たかむらです。

2月6日~2月21日の間に自分を含む4メールアドレス宛に配送されてきたメールで、メールサーバのウィルススキャンに引っかからず、WatchGuard(UTM)のヒューリスティックスキャン(振る舞い検知)で捕捉・無効化されたものを集計してみました。

Cause : The message contains a virus.
Content type : text/plain
File name    : (none)
Virus status : Zero-Hour Detection: [3] Virus threat HIGH.
Action       : The Firebox deleted (none).
Recovery     : cannot restore

To:
hogehoge1@itoh.co.jp 11
hogehoge2@itoh.co.jp 9
hogehoge3@itoh.co.jp 9
hogehoge4@itoh.co.jp 3

と合計32通ものメールがメールサーバのウィルスチェックをくぐり抜けていました。(当社のメールサーバは2時間おきにウィルスパターンファイルの更新を行っています。)

もちろんこれもタイミングの問題で各々のPCにあるウィルスチェックでは捕捉されたかもしれません。(検出されないかもしれませんが。)

要はウィルス対策ソフトベンダさんがウィルスの検体を集めてパターンファイル(シグネチャーファイル・指名手配書)を配布完了し、各PCが自動的にそのパターンファイルを有効にする前に拡散して感染させ、PCを乗っ取ると言う昨今流行のサイバー攻撃そのものがこのゼロアワーアタックなのです。

もう以前のように一日2~3度のパターンファイル更新しかできないようなソフトでは用が足りないと言う実例でした。

「大企業や有名な会社じゃないからウチみたいな中小企業はサイバー攻撃なんて関係無い!」と何の根拠の無い妙な自信をもった世の社長さんがたにこの事実を知っていただきたいと思います。