LRM株式会社が発信する情報セキュリティの専門マガジン近時もっとも外部からの攻撃、特にマルウェアの攻撃の中でも件数が多くなっているのがEmotetというマルウェアです。マルウェアの中でも、他のウィルスを感染させるマルウェアのプラットフォームとなっており、トロイの木馬、ランサムウェアを感染させることでも知られています。
Emotetは、2019年から2020年にかけて被害件数が急増していますが、最近ではコロナウィルスの流行や、季節のイベントに乗じた不正なメールによる攻撃が見られています。
そこで、今までのEmotetの手口・被害状況、感染を防ぐために注意すべきポイント・特にメールに関する注意など、予防および対策を中心に解説します。
Emotetとは
EMOTETはマルウェアの一種で、2014年にはじめて確認されています。被害報告が最初にあった2014年にはオンラインバンクの認証情報を盗むマルウェアとして認識されました。現在では、マルウェアの感染・拡散を行うプラットフォームであることが知られています。
そのため、Emotetは、トロイの木馬や、ランサムウェアと一緒に感染し、検出されることが多くあります。もう少し具体的に説明すると次の通りです。
トロイの木馬は、秘密の「裏口」を作って、情報を外に漏らす「バックドア攻撃」を仕掛けるマルウェアとして知られています。
銀行預金者がオンラインバンキングで利用するID・パスワードなどの認証情報を漏洩させたり、連絡先リストなどの情報を流出させたりすることがあります。気がついたら銀行預金がなくなっていた、という例にもあるように、大きな被害につながるセキュリティ上の脅威です。
Emotetは、当初銀行預金口座のオンラインバンキングに被害をもたらすマルウェアとして認識されました。しかし、実はトロイの木馬を感染させる媒介であり、感染先にあわせて遠隔操作でアップデートされる性質を持っているプラットフォームであり、特に対策が必要なマルウェアであることがわかりました。
Emotetは、メールに添付されたOfficeのマクロ機能を感染のトリガーとしており、マクロ機能から悪意あるファイルをサーバからダウンロードして、実行させてしまいます。この仕組みのために、他のマルウェアをさらに感染させてしまうのです。
その結果、感染したPCからは、様々な認証情報や、メールアドレスなどの重要な情報が盗み出されることとなります。
さらに、他のマルウェアの中には、不正な情報を含むスパムメールを送信するマルウェア、ランサムウェアなどがあり、Emotetの仕組みによれば、攻撃は多種多彩になる可能性があります。
コロナウイルスに乗じたEmotetとは?
新型コロナウイルスに便乗したEmotetによるサイバー攻撃が発生し、企業のユーザーにも被害を続出させています。被害が生じた実例として、こんなメールが送付されています。
(IPAホームページ・「『Emotet』と呼ばれるウイルスへの感染を狙うメールについて」より引用)
コロナウィルスに関する目を引く通知をついダウンロード、さらに添付ファイルを開ける心理を利用した者であり、今後もコロナウイルスの状況に応じた攻撃が行われる可能性は大きいと見られます。
さらに、攻撃者にとってメリットのある情報を持っているターゲットとなる企業の業務委託先・取引先などのなかから、セキュリティ対策が手薄な企業を狙って、サプライチェーン攻撃をしかけることも考えられます。
こうなると企業の機密情報が漏えいするおそれが大きいので、企業の規模を問わずセキュリティ対策の強化・Emotet感染予防対策・外部委託先等の監督強化・教育・啓蒙などの対応策が必要になります。
Emotet攻撃の手法
Emotetの攻撃の手法を知っておくことも重要な対策の一つです。
実は、Emotetの攻撃手法は多岐にわたり、手を変え品を変え、メールを見た人が警戒しないように、攻撃者にとって都合よく改良されています。
最近は感染コンピュータのメールクライアントから盗んだ正規のメッセージを利用する「スレッドハイジャック」手法を使っています。以前に送信したメールの全文引用をつかい、正当なユーザーからの返信であるかのように見せかけるのです。
