2021年末頃から活動を再開したマルウェア「Emotet」は、日々機能をアップデートし、侵入能力を高めつつ防御側の検知を回避するよう進化しています。
もしかしたら本連載の読者の中には「Emotetは企業を標的としたものであり、個人には無関係だ」と考える方もいるかもしれません。確かに主なターゲットは企業組織かもしれませんが、結果として個人にも大きな損害を与える可能性も考えておく必要があるでしょう。今回、そんなことを強く思わせる、Emotetの機能追加がありました。
●Google Chromeの暗号化済み情報が標的になる?
警察庁は2022年6月9日、Emotetの新機能を確認したと発表しました。新機能はWebブラウザ「Google Chrome」に保存された非常に重要な情報を窃取するというものです。
ウェブブラウザ「Google Chrome」に保存されたクレジットカード番号や名義人氏名、カード有効期限を盗み、外部に送信する機能が追加されたことを確認しました。Google Chromeでは個人情報を暗号化して安全に保存していますが、Emotetの新機能は暗号データを元に戻すための鍵も同時に盗み出すため、Emotetに感染すると、お使いのクレジットカード情報が第三者に知られるおそれがあります。(原文ママ)
(「Emotetの解析結果について」より)
警察庁の解析によれば、Emotetに感染するとWebブラウザに保存されたクレジットカード番号や名義人氏名、カード有効期限といった決済に必要なほぼ全ての情報が盗まれるとされています。これらの情報は通常暗号化されていますが、復号用の鍵情報もPCに存在するため、それを同時に盗み出すというのです。
Google ChromeにはWebブラウザに保存したパスワード情報などを、複数の端末で同期する機能もあります。もし個人PCのブックマーク情報などを全て同期する設定にしていると、これらの情報が個人PCだけでなく、利用している企業貸与のPCにあるWebブラウザにも反映される可能性があります。
今回のように、企業を標的にしたマルウェアの流れ弾によって個人の情報を抜かれてしまう可能性が出てきたことは、Emotetを(やっと)自分ごととして考えるきっかけになるのではないでしょうか。
個人的にはまず企業で利用するGoogle Chromeでは個人で利用するアカウントを使うのを避け、仕事で利用するプロファイルとは完全に分離することから始めてほしいと思います。いま一度Webブラウザ設定を見直すきっかけとして、このコラムをここまで読んだらまず設定を確認してみてください。
●そもそもWebブラウザにパスワードを保存させていいのか?
勘のいい読者であれば「Webブラウザに保存したクレジットカード情報が標的になるとすれば『パスワード』も狙われているのではないか」と考える人がいるかもしれません。その答えですが、もちろん狙われています。筆者は特に、境界型防御のセキュリティからゼロトラストに転換を進める企業こそ、ID、パスワード保護の重要性を考えてほしいと思っています。
ゼロトラストを推進していけば、必然的にオンプレの社内システムを縮小し、クラウドにあるSaaS(Software as a Service)やPaaS(Platform as a Service)を積極的に活用することになるでしょう。その結果、複数のITサービスにIDやパスワードを入力する必要があるため、利便性を向上すべく、SSO(シングルサインオン)の仕組みも整備しているかもしれません。これが実現できれば、安全性とともに「1つのIDとパスワードで全てのITサービスが利用できる」ことになるはずです。便利ですね。
しかしこの利便性は攻撃者側にも適用されます。攻撃者はこうした取り組みを進める企業に侵入してIDやパスワードさえ盗めば、全てのサービスに正規のユーザーとしてログインできてしまうわけです。正規のユーザーの行動となると既存の仕組みでは検知しにくいケースも出てくるでしょう。
つまりWebブラウザに保存したパスワードが盗まれることは非常に大きな問題です。だからといって、Webブラウザに保存するのをやめて全部頭の中で記憶すべきです……とは全く思いません。この対策では、ユーザーは結局、覚えやすい脆弱(ぜいじゃく)なパスワードに変更してしまい、元も子もなくなってしまうでしょう。
適切な対策は「IDとパスワードだけで認証しない」ことです。多要素認証を導入できるサービスは積極的に利用し、SSOと多要素認証を組み合わせたセキュリティの仕組みをつくりましょう。
ただし注意してほしいのは、攻撃者が喉から手が出るほど欲しいIDやパスワード情報はWebブラウザだけが持っているわけではないという点です。認証済みの状態で保持されるクッキー情報なども窃取の対象であるため、Webブラウザだけを守るのではなく、そもそもPCに不正アクセスされないよう、マルウェア対策全般を実施する必要があるでしょう。
その意味では端末そのものの管理を強化し、「離席時には必ず画面をロックする」「モバイル端末は肌身離さず持ち歩く」といった基本的な対策も重要になります。ご存じかもしれませんが、Webブラウザで保存されているパスワードは画面をロックしていない端末からであれば簡単に表示することが可能です。ログイン状態のデバイスはあなた以外に操作できないように心掛けましょう。
●クレジットカード情報保護の戦略をアップデートしよう
日々明らかになるクレジットカード情報漏えい事件への反応を見ていると、ITに強い方でなくても「なぜセキュリティコードが漏れているのか。セキュリティコードを端末に保存するなど言語道断」といった意見が目立ち、理解が進んでいることが分かります。この点では、日本におけるITリテラシーも高くなったと思います。
しかし今ではクレジットカード情報を盗む際、内部システムに侵入しデータベースから抜き取るよりも、セキュリティレベルの低いWebサーバに侵入し、クレジットカード情報を入力するフォームを改ざんして利用者の入力時に盗む方法が一般的になっています。つまりシステムが保存しているかどうかにかかわらず、セキュリティコードを盗めてしまうのです。
それを考えると、もはやクレジットカード情報は都度入力すること自体が危険ともいえるでしょう。Webブラウザに保存した情報を入力させるのではなく、むしろサービス自体にクレジットカード情報を保存した方が安全なのかもしれません。
●筆者紹介:宮田健(フリーライター)
@IT記者を経て、現在はセキュリティに関するフリーライターとして活動する。エンタープライズ分野におけるセキュリティを追いかけつつ、普通の人にも興味を持ってもらえるためにはどうしたらいいか、日々模索を続けている。
