COLUMN COLUMN
2022.2.24 /
Emotetの再拡大と対策について
Emotetとは
Emotetは、攻撃者によって不正なメールに添付されたファイルを、デバイス上で開くことで感染するウイルスです。
メールにマクロ付きのWordやExcelファイル、もしくはそれをパスワード付きZipファイルとして添付したものを送付し、利用者がEmotetだと知らずにファイルを開く際に、Officeマクロを介して感染し、メールのアカウントのパスワードやアドレス帳情報などが抜き取られることで、さらに感染が広がります。
Emotet自体が直接攻撃するというよりは、より大きな感染拡大を誘発する準備をしたり、直接的な被害に結びつくランサムウェアなど別のマルウェアを引き入れたりしてきます。
2020年に被害が爆発的に拡大したあと、欧州刑事警察機構による大規模な摘発作戦により一度ほぼ壊滅しましたが昨年11月頃からまた活動が再開し、2022年2月に入ってから日本でも大規模なばら撒き攻撃が行われ、多くの企業で被害が続出しています。
Emotetの特徴
Emotetの攻撃手法は上記のようなマクロ付きのWordやExcelファイルなどをメールに添付して送りつける方法以外にも、メール本文中に設置されたリンクをクリックすることで同様のExcelやWordファイルをダウンロードさせる、アプリケーションのインストールを装ったメールから感染させる、などのパターンもあるようです。
それ以外にもEmotetがここまで感染を拡大させていることにはいくつか理由があります。
一つは攻撃メールが巧妙であり、見抜くことが難しくなっていることです。
盗み取った既存メールの本文を利用して、そのメールのタイトルに「Re:」を付け返信を装って送ることにより、一見して怪しいメールと気づきにくくなっています。また、年末には「賞与」、最近では「新型コロナウイルス」に関するタイトルやメール本文にするなど、社会の情勢や時節に合わせた内容を組み合わせることでユーザーの油断を誘っています。
もう一つは、侵入後の攻撃がWindowsの標準的なシステムを使い、その脆弱性をつくことでウイルス対策ソフトが脅威と判断しにくくしている点です。
マルウェア特有の特殊な攻撃手法に対しては非常に高い防御力を誇る既存のウイルス対策ソフトも、例えばSMB(Server Message Block)というWindowsのファイル共有やプリンタ共有に普通に使用するマイクロソフトの独自通信プロトコルを使用することで、標準的なOS操作であるかのように装い、攻撃と判断されにくい工夫がされています。
Emotetは以下のようにその被害を拡大、深刻化させていきます。
1.重要な情報を盗み取られる
Emotetを介して情報を盗み取るプログラムがダウンロードされ、端末やブラウザに保存された認証情報などの様々な情報が盗まれ外部サーバーへ送信される。
2.直接攻撃をおこなうマルウェアを呼びこんで感染する
Emotetを介してランサムウェア、ワイパーマルウェアなど直接攻撃をおこなうマルウェアがダウンロードされ、端末内のデータを暗号化したり、破壊することで実質的な被害がはっせいするだけでなく、活動の痕跡が消されてしまうことでどのような情報が漏えいしたのかも分からなくなります。もちろんランサムウェアなどの被害により端末自体が利用できなくなり、復旧作業の間業務ができなくなってしまいます。
3.社内の他の端末に感染する
自己増殖するワーム機能により、一度ネットワーク内に侵入すると、OS標準の機能を使い保護機能の隙間を探し、他の端末へ感染していきます。また端末内に潜伏しながら、後から発見された新たな脆弱性に合わせてアップデートすることで、侵入から時間を置いて組織内で爆発的に感染が拡大する恐れもあります。
4.取引先など社外に対する攻撃の踏み台にされる
盗み取ったOutlookのメールの情報を悪用し、アドレス帳にある取引先などへEmotetをばら撒きます。
一度盗み取られたメール情報は攻撃者側でいつでも使える状態となってしまうため被害が取引先に出た場合、自社内での修復だけでなく取引先企業への注意喚起や対策も必要となるなど、企業の信頼の低下など業務への甚大な影響に繋がります。
最近の動向
2020年に世界中でEmotetの被害が拡大した後の2021年1月に、欧州刑事警察機構(Europol)が攻撃者集団に対する一斉摘発作戦が成功したため、第一次のEmotetの脅威は一時的にほぼ沈静化しました。
JPCERT コーディネーションセンター(JPCERT/CC)による報告では、この第一次の脅威でEmotetに感染した企業や組織は国内で約3,200あったとされています。
しかし、2021年11月に活動再開が確認され、IPA(日本情報処理推進機構)からも再度注意喚起が行われています。
2022年2月の第1週には大規模なメールばら撒きが行われ、JPCERTにも相談や問い合わせが殺到しており、第一次のピーク時に匹敵するといわれています。第一次のときよりもさらに巧妙化した攻撃により、被害はまだしばらく続きそうといえます。
対策
Emotetへの対策の基本として、次の事が挙げられます。
1.組織内への注意喚起・啓蒙活動
Emotetの攻撃手法やメール例、最近攻撃が増えていることなどを社内共有し、社員全員で注意する
2.OSへの定期的なパッチ適用
Windowsの最新版のパッチを定期的な適用を徹底する
3.Office製品のマクロの自動実行の無効化
ExcelやWordのマクロを自動で実行しないように無効化設定する
4.マルウェア付きメールが検知可能なメールセキュリティ製品の導入
マルウェア付きのメールやマクロ付きの添付ファイルを開封する際に警告が出るような製品を導入する
5.EDRの導入による振る舞い検知(既存のウイルス対策ソフトではできない侵入後の攻撃に対する即時対応)
万が一侵入してしまったマルウェアが悪意のある行動を開始した瞬間に駆除できるEDRの導入
6.定期的なオフラインバックアップ(ランサムウエア攻撃などへの対策)
万が一ランサムウェアが実行された際に、迅速に復旧できるよう定期的にネットワーク外にバックアップ
Emotetは非常に恐ろしいマルウェアですが、ユーザー側の注意で大きな被害を防ぐことのできる脅威でもあります。
社内での情報共有と侵入させない対策に加えて、万が一侵入してしまった際に備えた準備も怠らないように心がけましょう。