猛威を振るうマルウェアEmotetとは?

猛威を振るうマルウェアEmotetとは?

セキュリティ管理

はじめに

本記事をご覧いただいている皆様は、Emotet(読み方:エモテット)というマルウェアをご存じでしょうか?現在国内で大流行しており、情報処理推進機構(以下、IPA)やセキュリティベンダーだけでなく政府からも注意喚起されていますので、名前を聞いたことのある方は多いと思います。

今回の記事では、Emotetとはどういったマルウェアで、その感染被害や対処方法について情報システム部門のご担当者様向けに紹介したいと思います。

Emotetとはなにか

Emotetはマルウェアの一種で、2014年頃にその存在が初めて確認されています。

当時は単体のPCに感染してオンラインバンキングのID・パスワード・暗証番号などを盗むバンキングトロジャン(トロイの木馬)でしたが、2017年頃から役割が大きく変わり、現在ではそれ自身だけでなく他のさらに強力なマルウェアをダウンロード・実行して感染させるマルウェアのプラットフォームとなっています。

時代の流れにあわせて進化する悪質性の高いマルウェア、と言えるでしょう。

侵入経路

Emotetは標的型攻撃の1種で、メール経由で各PCに侵入します。

皆さんのもとにもスパムメールが届いたことがあると思いますが、Emotetの攻撃メールでは添付ファイルとしてWordドキュメントが添付されており、そのマクロをユーザーが実行すると複数のコマンドやPowershellが実行され、他のマルウェアがダウンロードおよび実行されます。

最近ではメールにwordファイルが添付される形式ではなく、メールの本文にURLが記載されておりそれをクリックするとマルウェアがダウンロード・実行される攻撃メールの存在も確認されるようになっています。

感染による被害

Emotetに感染すると、主に以下4つの被害が発生します。

1.PC上の情報を抜き取られる

2.ランサムウェアやトロイの木馬など、他の強力なマルウェアをダウンロード・実行される

3.社内の別PCにEmotetが拡散する

4.社外へEmotetをばらまく踏み台とされる

感染してしまうと単体のPCに被害があるだけでなく、他のPCやサーバーに感染を広げる被害が発生する可能性があります。特に自社だけでなく他社に拡散した場合、その影響は甚大です。

具体的に日本国内では、これまで以下のような被害が報告されています。

 -.某大学

  実在する雑誌社を装ったなりすましメールによって、1万8千件超のメールアカウントが
  流出した

 -.某アパレルメーカー

  Emotetに感染したことで、過去にメールのやり取りをしたことのあるユーザーへ
  なりすましメールが大量に送信された

なぜ現在Emotetが大流行しているのか?

Emotetの侵入経路はメールですので、侵入の手法自体はそれほど目新しいものではありません。ではなぜ現在大流行しているのでしょうか。その理由として、Emotet攻撃メールの侵入手口・内容が大変巧妙化しており、メール受信者の感染を防ぐことが難しくなっていることが挙げられます。 

具体的には以下の4点です。

1. 正規のメールにかぶせる形で攻撃メールが作られている

2. 日本語が自然である

3. 送信時間帯がビジネスアワー全体にわたっている

4. 最近の時事的イベントに関連付けたメールが現れ始めている

まず1点目ですが、Emotetには感染したPCのOutLookメール情報を搾取する機能があり、正規の担当者とやり取りを行った実際のメールから送受信者の情報や内容を抜き取って、それにかぶせた攻撃メールを作成しています。そのため、受信者にとっては届いたメールが継続のやりとりなのか、攻撃メールなのかを見破ることが大変難しくなっています。

次に、これまでにも日本人をターゲットとする日本語文面の標的型攻撃メールはありましたが、文中の日本語が不自然だったり、送信の時間帯が夕方に集中していたりといったわかりやすい傾向がありました。しかし最近のEmotet攻撃メールは上述のように実際のやり取りを引用して作成されており、日本語の文面が自然なものになっています。また送信時間帯も平日午前中(9~12時)を中心としたビジネスアワー全体にわたっており、通常業務でメールのやり取りを行う時間帯であるため、見破りにくい状況となっています。

そして直近の顕著な傾向として、日本をターゲットとした攻撃では日本の時事的なイベントに関連する文面を使用した攻撃メールが作成されている、という状況があります。

実際には、以下のようなEmotet攻撃メールが報告されているようです。

 ・12月に「賞与支払届」という件名の攻撃メールが届いた

 ・1月下旬に新型コロナウイルスを題材とした攻撃メールが届く

※攻撃メールの具体例についてご興味のある方は以下IPAのページをご覧ください。
  「Emotet」と呼ばれるウイルスへの感染を狙うメールについて | IPA

このように、時節に応じた攻撃メールを作成・送信することによって、ビジネスパーソンの注意をひくと同時に攻撃であるということを見破られにくくしています。

被害を未然に防ぐためには

Emotetの被害を未然に防ぐためには、どういった点に注意すべきでしょうか。IPAではEmotetにとどまらず、一般的なウイルス感染防止のために次のような対応を行うことを勧めています。

