TREND

市場動向

最恐のマルウェア“Emotet”を徹底解剖。
特徴と今必要な対策を解説します。

最恐のマルウェア“Emotet”を徹底解剖。<br>特徴と今必要な対策を解説します。
目 次

Emotetの危険性=見つかりにくい様々な工夫
Emotetに感染するとどうなるの?
Emotetへの有効な対応策とは

関連記事

流行中のマルウェアEmotetについて、感染有無を確認できるツール
“EmoCheck”をご紹介していますのでご活用ください。

自社ネットワーク内に潜むEmotet(エモテット)を一網打尽!
感染有無確認ツール「EmoCheck」活用のすすめ

関連ページ

流行中の Emotet が潜伏していないか無料で調査しませんか?
CylancePROTECT を1ヶ月無料で何台でもインストール可能。

「AIアンチウイルス無料体験キャンペーン実施中」

(本記事は、2020年6月12日に公開した記事に加筆・修正しています。)
「Emotet(エモテット)」‐2019年11月末ごろにメディアで取り上げられ一気に知名度を上げたこのマルウェアですが、日本国内向けに大規模なばらまき攻撃があり、被害が増加しています。JPCERT コーディネーションセンター(JPCERT/CC)は2020年2月7日、マルウェア「Emotet」に感染した国内の組織が少なくとも約3,200組織に上ることを明らかにしました。
2020年2月以降、Emotetの活動には大きな動きがみられませんでしたが、2020年7月頃に活動を再開している傾向がみられたとして、JPCERT/CCからも注意喚起が行われています。その後国内での感染被害は拡大しており、7月中旬ごろから、エムオーテックスに対しても、「Emotetに感染してしまった」「Emotetの被害を防ぎたい」というご相談が後を絶ちません。
参考:https://www.jpcert.or.jp/newsflash/2020072001.html

また、IPA(日本情報処理推進機構)によると、2020年9月2日に新たに、「パスワード付きのZIPファイルを添付したEmotetの攻撃メール」が確認されています。これにより、セキュリティ対策製品の検知をすり抜ける確率が高くなります。
参考:https://www.ipa.go.jp/security/announce/20191202.html

メールにマクロ付きのWordファイルを添付するというばらまき攻撃の手法には、現在のところ大きな変化は今のところ見られませんが、前述のパスワード付きZIPファイルへの変更や、様々なバリエーションのごく自然なばらまきメールを使うなど、巧妙化は進む一方です。

しかしEmotetの攻撃手法が巧妙化しても、有効な対策方法は変わりません。まずはEmotetの攻撃手法を知ること、そして、強固なマルウェア感染対策を実施することです。
そこで今回は、Emotetの特徴と、有効な対応策について、執筆時の最新情報をもとに解説します。

Emotetの危険性=見つかりにくい様々な工夫

なぜEmotetの感染被害はここまで深刻化したのでしょうか?その原因は、攻撃者側が行った2つの“工夫”にあります。

1つ目は、ばらまきメールの巧妙さです。

Emotetの感染経路としては、メールに添付したMicrosoft Word文書ファイルのマクロを利用して端末へ侵入・感染するという手法が最も多く確認されています。
昨年11月には、正規にやり取りされているメールに「RE:」をつけて実際のメールの返信を装う手法で、大規模なばらまき攻撃が行われました。元のメールのスレッドに割り込む形でEmotetのダウンロードを誘導するメールを配信するため、Emotetのばらまきメールであることを見破るのが非常に難しいといえます。

[出典]IPA:「Emotet」と呼ばれるウイルスへの感染を狙うメールについて- 図7 日本語の攻撃メールの例(2020年9月)
https://www.ipa.go.jp/security/announce/20191202.html

その後、Emotetのばらまきメールにはいくつかのバリエーションが確認されましたが、いずれも不信感を抱かせにくい工夫が施されています。

年末には賞与、2020年1月には「新型コロナウイルス」を題材にした手口が確認されるなど、社会的な関心事に便乗する傾向がある点も巧妙です。

<Emotet攻撃メールの事例>
●「12月賞与」というタイトルで、ボーナスの明細を添付して送付したと装ったメールが送られてきた。メール添付ではなく、ダウンロードURLがメール本文に記載されているケースも確認されている。
●社内のメンバーから複数人へ同時に「請求書」というタイトルの添付ファイル付きのメールが配信された。不審に思った数名が添付ファイルを開かずに返信したところ、そのメールに再度返信する形で、別のファイルを添付したメールが送られてきた。
●地域の保健所を装い、新型コロナウイルスの注意喚起の書面が添付されていることを装ったメールが送られてきた。

