ではいかがでしょう？

例えば、通常の管理方法だと、ユーザーがうっかり悪意あるファイルを開いてしまって、すぐに連絡が来た場合でも、PCをネットワークから遮断して、端末とネットワークを調査し、必要な範囲をクリーンアップして、OSを再インストール、さらにバックアップからリストアといった一連の手順が発生します。

しかし、先ほども説明した通り、HP Sure Clickならアプリケーションを閉じてしまえば、この作業は要らなくなります。管理負担を考えれば、どちらが良いのかは説明する必要はないでしょう。

―― 確かに管理する側にとって、これ以上の業務負荷削減はありませんね。例えば導入に際して手間が掛かるといったこともないのですか？

導入に関しても通常のアプリケーションと同じく、インストールしてしまえば特にやることはないです。仮想技術を使っていますが、それはPCのバックグラウンドの中での話なので、ユーザーにとってもアプリケーションが増えただけでいつもと変わらず作業が続けられます。

―― Wolf Pro Securityを導入しようと思った場合は、どんなアクションをすればよいですか？

パターンとしては2つあって、1つはHP製のPCを購入いただいてPCを購入する時にオプションでWolf Pro Securityを追加していただくことです。これが一番簡単な方法で、製品名は「HP Wolf Pro Security Edition」になります。

もう1つはすでに所有しているPCに、Wolf Pro Securityだけを導入したいとお考えの方にはソフトウェア単体での販売も実施しています。そちらの製品名は「HP Wolf Pro Security」です。

また、2つのエディションの上位に大企業向けの「HP Sure Click Enterprise」があり、こちらはカスタマイズ性が高めてあり、設定項目は3,000以上あります。環境に合わせた細かい設定が可能なので、あらゆる業種の方にお使いいただけます。

各エディションの比較について詳しくは「HP Wolf Security」オフィシャルサイトでご確認ください
https://jp.ext.hp.com/business-solution/wolf/

―― HP Wolf Pro Securityは、他社製のPCでもインストールできるのですか？

もちろん大丈夫です。ソフトウェア単品での販売になっていて、どのメーカーのPCでも対応しています。唯一制限があるとしたら、CPUがHypervisorという仮想化機能に対応していないといけないので、古すぎるPCや低スペックのPCにはインストールできない可能性があります。その点だけは事前にご確認ください。

―― 本日はいろいろと教えていただきありがとうございます。Emotetやランサムウェアに対してどのように対応すれば理解できました。最後にHP Wolf Pro Securityに興味を持っていただけた方に一言お願いします。

HPではセキュリティ製品のキャンペーンを定期的に実施しています。現在は、Wolf Pro Securityのトライアルキャンペーンを中小企業向けに実施していまして、登録申請をしていただくと、60日間トライアルが無償で行うことができます。50台までお試しいただくことができるので、その中でどんな使い勝手なのか試していただければと思います。

―― ぜひ、使ってみてWolf Pro Securityの安心感を試していただきたいですね。本日はありがとうございました。

※コンテンツ中の固有名詞は、一般に各社の商標または登録商標ですが、必ずしも「™」や「®」といった商標表示が付記されていません。