Emotetとは
Emotetはマルウェアの一種で、2014年にはじめて確認されています。被害報告が最初にあった2014年にはオンラインバンクの認証情報を盗むトロイの木馬型マルウェアとして認識されました。
現在では、他のマルウェアの感染・拡散を行うことができる一種の「プラットフォーム」であることが知られています。
そのため、Emotetは、ランサムウェアや、トロイの木馬亜種のマルウェアと一緒に感染し、検出されることが多くあります。
もう少し具体的に説明すると次の通りです。
トロイの木馬は、秘密の「裏口」を作って、情報を外に漏らす「バックドア攻撃」を仕掛けるマルウェアとして知られています。
銀行預金者がオンラインバンキングで利用するID・パスワードなどの認証情報を漏洩させたり、連絡先リストなどの情報を流出させたりすることがあります。
大きな被害につながることが知られており、「気が付いたら銀行預金がなくなっていた」という例もあるようです。
Emotetは、当初銀行預金口座のオンラインバンキングに被害をもたらすマルウェアとして認識されました。
しかし、実はトロイの木馬を感染させる媒介であり、感染先にあわせて遠隔操作でアップデートされる性質を持っているプラットフォームであるため、特に対策が必要なマルウェアであることがわかりました。
Emotetは、メールに添付されたOfficeのマクロ機能を感染のトリガーとしており、マクロ機能から悪意あるファイルをサーバからダウンロードして、実行させてしまいます。
この仕組みのために、他のマルウェアをさらに感染させてしまうのです。
その結果、感染したPCからは、様々な認証情報や、メールアドレスなどの重要な情報が盗み出されることとなります。
さらに、Emotetが感染させる他のマルウェアの中には、不正な情報を含むスパムメールを送信するマルウェア、ランサムウェアなどがあり、Emotetの仕組みによれば、攻撃は多種多様になる可能性があります。
また、Emotetの概要から対策・感染時対応まで網羅的にまとめた資料を無料で配布しています。
ぜひご活用ください。
Emotetの最新情報
Emotetは2014年にはじめて確認されて以降、現在に至るまで断続的に被害が発生しています。
2019年に爆発的な被害件数の増加で一躍有名になりました。
2021年1月に、Europol(欧州刑事警察機構)がテイクダウン(封じ込め)に成功し、一度はその脅威が落ち着きましたが、同年11月には活動が再開、IPAも注意喚起するほどの事態になりました。
2022年2~3月には再び爆発的な被害件数増加を見せ、3月1日~3月8日の間だけで323件の被害報告が IPAに寄せられ、これは先月同日比の約7倍にものぼります。
ちなみに、3月10日時点では、約9000のIPアドレス・ドメインがEmotetの感染またはEmotetの拡散に関与していることが推定されています。
その後、一旦落ち着いたかと思えば 2022年11月に攻撃活動再開、2023年3月に攻撃活動再開、とやはり断続的に動きを見せており、今後も予断を許さない状況です。
また、攻撃手法としては年々高度化を見せており、2023年直近では、OneNote形式のファイル内でたった一回ボタンをクリックするだけで感染してしまう恐ろしい方法も見られています。
Emotet攻撃の手法
Emotetの攻撃の手法を知っておくことも重要な対策の一つですので、もう少し詳しく攻撃手法を見てみましょう。
Emotetは主にメールに添付されたファイルや記載のURLを感染源としています。
その中でEmotetの攻撃手法は多岐にわたりますが、メールを見た人が警戒せずついつい開いてしまうよう巧妙に改良され続けています。
メール本文・件名・署名欄の偽装
受信者がついつい開いてしまうような件名・本文で送信されます。【重要】や【緊急】の表記で開封を急かすような件名になっていることもしばしばですが、就活生や取引先に成りすまして、開かざるを得ないと思わせる事もあります。
また、近年ではEmotetに感染したコンピュータのメールクライアントを乗っ取り、既に行われているメールのやりとりに紛れてEmotetの仕込まれたメールを送信するスレッドハイジャックも行われています。
この手法だと、送信元メールアドレスも正規のモノであり、メール本文もそれまでのやり取りを踏まえた自然なものになっていますので、見破ることはかなり困難です。
その他にもさまざまに偽メールだと気づかれにくい工夫がなされます。
とはいえ、Officeマクロの自動実行の解除や受信者のセキュリティ意識・リテラシーで対策することは可能ですので、しっかり社内でのルール作りやトレーニングを実施しましょう。
巧妙な偽URL・偽ファイル
まず、Emotetは他の危険なマルウェアをダウンロードするプラットフォーマーであるため、一般的なマルウェアに含まれるような不正なコードを含みません。
従って、そもそもマルウェアとして検知されにくいという特徴があります。
これが、Emotetが「最恐のマルウェア」と呼ばれる所以の一つです。
それに加えて、巧妙な偽ファイルや偽WebサイトでユーザにEmotetをダウンロードさせる工夫も盛り込まれています。
- 添付のショートカットファイルやパスワード付きZIPファイルを開くと感染してしまう
