Emotetとは
Emotetはマルウェアの一種で、2014年にはじめて確認されています。被害報告が最初にあった2014年にはオンラインバンクの認証情報を盗むトロイの木馬型マルウェアとして認識されました。現在では、他のマルウェアの感染・拡散を行うことができる一種の「プラットフォーム」であることが知られています。
そのため、Emotetは、ランサムウェアや、トロイの木馬亜種のマルウェアと一緒に感染し、検出されることが多くあります。
もう少し具体的に説明すると次の通りです。
トロイの木馬は、秘密の「裏口」を作って、情報を外に漏らす「バックドア攻撃」を仕掛けるマルウェアとして知られています。
銀行預金者がオンラインバンキングで利用するID・パスワードなどの認証情報を漏洩させたり、連絡先リストなどの情報を流出させたりすることがあります。気がついたら銀行預金がなくなっていた、という例にもあるように、大きな被害につながるセキュリティ上の脅威です。
Emotetは、当初銀行預金口座のオンラインバンキングに被害をもたらすマルウェアとして認識されました。しかし、実はトロイの木馬を感染させる媒介であり、感染先にあわせて遠隔操作でアップデートされる性質を持っているプラットフォームであるため、特に対策が必要なマルウェアであることがわかりました。
Emotetは、メールに添付されたOfficeのマクロ機能を感染のトリガーとしており、マクロ機能から悪意あるファイルをサーバからダウンロードして、実行させてしまいます。この仕組みのために、他のマルウェアをさらに感染させてしまうのです。
その結果、感染したPCからは、様々な認証情報や、メールアドレスなどの重要な情報が盗み出されることとなります。
さらに、Emotetが感染させる他のマルウェアの中には、不正な情報を含むスパムメールを送信するマルウェア、ランサムウェアなどがあり、Emotetの仕組みによれば、攻撃は多種多様になる可能性があります。
また、近年のEmotetの隆盛に際し、企業の皆様のより一層の対策の助けになればと、LRMでは概要から対策、感染時対応などに至るまでEmotetに関するあらゆるナレッジを網羅的にまとめた資料を無料で配布しております。
こちらから無料でダウンロードし、ぜひ今後のEmotet対策にお役立てください。
コロナウイルスに乗じたEmotetとは?
新型コロナウイルスに便乗したEmotetによるサイバー攻撃が発生し、企業のユーザーにも被害を続出させています。被害が生じた実例として、IPAのWebサイトで公開されています。
コロナウィルスに関する目を引く通知をついダウンロード、さらに添付ファイルを開ける心理を利用した者であり、今後もコロナウイルスの状況に応じた攻撃が行われる可能性は大きいと見られます。
さらに、攻撃者にとってメリットのある情報を持っているターゲットとなる企業の業務委託先・取引先などのなかから、セキュリティ対策が手薄な企業を狙って、サプライチェーン攻撃をしかけることも考えられます。Emotetに感染すると、感染端末に保存されていたメールの情報やアドレス帳に登録されていた担当者名などの情報が窃取されてしまうからです。
こうなると企業の機密情報が漏えいするおそれが大きいので、企業の規模を問わずセキュリティ対策の強化・Emotet感染予防対策・外部委託先等の監督強化・教育・啓蒙などの対応策が必要になります。
Emotetの最新情報
JPCERTから2022年2月10日に注意喚起が出ており、一旦件数が少なくなったように見えたEmotetは現在でも大きなセキュリティ上の脅威となっています。
JPCERTでは2022年2月の第一週から、Emotetの感染が急速に拡大していることを確認しており、3月10日時点では、約9000のIPアドレス・ドメインが、Emotetの感染またはEmotetの拡散に関与していることが推定されるほどです。
Emotetの感染経路ですが、2021年11月後半より観測されているEmotetは、主にマクロ付きのExcelやWordファイル、あるいはこれらをパスワード付きZipファイルとしてメールに添付する形式で配信されています。受信者がファイルを開封して、ファイルの閲覧・利用のためマクロを有効化するとEmotetの感染を引き起こします。
また、Emotetは、送信元のなりすましがあります。
新たな手法として、メールの添付ファイル名やメール本文中に、なりすまし元の組織名や署名などが掲載されるケースも確認されています。Emotetが感染したPCなどの端末からアドレス情報を引き出し、なりすましを可能にしているとみられています。なりすまされた担当者がEmotetに感染しているとは限りません。
さらに、Emotetの感染したメールの送信は、自社組織内・取引先に対する送信へとさらに感染を拡大していることがうかがわれます。
Emotet攻撃の手法
Emotetの攻撃の手法を知っておくことも重要な対策の一つですので、もう少し詳しく攻撃手法を見てみましょう。
実は、Emotetの攻撃手法は多岐にわたり、手を変え品を変え、メールを見た人が警戒しないように、攻撃者にとって都合よく改良されています。
最近は感染コンピュータのメールクライアントから盗んだ正規のメッセージを利用する「スレッドハイジャック」手法を使っています。以前に送信したメールの全文引用をつかい、正当なユーザーからの返信であるかのように見せかけるのです。
さらに、攻撃者がなりすまし元の組織名・署名欄の掲載があるメールを発信していることをご紹介しましたが、このように手口は巧妙化しています。アドレス帳情報の窃取によって、こうした偽装が可能となることもご紹介しました。