2つ目の工夫は、セキュリティ担当者から見つかりにくくする様々な工夫が施されていることです。

特に特徴的なのは、Emotet本体には不正なコードを多く含まない点です。
Emotetも本体は他のマルウェアを感染させるプラットフォームとしての機能がメインであり、情報窃取などの不正な動作をするモジュールを、攻撃者が用意したサーバー(C&Cサーバー)からダウンロードし、活動します。ダウンロードしたモジュールは、端末にファイルとして保存せずに端末のメモリ上で動作させるファイルレスな仕組みも取り入れており、セキュリティ調査者から解析されにくい工夫がされているといえます。

Emotetに感染するとどうなるの?

では、実際にEmotetに感染した場合、どうなってしまうのでしょうか。

1.重要な情報を盗み取られる

Emotetが媒介して情報を窃取するモジュールがダウンロードされ、認証情報などの様々な情報が外部サーバーへ送信されて悪用されます。

2.ランサムウェアに感染する

ランサムウェアやワイパーがダウンロードされ、端末内のデータを暗号化、もしくは破壊して活動の痕跡を消し去ってしまいます。どのような情報が漏えいしたのかの調査すらできなくなり、ランサムウェアやワイパーの被害により端末自体が利用できなくなることで、復旧作業を行う間業務がストップしてしまいます。

3.社内の他の端末にEmotetが伝染する

Emoetは自己増殖するワーム機能を有しており、ひとたびネットワーク内に侵入すると、保護機能の隙間を探し、ネットワーク内の他の端末への侵入を試みます。さらにEmotetは、端末に潜伏して活動を行いながらも頻繁にアップデートが行われていることも確認されています。もしOSに新たな脆弱性が発見されたら、組織内で爆発的に感染が拡大する恐れもあります。

4.社外へのEmotetばらまきの踏み台にされる

Emotetで窃取したOutlookのメール情報を利用し、取り引き先や顧客へEmotetのばらまきメールを配信します。感染端末が増加するだけでなく、顧客へのばらまきメールが発生した場合には顧客への注意喚起や補償の対応が必要となり、企業のブランドイメージの低下につながります。

Emotetへの有効な対応策とは

ここまで、国内で猛威を振るうEmotetについて、その特徴と感染した場合の影響について解説してきました。Emotetの特徴を踏まえると、対策のポイントとしては次の3点があげられます。

また前提として基本的な対策が行われていることも非常に重要となります。
Emotetへの対策の基本として、JPCERTコーディネーションセンターでも以下の対策を推奨しています。

・組織内への注意喚起の実施
・マクロの自動実行の無効化(事前にセキュリティセンターのマクロの設定で「警告を表示してすべてのマクロを無効にする」を選択しておく)
・メールセキュリティ製品の導入によるマルウェア付きメールの検知
・メールの監査ログの有効化
・OSに定期的にパッチを適用(SMBの脆弱性を突く感染拡大に対する対策)
・定期的なオフラインバックアップの取得(標的型ランサムウエア攻撃に対する対策)

このような対策が推奨される一方で、Emotetはその巧妙な手法によって、いつの間にかネットワーク内に潜伏し、活動している恐れがあります。
Emotetを「侵入させない」対策に加えて、「侵入した場合に、感染前に検知ができる」対策として、エンドポイントのアンチウイルス製品の強化が非常に重要です。

エムオーテックスが提供するアンチウイルス「CylancePROTECT」は、AI技術を活用した革新的な手法で、Emotetに対しても高精度で検知し、感染を未然に防ぐことが可能です。実際に、2019年11月に確認された新タイプのEmotetに対して、2016年6月7日にリリースした検知エンジンで検知できたことを確認しています。

現在、AIアンチウイルス「CylancePROTECT」を1ヶ月無料で何台でも体験できるキャンペーンを実施中です。
CylancePROTECT を台数無制限でインストールでき、体験後には、マルウェア検知結果のサマリーレポートをプレゼントします。CylancePROTECTで、ネットワーク内にEmotetが潜伏していないかを確認しませんか?

AIを活用した最新鋭のアンチウイルスを、Emotetの対策にぜひお役立てください。

流行中の Emotet が潜伏していないか無料で調査しませんか?
CylancePROTECT を1ヶ月無料で何台でもインストール可能。

AIアンチウイルス無料体験キャンペーン実施中

★お申し込みの際にキャンペーンコードの入力をお願いいたします。
キャンペーンコード:EM-110

お申し込みはこちら