- 添付のExcelファイルで表示された「コンテンツの有効化」ボタンをクリックすると感染してしまう
- 添付のOneNote形式ファイルに表示された「View」ボタンをクリックすると感染してしまう
- メール記載のURLをクリックすると、リンク先で自動的に不正ファイルのダウンロードが始まる
こうした手法は枚挙に暇がありませんし、今後もバリエーションを増していきます。
Emotet対策に必要な知識を無料のpdf資料で把握しましょう。
Emotetの感染経路や対策を怠ると受ける影響とは
Emotet の感染経路
Emotetの感染経路は主にメールです。
これまでもお話してきた通り、特定の受信者を想定してカスタマイズされることから、標的型攻撃メールであると言えます。
標的型攻撃メール上から偽ファイルや偽サイトに巧妙に誘導し、マルウェア検知ソフトも潜り抜けて Emotetに感染します。
また、Emotetに感染してしまった場合、メールの送受信履歴を傍受され、そこから新たなEmotetの攻撃に利用されますので、芋づる式の感染経路を取る、とも言えます。
Emotet対策を怠るとどうなるか
対策を怠り、Emotetに感染してしまった場合、次のような事態に発生します。
- 重要な情報を盗み取られる
- トロイの木馬への感染でバックドア攻撃を受けてしまうことが典型例です。
- ランサムウェアに感染して金銭を要求される
- ランサムウェアも、Emotetをプラットフォームとして感染が発生しやすいマルウェアです。
- 社内の他の端末にEmotetが伝染する
- Emotetは、社内ネットワークを通じて広がります。仮に感染してしまっても、一台だけや少数のPCのみである場合と社内全体に広がってしまった場合とでは、除去にかかる時間・コスト・業務への影響は段違いです。
- 社外へのEmotetばらまきの踏み台にされる
- Emotetをばらまくスパムの「踏み台」として、Emotetの感染が発生しているPCのメールアカウントやアドレス帳が利用されてしまいます。
- さらに強力なマルウェアに感染してしまう
- 今後、Emotetが媒介するマルウェアの進化によりさらにマルウェア攻撃は大きな被害を生むことも見込まれます。
Emotetに有効な対策とは
事前の対策
セキュリティ対策ソフトを導入する
セキュリティ対策ソフトで外部からの侵入をブロックすること、IDS/IPSを入れることなども対策になります。
セキュリティパッチを適用する
脆弱性を突かれないようにするためにはセキュリティパッチは最新のものである必要があります。
Power Shellやマクロの実行をブロックする
ディレクトリから実行する、マクロの実行を止めることでEmotetやそこに仕掛けられたマルウェアの実行を止められます。
ルールで縛ること、アラートを表示させること・管理者以外の実行をブロックするなどの対策が考えられます。
標的型攻撃メール訓練を実施する
技術的な対策も重要ですが、Emotetはマルウェア検知ソフトをすり抜けることができるうえ、日進月歩に巧妙な攻撃手法が生み出され続けています。
こうした状況に都度対応して Emotet付きメールに騙されないためには、やはり従業員ひとりひとりがセキュリティ意識・リテラシーをもっておくことが最も肝心です。
Emotet対策のセキュリティ意識・リテラシー醸成には標的型攻撃メール訓練の実施が効率的・効果的です。
標的型攻撃メール訓練については「セキュリオ」サービスページで詳説していますので、あわせてチェックしてみてください。
感染が疑われる際の対応
感染した端末をネットワークから切り離す
基本と言えば基本ですが、早く検知して対応すると、感染の広がりは抑えられます。
IDS/IPS、クラウドWAFなど、自動で検知・通信遮断するソリューションを導入しておくと、より対策として強固なものになります。
メール等のパスワードを変更する
メール等のパスワードを変更することで、不正なログインを防止することができます。
Emotet感染被害状況を調査する
調査だけでなく、専門的な分析がついているとさらに良いでしょう。
また、いち早く最新情報をつかんで、技術的に最適な対応策を検討するには、外部の情報機関との連携も重要です。
関係者への注意喚起
Emotetに感染していた場合、アドレス帳にあるメールアドレスや送受信履歴は窃取されている可能性が高く、新たなEmotetの標的型攻撃メールに利用されることが想定されます。
Emotet感染につながるメールに気を付けるよう、関係者に注意喚起しましょう。
まとめ
Emotetは、トロイの木馬・ランサムウェアなどのマルウェアの媒介となるプラットフォームであり、多種多様なマルウェアを感染させる点で今後も被害が拡大することが予想されます。
対策としては、送信元が不明・文面がおかしいメール・添付ファイルを開かないこと・添付ファイルの利用を最小限にすることは基本ですが、なりすましの手口が巧妙になっているのでより強い技術的な対策を導入しましょう。
アンチウイルスはもちろんのこと、クラウドWAF・IDS/IPS、標的型攻撃メール対策ソリューション等、有効なソリューションを複数用いると効果が上げやすくなります。
その他にもEmotet対策に必要な知識を網羅的にまとめたpdf資料を無料で配布しています。併せて目を通しておいてください!
