被害拡大するマルウェア「Emotet」 その対策とは? 脆弱性Lab

2020年9月23日

Emotetの流行

新型コロナウィルスの世界的な流行が発端となり、働き方が大きく変わってきている中において、Emotet(エモテット)による攻撃活動が再開され猛威をふるっています。
JPCERT/CC が、2020年9月に、Emotetに関する相談件数の増加から、感染が拡大している傾向があることを発表しました。
攻撃者による不審メールが巧妙化し、より進化している状況が確認されており、注目を集めているマルウェアと考えられます。

Emotetの歴史

Emotetの発見当初は、銀行を狙うバンキングマルウェアとして登場しましたが、様々な機能が実装され、今後も更なる進化を遂げる可能性があります。
2020年7月末よりEmotetの感染を狙う不審メールが再配信され、感染拡大により注意が必要なマルウェアです。

年代概要
2014年 オンラインバンキングのログインIDやパスワードを盗むマルウェアとして悪用
2017年 Emotetに感染した際、別のマルウェアを呼び込むダウンローダー型に変化
2018年 Emotetにメール文面などを収集する機能が実装され、不審メール配信にも悪用
2020年 2020年7月末より不審メールの配信が再開
2020年9月にJPCERT/CCより、相談件数の増加からEmotet感染拡大を警戒する情報提供が公開

Emotetの特徴

Emotetの特徴としては、不審メールが配信され、そのメールの添付ファイルやURLリンクをクリックすることで、PowerShellが実行され、Emotetの感染に繋がります。
感染後、メールアドレスやメール文面が漏えいし、2次被害に拡大する恐れや、ランサムウェアなどの別のマルウェアをダウンロードし、感染を広げる可能性があります。

<Emotet に感染した際の挙動イメージ>

Emotet流行の原因

(1)不審メール文面の巧妙化

これまでのばらまき型の不審メールは、片言の日本語だったりすることで、文章から不審メールの判別ができることがありました。
Emotetの不審メールが大きな話題となっているのは、不審メールの作りが巧妙化しており、ユーザが気づかずに添付ファイルやURLをクリックしてしまう可能性があることです。

以下の不審メールのサンプルですと、Emotetに感染した端末で受信しているメール情報などを攻撃者が取得し、なりすましメールを配信され、受信者に添付ファイルやURLのクリックを誘導しています。

<Emotetの不審メールサンプル>

上記パターンの不審メールは英語の文面が追記されており気づくこともあるかと思いますが、IPAから日本語文面を追記されている不審メールのパターンなどが多数掲載されておりますので、参考情報として活用ください。
最近では、正規のアンケートメールの文面を引用したケースも確認されており、より巧妙に受信者を騙す方法で、不審メールが送られています。


このような不審メールに気づくためには、社員の更なるセキュリティ意識の向上が重要ですので、定期的にメール訓練を実施することが重要と考えます。

この課題を解決するサービス/ソリューション
不審メールに社員が気づくために

(2)Office文章のセキュリティ警告

Emotetに感染させるマルウェアは、基本的にOfficeドキュメント(ワードなど)に、悪意あるマクロを組み込んでいます。
悪意の無いOfficeドキュメントを開くときも、以下の警告が表示されることがあり、条件反射で、「コンテンツの有効化」をクリックしてしまうのではないでしょうか?
もし、Emotet感染を狙う攻撃者の不審メールであった場合、コンテンツの有効化をクリックすることで、悪意あるマクロが実行されてしまい、マルウェアに感染する可能性があります。
なお、Officeドキュメントの中身としては、コンテンツの有効化を促す内容が英語などで記載されているパターンが確認されています。

もし、間違ってクリックしてしまった場合、防御や検知するためには、エンドポイントでもネットワークにおいても、双方において未知の脅威への対策を実施し、早期に気づける仕組みを整備する必要があると考えます。

この課題を解決するサービス/ソリューション
マルウェアを実行してしまった際、早期にエンドポイントで気づくために
マルウェアを実行してしまった際、早期にネットワークで気づくために

