登録日: 2022年2月18日
最終更新日: 2022年12月16日
昨今猛威をふるっている Emotet(エモテット)の対策として、Trellix が提案するセキュリティールールをご案内いたします。
以下のルールを追加設定することで、未知の脅威へ対策を行います。
その影響により、ご利用中の悪意の無いアプリケーションや、ファイル動作を誤検知する可能性がございます。
設定の追加は社内でご検討いただき、全社への適用前に業務への影響を十分にご確認ください。
弊社では、どの程度の対策が適切か、すでに行われた対策が十分か否かといった点の評価はできかねます。
「脅威対策」と「適応脅威対策」の機能による推奨設定をご紹介します。
ルールのアクションを設定する際は、お客様の環境で競合が発生しないことを確認するため、まずは「報告」に設定し、
競合が発生しないことを確認した後、「ブロック」に設定し直すことをお勧めします。
「報告」される情報を定期的に確認する、不審なメールの添付ファイルを開かない、等の徹底も、エモテット対策として有効です。
管理コンソール (Trellix ePO - SaaS) にサインインし、下記の手順に沿って設定をお試しください。
- * 英語など日本語以外の言語表示の場合は、画面左下の地球マークをクリックして、言語を切り替えてください。
- 画面左上のメニューボタン[三]から「システムツリー」をクリックし、システムツリー画面を開きます。
- 画面左側から設定を行うサブグループ選択し[ポリシー]タブをクリックします。
- 「製品:」のプルダウンを「すべて」から「Endpoint Security Threat Prevention」に変更し、
「アクセス保護」行のポリシー列「Trellix Default」をクリックします。
「Trellix Default」ではないポリシー名が設定されている場合は、そちらをクリックして手順 5 へお進みください。 - 画面右下の[複製]をクリックし、「既存ポリシーの複製」画面で「名前」と「説明」を入力し[OK]をクリックします。
・名前:任意の名前を入力します。※必須入力欄 (例:Emotet対策)
・説明:任意の説明を入力します。 - 画面が更新されて設定の編集が可能になったら、画面左上の[詳細を表示]をクリックします。
- 「ルール」の項目に、以下の3つのルールを追加設定します。
● ルール1:既存ルール「Windows フォルダーでの新しい実行ファイルの作成」のブロックをONにする。
● ルール2:Microsoft Word で、cmd.exe と powershell.exe の実行をブロックする。(Emotet-rule1)
● ルール3:Cドライブ直下の exe ファイル作成をブロックする。(Emotet-rule2)
アクション設定では、まず「報告」のみチェックを ON にすることを推奨します。
「ブロック」のチェックを ON にすると、業務でお使いのシステムの実行が、誤検知によりブロックされる可能性がございます。
- ルール名「Windows フォルダーでの新しい実行ファイルの作成」の「ブロック」と「報告」にチェックを入れます。続けて、以下のルール2の設定へ進みます。
-
- ルールの行にある[追加]をクリックします。
- 「名前」欄に任意の名前を入力します。例:Emotet-rule1 (ルール - オプション 画面)
- 「アクション」の「ブロック」と「報告」のチェックを ON にします。
- 「実行ファイル」の[追加]をクリックします。
- 「名前」欄に任意の名前を入力します。例:WinWord(実行ファイル - プロパティ 画面)
- 「対象ステータス」は「含む」のチェックを ON にします。
- 「ファイル名またはパス」欄に「winword.exe」と入力します。
- 画面右下の[保存]をクリックします。
- 「サブルール」の[追加]をクリックします。
- 「名前」欄に任意の名前を入力します。例:cmd and powershell
- 「サブルール」は「ファイル」を選択します。
- 「操作」は「実行」のチェックを ON にします。
- 「対象」に[追加]をクリックします。
- 「対象ステータス」は「含む」のチェックを ON にします。
- 「ファイルパス」を選択したままにします。
- 「ファイル、フォルダ―名またはファイルパス」に「cmd.exe」を入力します。
- 画面右下の[保存]をクリックします。
- 再度「対象」の[追加]をクリックします。
- 「対象ステータス」は「含む」のチェックを ON にします。
- 「ファイルパス」を選択したままにします。
- 「ファイル、フォルダ―名またはファイルパス」に「powershell.exe」を入力します。