1. ・身に覚えのないメールの添付ファイルは開かない

    ・メール本文中のURLリンクはクリックしない

    ・自分が送信したメールへの返信に見えるメールであっても、
   不自然な点があれば添付ファイルは開かない

    ・信頼できないメールに添付されたWord文書やExcelファイルを開いた時に
   マクロやセキュリティに関する警告が表示された場合、

  「マクロを有効にする」「コンテンツの有効化」というボタンはクリックしない

    ・メールや文書ファイルの閲覧中に身に覚えのない警告ウインドウが表示され
       その警告の意味が分からない場合は、操作を中断する

    ・身に覚えのないメールや添付ファイルを開いてしまった場合は、
       すぐにシステム管理部門等へ連絡する

残念ながら、不審なメールが届くこと自体を防ぐことはできません。大切なのは、不用意に添付ファイルのマクロを実行しないことや、記載されているURLをクリックしないことです。覚えのないメールについては、絶対にそうした能動的なアクションを取らないよう、従業員の方に注意喚起を徹底すると良いでしょう。
不審なメールかどうかの判断がつかない場合は、送信者に連絡して確認を行うよう教育することも重要です。また万が一添付ファイルを開いてしまった場合は、すぐにシステム管理部門へ連絡するよう従業員の方に周知しておきましょう。

2. OSやアプリケーション、セキュリティソフトを常に最新の状態にする

Emotetが感染を広げようとするマルウェアには、OSやアプリケーションの脆弱性をついて侵入しようとするものがあります。最新のセキュリティパッチを確実に適用する、利用しているアプリケーションのバージョンを適宜最新にアップデートするといった運用を心掛けることにより、各PCの脆弱性を放置しないことが重要です。
もしこのような運用が難しいPCがある場合は、そのPCはネットワークから切り離しておく必要があるでしょう。

併せて、以下のように各PCについてマクロやPowershellの実行を不可とする設定を行うことも有効です。

3. マクロ・Powershellの実行を不可とするような設定を行う

万が一届いたメールが不審であると見破れず、ユーザーが添付ファイルのマクロやURLを実行してしまったとしても、システムとして実行が許可されていなければ被害は発生しません。グループポリシーなどでマクロ・PowerShellの実行を制限することは有効な対策となります。

もし感染してしまったら?

どれだけ注意を行っても、感染を完全に防ぐことは難しい場合があります。一般社団法人 JPCERTコーディネーションセンター(以下、JPCERT/CC)では、感染が疑われる場合は必ず以下の対応をとるよう案内しています。 

1. 感染PCをネットワークから切り離す

まずは、感染の拡大を防ぐことが最優先です。感染が疑われるPCを即座にネットワークから遮断しましょう。

2. 感染PCにおいて使用されていたメールアカウント情報を変更する

感染によりメールアカウント情報が盗まれると、過去のメールとその中に含まれる相手先情報が流出します。さらに、攻撃者が当該アカウントを使ってなりすましメールを送信する恐れがありますので、メールアカウント情報は即座に変更する必要があります。

その他、必要に応じて以下の対応も必要となります。

3. 感染PCにて利用していた全アカウントのパスワードを変更する

感染により、メール以外のアカウント情報についても流出の可能性があります。当該PCで利用していたアカウント情報については、すべてパスワードを変更した方が良いでしょう。

4. 組織内の全PCにてウイルス対策ソフトによるフルスキャンを実施する

感染PCを即座にネットワークから遮断したとしても、それまでのわずかな間に拡散してしまう可能性があります。組織内の他PCにおいてもウイルス対策ソフトのフルスキャンを行い、不審なファイル・プロセスの検出および駆除を行いましょう。

5. ネットワークトラフィックログを監視する

感染発覚後は、組織と外部との間に不審なネットワークトラフィックが発生していないか確認したほうが良いでしょう。ファイアウォールのトラフィックログを監視して、通常と異なった通信が発生していないか確認することをお勧めします。

6. 感染PCを初期化する

上の対応を行っても、組織内で不審なファイルやプロセスが継続的に検出され続けるような場合は、対象PCの初期化にて対応する必要があるでしょう。

併せてJPCERT/CCは最近、Emotet感染有無の確認を行うツール「EmoCheck」をリリースしたようです。感染が心配な場合は、適宜利用して感染有無を確認してはいかがでしょうか。

まとめ

本記事では最近猛威を振るっているマルウェアEmotetについてお伝えしましたが、いかがでしたでしょうか。2020年のオリンピック開催を控え、日本へのサイバー攻撃はさらに増えることが予想されています。少しでも不審と思ったメールが届いた場合には、不用意に添付ファイルのマクロを有効にしない、本文のURLをクリックしない、といった基本的な対応を行うことが被害を防ぐためには最も重要です。

弊社では、常に最新の脅威情報でスキャンできる「PIT-マネージドエンドポイントプロテクション」を提供しています。ご興味があるお客様はぜひお問い合わせください。

マルウェア対策:PIT-マネージドエンドポイントプロテクション