マルウェア「Emotet」はシステムだけでは守れない?!
収束と拡大を繰り返すマルウェア「Emotet」
マルウェア「Emotet」の活動再開が話題になっています。Emotetが初めて検知されたのは2014年でしたが、当初はバンキングマルウェアとして活動していました。オンラインバンクのユーザーを狙い、ログイン情報を盗み出して不正送金を行うものでした。その後、数年にわたってヨーロッパやアジアを中心に検知されていましたが、徐々に沈静化していました。
Emotetが再び話題になったのは2018年頃からでした。復活したEmotetは、企業や個人を狙う情報窃取型のマルウェアに変化していました。2019年には世界中で被害が発生し、Emotetの名前が広く知られるようになりました。2020年には、日本国内の3,000以上の組織が感染するなど、猛威をふるいました。
そして2021年1月、ユーロポール(欧州刑事警察機構)と複数のセキュリティベンダーなどの協力により、Emotetのテイクダウン(容疑者の逮捕やサーバなど機器の押収)に成功、Emotetは鳴りを潜めます。しかし、2021年11月に活動の再開が確認されます。その後も、収束と拡大を繰り返しています。
Emotetの特徴は、巧妙に感染させることです。また、感染により組織内に侵入すると他のマルウェアと同様に情報の窃取を図ります。サイバー攻撃者は外部の指令サーバ(C&CもしくはC2サーバ)を経由してEmotetに指示を送り、都度必要なマルウェアを追加ダウンロードさせます。
そして2021年1月、ユーロポール(欧州刑事警察機構)と複数のセキュリティベンダーなどの協力により、Emotetのテイクダウン(容疑者の逮捕やサーバなど機器の押収)に成功、Emotetは鳴りを潜めます。しかし、2021年11月に活動の再開が確認されます。その後も、収束と拡大を繰り返しています。
Emotetの特徴は、巧妙に感染させることです。また、感染により組織内に侵入すると他のマルウェアと同様に情報の窃取を図ります。サイバー攻撃者は外部の指令サーバ(C&CもしくはC2サーバ)を経由してEmotetに指示を送り、都度必要なマルウェアを追加ダウンロードさせます。
この際に、ActiveDirectoryのコントローラーに侵入し、自らの権限を昇格させることもあります。高い権限にすることで、重要な情報が格納されたサーバにもアクセスできるからです。重要なデータにアクセスしたら、その情報を外部に盗み出します。ここでも攻撃者が指示を送り、検知されないよう一般的な通信プロトコルを使用し、データを外部へ送信します。
短いサイクルで手法を変えていく
Emotetは基本的にメールにより感染します。一般的なマルウェアは、メールにマルウェアが添付されたり、メールの本文にマルウェアサイトへのリンクを記載したりしますが、Emotetは両方の手法を短いサイクルで切り替えています。また、標的とする国のビジネスの事情を熟知しており、特に日本の商習慣に詳しいことも特徴です。それだけ日本が標的となっていることが分かります。
Emotetのメールは自然な日本語であり、実際にビジネス上でやり取りしているような文面となっています。これは、攻撃者がEmotetの感染PCからメールの情報を盗み出して、再利用していると考えられます。また、添付ファイルを暗号化し、後からパスワードを記載したメールを送る、いわゆる「PPAP」の手法を採用することもあります。
これによって受信した企業ユーザーは添付ファイルを開いてしまいます。添付ファイルはExcelなどのOfficeファイルが多く、マクロが設定されています。マクロは作業手順を自動化する簡単なプログラムですが、これを悪用することでEmotetに感染させることができます。
これによって受信した企業ユーザーは添付ファイルを開いてしまいます。添付ファイルはExcelなどのOfficeファイルが多く、マクロが設定されています。マクロは作業手順を自動化する簡単なプログラムですが、これを悪用することでEmotetに感染させることができます。