- 画面右下の[保存]をクリックします。(「サブルール」設定画面に戻る。)
- 画面右下の[保存]をクリックします。(「ルール」設定画面に戻る。)
- 画面右下の[保存]をクリックします。(「アクセス保護」の詳細表示画面に戻る。)
既存ルールの他に「Emotet-rule1」が追加されていることが確認できます。
続けて、以下のルール3の設定へ進みます。
-
- ルールの行にある[追加]をクリックします。
- 「名前」欄に任意の名前を入力します。例:Emotet-rule2
- 「アクション」の「ブロック」と「報告」のチェックを ON にします。
- 「実行ファイル」の[追加]をクリックします。
- 「名前」欄に任意の名前を入力します。例:All Processes
- 「対象ステータス」は「含む」のチェックを ON にします。
- 「ファイル名またはパス」欄に「*」と入力します。
- 画面右下の[保存]をクリックします。
- 「サブルール」の[追加]をクリックします。
- 「名前」欄に任意の名前を入力します。例:C Drive exe file
- 「サブルール」は「ファイル」を選択します。
- 「操作」は「作成」のチェックを ON にします。
- 「対象」に[追加]をクリックします。
- 「対象ステータス」は「含む」のチェックを ON にします。
- 「ファイルパス」を選択したままにします。
- 「ファイル、フォルダ―名またはファイルパス」に「C:\*.exe」を入力します。
- 画面右下の[保存]をクリックします。(「サブルール」設定画面に戻る。)
- 画面右下の[保存]をクリックします。(「ルール」設定画面に戻る。)
- 画面右下の[保存]をクリックします。(「アクセス保護」の詳細表示画面に戻る。)
既存ルールの他に「Emotet-rule2」が追加されていることが確認できます。
元の手順に戻り、手順 7 に進みます。
7. 画面右下の[保存]をクリックします。([ポリシー]タブに戻る。)
8. 「アクセス保護」の行の一番右にある「割り当てを編集」をクリックします。
9. 「継承元」の「継承を無効にし、以下のポリシーおよび設定を割り当てます」のチェックを ON にして、
「割り当てられたポリシー」で、手順4で設定したポリシー名(例:Emotet対策)を選択します。
10. 画面右下の[保存]をクリックします。
- 画面左上のメニューボタン[三]から「システムツリー」をクリックし、システムツリー画面を開きます。
- 画面左側から設定を行うサブグループ選択し、[ポリシー]タブをクリックします。
- 「製品:」のプルダウンを「すべて」から「Endpoint Security Threat Prevention」へ変更し、
「エクスプロイト防止」行のポリシー列「Trellix Default」をクリックします。
「Trellix Default」ではないポリシー名が設定されている場合は、そちらをクリックして手順 5 へお進みください。 - 画面右下の[複製]をクリックし、「既存ポリシーの複製」画面で「名前」と「説明」を入力し[OK]をクリックします。
・名前:任意の名前を入力します。※必須入力欄 (例:Emotet対策)
・説明:任意の説明を入力します。 - 画面が更新されて設定の編集が可能になったら、画面左上の[詳細を表示]をクリックします。
- 「署名(Windows と Linux のみ)」の項目にある「クイック検索」に「6087」と入力し[適用]をクリックします。
- 「ID:6087」「名前:Powershell コマンドの制限 - EncordedCommand」がヒットしますので、
そちらの「ブロック」と「報告」のチェックを ON にし、画面右下の[保存]をクリックします。
アクション設定では、まず「報告」のみチェックを ON にすることを推奨します。
「ブロック」のチェックを ON にすると、業務でお使いのシステムの実行が、誤検知によりブロックされる可能性がございます。
- 「エクスプロイト防止」の行の一番右にある「割り当てを編集」をクリックします。
- 「継承元」の「継承を無効にし、以下のポリシーおよび設定を割り当てます」のチェックを ON にして、
「割り当てられたポリシー」で、手順4で設定したポリシー名(例:Emotet対策)を選択します。 - 画面右下の[保存]をクリックします。
- 画面左上のメニューボタン[三]から「システムツリー」をクリックし、システムツリー画面を開きます。
- 画面左側から設定を行うサブグループ選択し、[ポリシー]タブをクリックします。
- 「製品:」のプルダウンを「すべて」から「Endpoint Security Adaptive Threat Protection」へ変更し、
