1. ホーム > 
  2. セキュリティ > 
  3. ネットワークセキュリティを強化する iNetSec > 
  4. blog > 
  5. blog21002

猛威を振るったEmotetは終息、
別のマルウェア感染リスクに備えて、今必要となる対策を解説



巧妙な手口で感染を拡大させ、他のマルウェアの感染も促す「Emotet」とは、2020年になって爆発的に流行しているマルウェアです。そこで今回はEmotetとはどのようなマルウェアなのか?攻撃手法や感染しないための対策などをご紹介します。




史上最大の脅威とも恐れられているEmotetとは?その歴史を解説


Emotetが最初に発見されたのは2014年までさかのぼります。当初Emotetはバンキング型トロイの木馬と呼ばれるオンライン銀行詐欺ツールでした。マルウェアをばらまいてログイン情報を窃取し、オンラインバンキングのセッションを乗っ取ることで、標的のユーザーの資産にアクセスする手口です。

2017年ごろからは、さまざまなマルウェアをダウンロードして感染・拡散を行うプラットフォームのような役割を持つようになります。認証情報を窃取する「トロイの木馬」や、感染したPCをロックあるいはファイルの暗号化して身代金を要求する「ランサムウェア」を自動で感染・拡散させる「運び屋」となることで被害を拡大させていきます。

2018年にはEmotet開発集団とサイバー犯罪集団が結託し、個人だけでなく法人も含めて標的とする金銭目的のアンダーグランドビジネスを展開するようになりました。アメリカの国土安全保障省がEmotetを重大な脅威として警告し、日本でも政府の記者会見でEmotetについて注意喚起しました。Emotetは国が危険視するまでに影響力を高めたのです。



E-Mailを感染経路とする現在のEmotetの手口とは




現在のEmotetは、取引先や同僚等のメールアドレスを送信元としたメールを送付し、添付のOfficeファイルをクリックさせるという手口によって感染させます。感染は次のような手順で行われます。


  1. 正規のメールを装い、受信者にファイルを開かせる
    メールに添付されているOfficeファイルには不正なマクロ(複数の手順を一括で実行できる仕組み)が埋め込まれています。正規のメールを装うことで、受信者の警戒心を解き、ファイルを開きマクロを起動させるように仕向けます。
  2. マクロを起点としてEmotetをダウンロードする
    ファイルを開くとマクロ無効化の警告が表示されますが、「コンンツの有効化」ボタンをクリックしてしまうとマクロが起動し、コマンドやWindowsに標準で搭載されているPowerShellを経由して外部サーバーからEmotetをダウンロードし感染させます。
  3. 関係者にスパムメールを送り付け、感染を広げる
    EmotetはOutlookから送受信されたメールアドレスと表示名等を窃取し、その情報をもとにスパムメールを送り付けて拡散させます。爆発的な拡散力によりネットワーク全体が感染する恐れがあります。
  4. より強力なマルウェアに感染させる
    前章でご紹介した通り、Emotetは他のマルウェアを感染・拡散させるプラットフォームの役割があります。セキュリティソフトであるWindows Defenderを無効化する「Trickbot」、情報摂取やステルス機能を備えたバンキング型トロイの木馬「Qbot」、システムロックやファイル暗号化により身代金を要求するランサムウェア「Ryuk」等、より強力なマルウェアに感染させます。

メールの送受信情報をもとに他の端末にメールを送り付けて拡散させる横展開力と、コマンド&コントロール(C&C)サーバーと呼ばれる外部のサーバーと連携してさまざまなマルウェアを感染・拡散させる強い攻撃力が特徴です。



Emotetに類似したマルウェアも出現


Emotetは日本においても2019年10月ごろから感染事例が相次ぎ、猛威を振るいました。2020年2月以降は沈静化したものの、2020年7月になって再び観測されるようになります。主にメールを感染経路とするのは変わっていませんが、新たな手法を取り込んでセキュリティ対策をかわし続けています。

例えば従来はOffice文書ファイルを添付して送り付けていましたが、2020年9月にはパスワードを設定したzipファイルを添付したメールが発見されました。パスワードが設定されたzipファイルは、セキュリティ対策製品でも対応していない場合があり、スキャンから漏れる可能性があります。もともと暗号化されたzipファイルとパスワードをメールで送付する方法については、セキュリティ対策として疑問があがっていたこともあり、日本国政府でもパスワード付きzipファイルの廃止を発表しています。

また、Emotetと似た経路で感染するマルウェア「IcedID」も発見されました。IceIDはトロイの木馬型の不正プログラムで、オンラインバンキングの利用時に、ブラウザから入力したアカウント情報を窃取します。10月末に国内で発見されたメールは、パスワード付きのzipファイルが添付ファイルとして使われており、解凍したWordファイルを開いてマクロを起動するとIceIDがダウンロードされるという仕組みはEmotetと酷似しています。

IceIDはEmotetを経由してダウンロードされることもあれば、IceID単体でEmotetと同様の役割を持つこともあります。



Emotetに感染したらどんな被害が起きる?