マイクロソフトでは悪用を防ぐため、初期設定でマクロを無効にしています。そのため、Emotetのメールにはマクロを有効にするよう書かれています。メールの内容を信じてしまい、マクロを有効にしてしまうとEmotetに感染してしまいます。攻撃者は企業などの重要な情報を盗み出そうとすると同時に、感染PCから次の攻撃に利用できるメール情報なども盗み出すわけです。
システムでの対処に加え、人による対処も重要
Emotetのメールは、実際にビジネスで使用された文面や送信者、企業名を使用することが多いため、マルウェアメールであることに気づきにくくなっています。また、添付ファイルもマクロを有効にしない限りは一般的なファイルであるため、セキュリティ対策ソフトも検知しません。
たとえEDR(Endpoint Detection and Response:エンドポイントでの検知と対応)を導入したとしても、感染した際の異常なログが収集、分析されアラートが発出されるまでにタイムラグがあるため、感染が拡大してしまうおそれもあります。攻撃者も検知から逃れるために、次々にアップデートを行っています。最新のバージョンでは、検知しづらい「Temp」フォルダでファイルを開くよう指示するケースが確認されています。
たとえEDR(Endpoint Detection and Response:エンドポイントでの検知と対応)を導入したとしても、感染した際の異常なログが収集、分析されアラートが発出されるまでにタイムラグがあるため、感染が拡大してしまうおそれもあります。攻撃者も検知から逃れるために、次々にアップデートを行っています。最新のバージョンでは、検知しづらい「Temp」フォルダでファイルを開くよう指示するケースが確認されています。
システムでの検知をすり抜けてしまった場合、頼りになるのは「人による対処」です。実際にビジネスでやり取りされた文面とはいえ、突然にメールが届くことは確かです。
例えば、
・送信者や企業名などに心当たりがない。
・受信した時間帯が不自然だった。
・今までにわざわざ自分宛にメールが送られたことがなかった
など、少しでも違和感(不審)を感じた場合は、添付ファイルやリンクをクリックせずに自分が所属する会社の相談窓口や周囲の人に相談しましょう。そのうえで、相手が取引先等の場合は、電話などメール以外の手段で、真偽を確認してみることが重要です。メールへの返信は、攻撃者がなりすまして対応する可能性もある為、避ける必要があります。
例えば、
・送信者や企業名などに心当たりがない。
・受信した時間帯が不自然だった。
・今までにわざわざ自分宛にメールが送られたことがなかった
など、少しでも違和感(不審)を感じた場合は、添付ファイルやリンクをクリックせずに自分が所属する会社の相談窓口や周囲の人に相談しましょう。そのうえで、相手が取引先等の場合は、電話などメール以外の手段で、真偽を確認してみることが重要です。メールへの返信は、攻撃者がなりすまして対応する可能性もある為、避ける必要があります。
また、添付ファイルはマクロを有効にしない限りは感染しないので、安易にそのマクロを有効にせず、そのファイルが本当に自社のビジネスで使われているものであるのかを確認することも有効です。また、最近のEmotetの流行は、日本が突出しているという専門家の意見もあります。これは、日本のユーザーが比較的無意識にマクロを有効化するボタンを押してしまうからという話もあります。攻撃者はそうした習慣を見逃しません。こういった攻撃手法は、基本的にはフィッシングと同じソーシャルエンジニアリングの手法が取られているので、人間の意識の隙を突くようなタイミングや文面で送られてきます。こうしたファイルが添付されたメールに少しでも違和感があれば、周囲の同僚や上司、IT部門などに相談してみるといいでしょう。
システム面でのセキュリティ対策の強化も重要ですが、実際にビジネスを進めているのは人間です。「人」の対処能力も磨いていくことが必要です。例えば、ITリテラシーを向上させるような研修、あるいは学習プログラムなどを導入し、経営層を含む従業員全員のITリテラシーを向上させていく取り組みが、今後は企業を守る最後の砦となるでしょう。
