サイバー攻撃

最恐のマルウェア ”EMOTET(エモテット)” にどう対抗するか
~BlackBerry Protectは3年半前から最新EMOTET(エモテット)を検知~

Written by 今井 涼太

営業を経て、現在は LANSCOPE サイバープロテクション(BlackBerry Protect、Deep Instinct)マーケティング担当。
好きなドラマは「半沢直樹」。セキュリティ対策に「倍返し」はあり得ない。
やられる前にやる!事前防御だ!

最恐のマルウェア ”EMOTET(エモテット)” にどう対抗するか<br>~BlackBerry Protectは3年半前から最新EMOTET(エモテット)を検知~

関連記事

最恐のマルウェア “Emotet(エモテット)” を徹底解剖。
特徴と今必要な対策を解説します。

オリンピックの開催を前に「EMOTET(エモテット)」というマルウェアが流行しています。
2019年11月末ごろにメディアで取り上げられ一気に知名度を上げたこのマルウェアですが、日本国内向けに大規模なばらまき攻撃があり、被害が急増しています。
最恐のマルウェア ”EMOTET(エモテット)” にどう対抗するかは、EMOTET(エモテット)を発生の2年前の検知エンジンで検知できたことを確認しています。
2019年は4月と9月に大規模なEMOTET(エモテット)のばらまき型攻撃が観測されており、JPCERTコーディネーションセンターによると10月中旬ごろからセンター宛の被害報告が約1ヶ月で400社以上に上ると報告しています。
これから、2020年の東京オリンピック・パラリンピックの開催に向け、日本を標的にしたサイバー攻撃はさらに増えていくことが確実視されており、EMOTET(エモテット)の国内被害もさらに深刻化することが想定されます。
そこで今回は、EMOTET(エモテット)の特徴と、有効な対応策について解説します。
皆様の組織のセキュリティ対策強化の一助になりましたら幸いです。

EMOTET(エモテット)の危険性=見つかりにくい様々な工夫

EMOTET(エモテット)の感染・被害が深刻化した原因には、攻撃者側の2つの工夫があります。

1つは、ばらまきメールの巧妙さです。
EMOTET(エモテット)は、現在までのところメールに添付したMicrosoft Word文書ファイルのマクロを利用して端末へ侵入・感染するという手法での攻撃が確認されています。
実はEMOTET(エモテット)自体に感染させた端末のOutlookのメール情報を窃取する機能が備えられています。正規にやり取りされているメールに「RE:」をつけて実際のメールの返信を装い、元のメールのスレッドに割り込む形でEMOTET(エモテット)のダウンロードを誘導するメールを配信するため、EMOTET(エモテット)のばらまきメールであることを見破るのが非常に難しいといえます。
メールを経由した感染事例についてはこちらの記事で詳しくご紹介していますのでご参照ください。

2つ目の工夫は、セキュリティ担当者から見つかりにくくする様々な工夫が施されていることです。
特に特徴的なのは、EMOTET(エモテット)本体には不正なコードを多く含まない点です。
EMOTET(エモテット)本体は他のマルウェアを感染させるプラットフォームとしての機能がメインであり、情報窃取などの不正な動作をするモジュールを、攻撃者が用意したサーバー(C&Cサーバー)からダウンロードし、活動します。ダウンロードしたモジュールは、端末にファイルとして保存せずに端末のメモリ上で動作させるファイルレスな仕組みも取り入れており、セキュリティ調査者から解析されにくい工夫がされているといえます。
EMOTET(エモテット)にはこの他にもセキュリティ担当者から見つかりにくくする様々な工夫が施されており、気づかない間にネットワークに潜伏し、不正な活動を行っている恐れがあります。従来型のアンチウイルス製品では検知できない可能性が高いため、早急に、EMOTET(エモテット)が組織のネットワーク内に潜伏していないかを調査することをお勧めします。

Emotet(エモテット)が潜伏していないか調査する方法とは?

このようなEmotet(エモテット)の感染拡大を受けて、JPCERTコーディネーションセンターは2020年2月3日に、端末内にEmotet(エモテット)が潜伏しているかどうかを調査できる「EmoCheck」というツールの無償提供を開始しました。GitHubのWebサイトより無償でダウンロードができます。

 ■JPCERTCC/EmoCheck
  https://github.com/JPCERTCC/EmoCheck/releases

また、エムオーテックスでは現在、AIアンチウイルス製品「最恐のマルウェア ”EMOTET(エモテット)” にどう対抗するか」の無料体験キャンペーンを利実施中です。台数無制限で1か月間最恐のマルウェア ”EMOTET(エモテット)” にどう対抗するかをインストールできます。
最恐のマルウェア ”EMOTET(エモテット)” にどう対抗するかは未知マルウェアも99%以上の精度で検知でき、最新版のEmotet(エモテット)も検知できることが確認されています。実際に本キャンペーンを利用した複数のお客様で、既存アンチウイルス製品では検知できなかったEmotet(エモテット)を最恐のマルウェア ”EMOTET(エモテット)” にどう対抗するかで発見できた事例が確認されています。
自社ネットワーク内にEmotet(エモテット)が潜伏していないかの調査にぜひお役立てください。

エムオーテックス「AIアンチウイルス無料体験キャンペーン」

お申し込みはこちら

EMOTET(エモテット)に感染するとどうなるの?