次にEmotet に感染したらどのような被害が起きるか、事例を交えてご紹介します。これまでEmotetから他のマルウェア、ランサムウェアに感染させるという多段階攻撃により、海外の企業や自治体で被害が多発しました。アメリカのレイクシティ市では、「Emotet」に感染したことで「TrickBot」のインストール、「Ryuk」のダウンロードによる暗号化が発生し、ほぼすべての行政システムが乗っ取られてメールや電話まで使えない状態になりました。復旧の目途が立たないことから身代金を支払い復旧にこぎつけたものの、市政と市民への被害は甚大なものとなりました。

日本でも感染が拡大しています。ある調査によると、2019年12月のEmotetの検出台数は約8,000件と急増。その後しばらく沈静化していましたが、2020年9月には約46,000件と跳ね上がり、過去最大規模となりました。

2019年の調査にはなりますが、IBMの調査で国別の被害状況を発表しています。最も被害の多いのはアメリカですが、日本は2番目という結果もあります。

Emotetに感染した端末からメールの送受信先を窃取し、不正ファイルを添付したメールを送り付けるという手法のため、社内だけでなく取引先やサプライチェーンまで被害が及ぶ恐れもあり、十分な警戒が必要です。



Emotetに感染しないための対策とは




では、こうしたEmotetに感染しないためには、どのような対策が必要となるでしょう?

Emotetの手口は、メールに添付されたファイルを開かせることからスタートします。そのため各人がファイルを開かなければ感染を防ぐことができますが、送信元が関係者の名前で送付されるため、騙されやすいという特徴があります。

たとえファイルを開いたとしても、Officeのデフォルト設定ではマクロは無効になっており、実行されることはありません。ただしファイルを開いた直後に、「セキュリティの警告 マクロが無効にされました」警告が表示され、その画面で「コンテンツの有効化」ボタンをクリックしてしまうと、マクロが実行されてしまいます。

注意喚起は必要ですが、「ファイルを開かない」「マクロを有効にさせない」という判断を利用者にゆだねると、漏れが出てくる可能性があります。

そこで強制的にマクロを無効にする方法もあります。Officeのマクロの設定は、例えば、Microsoft 365なら[ファイル]-[オプション]-[トラストセンター]-[トラストセンターの設定]-[マクロの設定]で設定変更できます。「警告を表示せずにすべてのマクロを無効にする」という設定にすると「コンテンツの有効化」ボタンが表示されなくなります。この設定はActive Directoryのグループポリシー(GPO)を使うと管理者が一括で実行できます。



「iNetSec SF」で実現できるEmotetの対策とは



「iNetSec SF」は社内ネットワークに接続されている端末を管理し、未許可の機器をネットワークから遮断するシステムですが、以下のオプションを利用すれば、Emotetの予防策を徹底したり、Emotetがダウンロードした自己拡散型マルウェアの活動を検知・遮断することができます。


  • 「脆弱性検査」オプション
    「脆弱性検査」機能は、最新のセキュリティパッチが適用されているか、ウイルス対策ソフトのパターンファイルが最新かどうか等を検査しますが、任意のレジストリの値を検査することもできます。
    もし業務でマクロを使用しない場合は、Emotetに有効な予防策として、「マクロの設定」で「警告を表示せずにすべてのマクロを無効にする」に設定されているか、レジストリを検査し、未設定の場合には遮断する方法も考えられます。
  • 「標的型サイバー攻撃振る舞い検知」オプション
    「標的型サイバー攻撃振る舞い検知」機能は、遠隔操作型マルウェアや自己拡散型マルウェアを検知しますが、Emotet自体にはそうした挙動がないため検知しません。しかし、Emotetがダウンロードしたマルウェアで自己拡散機能を持つものについては、不審な振る舞いが検知できるためこのオプションが有効です。例えば、Trickbotについては、弊社検証で検知実績があります。

Emotetの手口をみてもわかるように、マルウェア感染の手口は巧妙化しており、セキュリティ対策ソフトだけでは限界があるのが実情です。内部への侵入をいかに早く検知し、問題のある端末の接続を遮断できるかが被害を局所化するカギを握ります。



追記
Emotetが利用していたC&Cサーバは、2021年1月27日にEUROPOL(欧州刑事警察機構)とEUROJUST(欧州司法機構)の調整の下、オランダ、ドイツ、米国、イギリス、フランス、リトアニア、カナダ、ウクライナの法執行機関の協力により停止されました。しかし、別のマルウェアを感染させるためのスパムメールによる攻撃は今後も続くと考えられます。今後も不審なメールに注意し、Office文書ファイルのマクロ機能の警告に対して「有効化」のボタンを押さないようにしてください。


前の記事へ
次の記事へ