全文引用や、署名欄を見て正当なユーザー、と思い込んでしまうと、メールの添付ファイルやリンクをクリックする心理的ハードルが下がることから、以前より感染が拡大しやすくなっています。
また、攻撃者は一つの手口が話題になると、手口を変えて、忘れたころにまた同じようなパターンの攻撃を仕掛けることもあります。これらの攻撃は、社内から社外へと広がりやすいものです。
最近見られる感染経路を裏付けるかのように、JPCERTの調査結果によると、2022年3月にはEmotetに感染しメール送信に悪用される可能性のある.jpメールアドレス数が2020年の感染ピーク時の約5倍以上に急増しています。感染した組織から、他の組織に知らないうちに感染したメール配信が送信されるケースも増えています。
件数の増加に対して、どのように対処するかについては、少し考え方を変えなければならないと思われます。今までも、送信元不明の怪しいメールは開封しない、という基本的対策、文面が怪しいメールの添付ファイルをダウンロードしない、という対策はよく知られています。
しかし、前後の関係から不自然なメール・引用の脈絡におかしな点があるメールなどもスレッドハイジャックを考えると警戒の対象です。むしろ、安心できるメールは1通もない、くらいに思ってちょうどよいと考えられます。また、同時に感染を呼び込んでしまうと考えられる添付ファイルの多用自体、見直しを迫られているといえるでしょう。
Emotetの感染経路や対策を怠ると受ける影響とは
Emotetはメールから感染するマルウェアであるだけに、メールに関する対策は怠ってはならないのと同時に、セキュリティレベルを上げる努力・また、添付ファイルを不用意に使わないことなども対策となります。
しかし、これらの対策を怠ると、次のような被害が考えられます。
- 重要な情報を盗み取られる
- トロイの木馬の感染でバックドア攻撃を受けてしまうことが典型例です。
- ランサムウェアに感染して金銭を要求される
- ランサムウェアも、Emotetをプラットフォームとして感染が発生しやすいマルウェアです。
- 社内の他の端末にEmotetが伝染する
- Emotetは、社内ネットワークを通じて伝染してしまう性質があります。万が一感染した場合でも、除去にかかる時間・コスト・業務への影響は、少数のPCにとどまるのと、社内全体に広がった場合のそれとは違い、少数のほうがよいものですので、早期に対応できるようにしましょう。
- 社外へのEmotetばらまきの踏み台にされる
- Emotetをばらまくスパムの「踏み台」として、Emotetの感染が発生しているPCが利用されてしまいます。
- さらに強力なマルウェアに感染してしまう
- 今後、Emotetが媒介するマルウェアの進化によりさらにマルウェア攻撃は大きな被害を生むことも見込まれます。
Emotetに有効な対策とは
全体のセキュリティレベルを上げることや、メール受信者側の対策はすでにご説明しましたが、技術的な対策として有効な対策は、一例ですが、下記のような対策とされています。
感染した端末をネットワークから切り離す
基本と言えば基本ですが、早く検知して対応すると、感染の広がりは抑えられます。IDS/IPS、近時のクラウドWAFなどの自動で検知、通信遮断するソリューションを導入しておくと、より対策として強固なものになります。
メールアドレスなどのパスワードを変更する
メールアドレスなどのパスワードは、定期的な変更を行うようにシステム管理者が設定しておくとよいでしょう。メールサーバごとの乗っ取りの抑止力になります。
Emotet感染被害状況を調査する
調査だけでなく、専門的な分析がついているとさらに良いでしょう。また、いち早く最新情報をつかんで、技術的に最適な対応策を検討するには、外部の情報機関との連携も重要です。
セキュリティ対策ソフトで保護する
セキュリティ対策ソフトで外部からの侵入をブロックすること、IDS/IPSを入れることなども対策になります。
セキュリティパッチを適用する
脆弱性を突かれないようにするためにはセキュリティパッチは最新のものである必要があります。
Power Shellやマクロの実行をブロックする
ディレクトリからの実行や、マクロの実行を止めることでEmotetまたはそこに仕掛けられたマルウェアの実行を止められます。ルールで縛ること、アラートを表示させること・管理者以外の実行をブロックするなどの対策が考えられます。
標的型攻撃メール対策ソリューションを導入する
標的型メール対策ソリューションは、アプライアンスでも、クラウドサービスでも導入が可能です。標的型メール対策ソリューションを含んだクラウドWAFなどはコスト面でのメリットが高いものです。
企業の規模・予算規模が小さいからあきらめる、などとせず、検討してみるとソリューションが見つけられるでしょう。
まとめ
Emotetは、トロイの木馬・ランサムウェアなどのマルウェアの媒介となるプラットフォームであり、多種多様なマルウェアを感染させる点で今後も被害が拡大することが予想されます。
対策としては、送信元が不明・文面がおかしいメール・添付ファイルを開かないこと・添付ファイルの利用を最小限にすることは基本ですが、なりすましの手口が巧妙になっているのでより強い技術的な対策を導入しましょう。
アンチウイルスはもちろんのこと、クラウドWAF・IDS/IPS、標的型攻撃メール対策ソリューション等、有効なソリューションを複数用いると効果が上げやすくなります。
また、Emotetの概要から感染時対応まで網羅的にまとめた資料はこちら。