では、社内にEMOTET(エモテット)に感染した端末が存在した場合、どうなってしまうのでしょうか?
4つの被害が発生します。

①重要な情報を盗み取られる
②ランサムウェアに感染する
③社内の他の端末にEMOTET(エモテット)が伝染する
④社外へのEMOTET(エモテット)ばらまきの踏み台にされる

①重要な情報を盗み取られる

EMOTET(エモテット)が媒介して情報を窃取するモジュールがダウンロードされ、認証情報などの様々な情報が外部サーバーへ送信されて悪用されます。

②ランサムウェアに感染する

ランサムウェアやワイパーがダウンロードされ、端末内のデータを暗号化、もしくは破壊して活動の痕跡を消し去ってしまいます。EMOTET(エモテット)によってどのような情報が漏えいしたのかの調査すらできなくなり、ランサムウェアやワイパーの被害により端末自体が利用できなくなることで、復旧作業を行う間業務がストップしてしまいます。

③社内の他の端末にEMOTET(エモテット)が伝染する

EMOTET(エモテット)は自己増殖するワーム機能を有しており、ひとたびネットワーク内に侵入すると、保護機能の隙間を探し、ネットワーク内の他の端末への侵入を試みます。さらにEMOTET(エモテット)は、端末に潜伏して活動を行いながらも頻繁にアップデートが行われていることも確認されています。もしOSに新たな脆弱性が発見されたら、組織内で爆発的に感染が拡大する恐れもあります。

④社外へのEMOTET(エモテット)ばらまきの踏み台にされる

EMOTET(エモテット)で窃取したOutlookのメール情報を利用し、取り引き先や顧客へEMOTET(エモテット)のばらまきメールを配信します。さらにEMOTET(エモテット)感染端末が増加するだけでなく、顧客へのばらまきメールが発生した場合には顧客への注意喚起や補償の対応が必要となり、企業のブランドイメージの低下につながります。

EMOTET(エモテット)への有効な対応策とは

ここまで、国内で猛威を振るうEMOTET(エモテット)について、その特徴と感染した場合の影響について解説してきました。EMOTET(エモテット)の特徴を踏まえると、対策のポイントとしては次の3点があげられます。

EMOTET(エモテット)の特徴 対応策

メール添付したMicrosoft Wordドキュメントのマクロを利用してEMOTET(エモテット)の本体ファイルをダウンロードし、感染する。

マクロの利用に対してセキュリティ製品で制御を行う。

情報窃取などの活動を行う際には、専用のモジュールをダウンロードし、メモリ上で動作させる。

メモリ上の不審な動作に対して対策ができるセキュリティ製品を活用する。

ワーム機能を有しており、ネットワーク内で自己増殖し、感染端末を増加させる。

境界型ではなくエンドポイントでのマルウェア対策(アンチウイルス)を強化する。

また前提として基本的な対策が行われていることも非常に重要となります。
EMOTET(エモテット)への対策の基本として、JPCERTコーディネーションセンターでも以下の対策を推奨しています。
・組織内への注意喚起の実施
・マクロの自動実行の無効化(事前にセキュリティセンターのマクロの設定で「警告を表示してすべてのマクロを無効にする」を選択しておく)
・メールセキュリティ製品の導入によるマルウェア付きメールの検知
・メールの監査ログの有効化
・OSに定期的にパッチを適用(SMBの脆弱性を突く感染拡大に対する対策)
・定期的なオフラインバックアップの取得(標的型ランサムウエア攻撃に対する対策)

?出典:JPCERT/CC マルウエア EMOTET(エモテット)の感染に関する注意喚起(2019/11/27)

BlackBerry ProtectのEMOTET(エモテット)検知実績

EMOTETは2014年に発生して以降、何度もバージョンアップを繰り返し、初期とは異なる機能を備えた新タイプに進化しています。
従来型のアンチウイルスの場合、タイプが変わるたびにシグニチャの作成が必要となり、感染を防ぐことは不可能です。
BlackBerry Protectは、2019年11月に確認された新タイプのEMOTETに対して、2016年6月7日にリリースした検知エンジンで検知できたことを確認しています。
つまり、BlackBerry ProtectのAIは2年間更新されなくてもEMOTET(エモテット)の最新バージョンに対応できていることになります。

【無料キャンペーン】BlackBerry Protectで端末に潜むEMOTET(エモテット)を見つけ出せ!

BlackBerry Protect を1ヶ月無料で何台でも体験できるキャンペーンを実施中です。
自社の環境で BlackBerry Protect の検知力の高さを体験でき、体験後にはマルウェア検知結果のサマリーレポートをプレゼントします。BlackBerry Protectの高精度の検知エンジンで、ネットワーク内にEMOTET(エモテット)が潜んでいないかを確認することも可能です。
AIを活用した最新鋭のアンチウイルスを、この機会にご体験ください。

自社ネットワーク内に EMOTET が潜んでいないかを無料で調査できます。
BlackBerry Protect を1ヶ月無料で何台でもインストール可能。

AIアンチウイルス無料体験キャンペーン

お申し込みはこちら