正当なユーザー、と思い込んでしまうと、メールの添付ファイルやリンクをクリックする心理的ハードルが下がることから、感染が拡がりやすくなっています。また、攻撃者は一つの手口が話題になると、手口を変えて、忘れたころにまた同じようなパターンの攻撃を仕掛けることもあります。
送信元不明の怪しいメールは開封しない、という基本的対策、文面が怪しいメールの添付ファイルをダウンロードしない、という対策はよく知られています。
しかし、前後の関係から不自然なメール・引用の脈絡におかしな点があるメールなどもスレッドハイジャックを考えると警戒の対象です。むしろ、安心できるメールは1通もない、くらいに思ってちょうどよいと同時に、添付ファイルの多用自体、見直しを迫られているといえるでしょう。
Emotetの感染経路や対策を怠ると受ける影響とは
Emotetはメールから感染するマルウェアであるだけに、メールに関する対策は怠ってはならないのと同時に、セキュリティレベルを上げる努力・また、添付ファイルを不用意に使わないことなども対策となります。
しかし、これらの対策を怠ると、次のような被害が考えられます。
- 重要な情報を盗み取られる
- トロイの木馬の感染でバックドア攻撃を受けてしまうことが典型例です
- ランサムウェアに感染して金銭を要求される
- ランサムウェアも、Emotetをプラットフォームとして感染が発生しやすいマルウェアです
- 社内の他の端末にEmotetが伝染する
- Emotetは、社内ネットワークを通じて伝染してしまう性質があります。万が一感染した場合でも、除去にかかる時間・コスト・業務への影響は、少数のPCにとどまるのと、社内全体に広がった場合のそれとは違い、少数のほうがよいものです
- 社外へのEmotetばらまきの踏み台にされる
- Emotetをばらまくスパムの「踏み台」として、Emotetの感染が発生しているPCが利用されてしまいます
- さらに強力なマルウェアに感染してしまう
- 今後、さらにマルウェア攻撃は進化することが見込まれます
Emotetに有効な対策とは
全体のセキュリティレベルを上げることや、メール受信者側の対策はすでにご説明しましたが、技術的な対策として有効な対策は、一例ですが、下記のような対策とされています。
感染した端末をネットワークから切り離す
基本と言えば基本ですが、早く検知して対応すると、感染の広がりは抑えられます。
自動で検知、通信遮断するソリューションを導入しておくとより対策としては十全になります。
メールアドレスなどのパスワードを変更する
メールアドレスなどのパスワードは、定期的な変更を行うように、システム管理者が設定しておくとよいでしょう。メールサーバごとの乗っ取りの抑止力になります。
EMOTET感染被害状況を調査する
調査だけでなく、専門的な分析がついているとさらに良いでしょう。また、いち早く最新情報をつかんで、技術的に最適な対応策を検討するには、外部の情報機関との連携も重要です。
セキュリティ対策ソフトで保護する
セキュリティ対策ソフトで外部からの侵入をブロックすること、IDS/IPSを入れることなども対策になります。
セキュリティパッチを適用する
脆弱性を突かれないようにするためにはセキュリティバッジは最新のものである必要があります。
Power Shellやマクロの実行をブロックする
ディレクトリからの実行や、マクロの実行を止めることでEmotetまたはそこに仕掛けられたマルウェアの実行を止められます。
標的型攻撃メール対策ソリューションを導入する
標的型メール対策ソリューションは、アプライアンスでも、クラウドサービスでも導入が可能です。クラウドサービスにはコスト面でメリットが高いものもありますので、企業の規模・予算規模を問わず、検討してみるとソリューションが見付けられるでしょう。
まとめ
2019年から2020年にかけて、Emotetは猛威を振るったと言っても過言ではありません。
しかし、以前から認識されているマルウェアであることから、日ごろからの基本的な対策と、最新の手口情報を知っておくことが対策のポイントとなります。
また、技術面では細心のソリューションによる対応も検討する必要があるでしょう。