「オプション」行のポリシー列「Trellix Default」をクリックします。
「Trellix Default」ではないポリシー名が設定されている場合は、そちらをクリックして手順 5 へお進みください。 - 画面右下の[複製]をクリックし、「既存ポリシーの複製」画面で「名前」と「説明」を入力し[OK]をクリックします。
・名前:任意の名前を入力します。※必須入力欄 (例:Emotet対策)
・説明:任意の説明を入力します。 - 画面が更新されて設定の編集が可能になったら、画面左上の[詳細を表示]をクリックします。
- 「ルールの割り当て」の項目にある「このポリシーのルール グループを選択」で「セキュリティ」を選択し、
画面右下の[保存]をクリックします。 - 「オプション」の行の一番右にある「割り当てを編集」をクリックします。
- 「継承元」の「継承を無効にし、以下のポリシーおよび設定を割り当てます」のチェックを ON にして、
「割り当てられたポリシー」で、手順4で設定したポリシー名(例:Emotet対策)を選択します。 - 画面右下の[保存]をクリックします。
- 画面左上のメニューボタン[三]から「システムツリー」をクリックし、システムツリー画面を開きます。
- 画面左側から設定を行うサブグループ選択し、[ポリシー]タブをクリックします。
- 「製品:」のプルダウンを「すべて」から「Endpoint Security Adaptive Threat Protection」へ変更し、
「アプリケーションの動的隔離」行のポリシー列「Trellix Default」をクリックします。
「Trellix Default」ではないポリシー名が設定されている場合は、そちらをクリックして手順 5 へお進みください。 - 画面右下の[複製]をクリックし、「既存ポリシーの複製」画面で「名前」と「説明」を入力し[OK]をクリックします。
・名前:任意の名前を入力します。※必須入力欄 (例:Emotet対策)
・説明:任意の説明を入力します。 - 画面が更新されて設定の編集が可能になったら、画面左上の[詳細を表示]をクリックします。
- 「隔離ルール」にある以下の 5 つのルール名を探して「ブロック」を ON にし、画面右下の[保存]をクリックします。
●「隠し属性ビットの変更」
●「任意の子プロセスの実行」
●「サービスのレジストリの場所の変更」
●「移植可能な実行ファイルの変更」
●「拡張子が .exe のファイルの作成」
アクション設定では、まず「報告」のみチェックを ON にすることを推奨します。
「ブロック」のチェックを ON にすると、業務でお使いのシステムの実行が、誤検知によりブロックされる可能性がございます。
- 「アプリケーションの動的隔離」の行の一番右にある「割り当てを編集」をクリックします。
- 「継承元」で「継承を無効にし、以下のポリシーおよび設定を割り当てます」のチェックを ON にし、「割り当てられたポリシー」で、手順4で設定したポリシー名(例:Emotet対策)を選択します。
- 画面右下の[保存]をクリックします。
一定時間経過後、対象のサブグループに所属するシステムにポリシーが適用されます。(デフォルト設定:60分)
すぐにポリシーを適用したい場合は、以下の操作を行ってください。
- 画面左上のメニューボタン[三]から「システムツリー」をクリックし、システムツリー画面を開きます。
- 画面左側から設定を行うサブグループ選択し、対象とする「システム名」の左にあるチェックボックスを ON にします。
- 画面下部の[エージェントウェークアップ]をクリックします。
- 「強制的に更新するポリシー」の「ポリシーとタスクの完全な更新を強制的に実行」のチェックも ON にします。
- 画面右下の[OK]をクリックします。
ポリシー変更が各システムへ配布されますので、適用までしばらくお待ちください。
推奨設定のご案内は以上です。
- Emotet から保護する方法
https://kcm.trellix.com/corporate/index?page=content&id=KB90108&locale=ja_JP - 設定後、ご利用中の悪意の無いアプリケーションやファイル動作を誤検知した場合、「報告」によって定期的に情報を確認するか除外設定を行うかご検討ください。
誤検知対象が広く使用されているファイルの場合、それらを除外設定に追加することは、エモテット対策として行ったポリシー設定の効果を低下させる可能性がございます。
「報告」される情報を定期的に確認すること、不審なメールの添付を開かないといった基本的な対策の徹底も、エモテットに対して有効です。