Emotetへの対応策

(1)マルウェア感染や被害拡大を抑止するためには

① ウィルス対策ソフトのパターンファイルを最新にする
基本的な事項として、ウィルス対策ソフトのパターンを最新にする既知のマルウェアへの対策が挙げられます。
しかし、マルウェアの進化により検知しない恐れがあります。
その際も考慮にいれ、エンドポイントとネットワークでの未知の脅威への対策もあわせて実施する必要があります。

② OSやソフトウェアのセキュリティパッチを適用する
Emotet の感染により、別のマルウェアに感染拡大する可能性が考えられます。
脆弱性を悪用したものも存在する可能性がありますので、OSやソフトウェアの脆弱性を解消しておく必要があります。

③ 受信メールの閲覧時には注意をはらう
最近の不審メールは、文面だけでは、判別しづらくなっていますので、不審メールの訓練を定期的に実施し、個々のユーザが不審メールへの耐性を上げていく必要があると考えます。
例えば、以下をより注意深く確認することが必要と考えます。
 ・受信メールのFROMのアドレスを確認し、なりすましでないか注意する
 ・Officeドキュメントのセキュリティの警告がでても、条件反射で有効化しない

④ 一部機能やアプリケーションの実行を制御する
業務影響を考慮した上で、以下対応を組み合わせて実施することをご検討ください。
 ・Office ドキュメントにおけるマクロの自動実行の無効化
 ・PowerShellの実行を制御
Officeドキュメントにおいて、マクロを完全に無効化することは困難な場合があり、ユーザ操作で許可する設定となることが想定されます。
そこで、アプリケーション制御などで、PowerShellの実行を停止することもリスクの軽減策として挙げられます。

各種の対応策として参考となるサイトを以下に掲載しますので、業務影響を考慮し、対応をご検討ください。

(2)マルウェア感染の恐れがある場合には

① 端末が感染したと思ったら、自社の対応方針に従う
自社のマルウェア感染時の対応方針を事前に確認いただき、その内容に沿って対応を実施してください。
Emotetの場合は、不審メール配信に悪用されることがありますので、情報流出を抑止するため、ネットワークから隔離する必要があると考えます。
ただ、コンピュータフォレンジックの観点などで、現状保管するなどの方針がある場合は、自社の方針に従ってください。

② 対象端末で利用しているパスワードを変更する
Emotetに感染した際、アカウントやパスワードが流出している可能性があります。
端末で利用しているパスワードやブラウザなどで入力した可能性のあるパスワードは、全て変更する必要があります。
また、端末で保存されているアカウントやパスワードもあるかと思いますので、そちらのパスワードも変更しておく必要があります。

まとめ

本コラムの執筆時点においても、Emotet感染を狙った不審メールが配信されているとの情報があります。
標的型メール訓練などで、全社員のセキュリティ意識を上げる活動だけでは、巧妙化が進んできた不審メールには対処しきれない可能性が懸念されます。

攻撃者はセキュリティ対策製品などによる防御や検知を回避するため、さまざまな方法を試行してきています。
例えば、頻繁な接続先サーバの変更や添付ファイルのパスワード付きZipなどが確認されています。

アプリケーション制御などの機能を有する製品で、エンドポイントでマルウェア感染のリスク軽減を図ることが有効な場合があります。
併せて、マルウェア感染の可能性を早急に把握するため、既知の脅威対策としてのパターンマッチ型のセキュリティ対策だけでなく、未知の脅威を検知するために、エンドポイントでもネットワークでもセキュリティ対策を実施していく必要があると考えます。


更新履歴
2020/9/23:初版公開
2020/10/7:「Emotetへの対応策」の(1) ④を追加、「まとめ」を更新

著者プロフィール
西井 晃

2012年、京セラコミュニケーションシステム 入社
データセンターサービスやクラウドサービスにおいて、運用保守やサービス開発業務に従事。
2016年、SecureOWL Center (SOC) に配属後、セキュリティ監視運用やセキュリティサービス立ち上げを担当。
現在は、セキュリティアナリストとして、セキュリティインシデントレスポンス業務に従事。
KCCS-CSIRTの活動に参加し、世界平和を目指す。

掲載されている情報は、発表日現在の情報です。最新の情報と異なる場合がありますのでご了承ください。

ページトップへ