世界最大のマルウェアボットネット「Emotet」が日本でも急増中!その攻撃の手口と対策をご紹介

f:id:PentaSecurity:20201119140239j:plain

Emotet(エモテット)とはマルウェアの一種です。主に情報の窃取や他のウィルスへの感染のために利用されます。日本でも多くの組織・団体が被害にあったことが話題となりました。2020年7月中旬ごろから再開したEmotetの活動が、2020年9月に入ってさらに活発になり、攻撃メールの配信量が急増しています。今回は急増しつつあるEmotetの観測状況と攻撃の手口と対策をご紹介します。

 

急増するEmotetの攻撃

Emotetとは、強力な感染力・拡散力を持ったマルウェアで、もともと、バンキング型トロイの木馬として拡散されていましたが、最近ではボットネットとしてマルウェアを含むスパムを拡散し、ランサムウェアオペレーターなどのさまざまな犯罪グループに、感染したコンピューターへのアクセスを販売するのに使われています。

2020年1月には独立行政法人情報処理推進機構IPA)が新型コロナウイルス感染症に乗じたEmotetの攻撃事例について発表しています。その後IPAによる、2020年第3四半期(7月~9月)の情報セキュリティ安心相談窓口の相談状況でも、「Emotet関連」に関する相談が前四半期の1件から308件へと急増したことが報告されています。

 

f:id:PentaSecurity:20201119140243p:plain

引用:https://www.pentasecurity.co.jp/damo/

 

国土安全保障省のサイバーセキュリティ・インフラセキュリティ庁(CISA)も、米国時間10月6日、Emotetを使った犯罪者の動きが急激に活発化していると警告を発しました。CISAはEmotetについて、「一般的に他のマルウェアダウンローダーまたはドロッパーとして使われる、洗練されたトロイの木馬で、現在、最も蔓延している脅威の1つ」だと説明しています。Emotetは現在、世界最大のマルウェアボットネットとして警戒されています。

 

Emotetの手口

Emotet感染の手口としては主に次のような手順が使われています。

1.メールに添付のMicrosoft Officeファイル等の開封

2.メールに記載された悪意のあるURLを開く

Emotetの感染は、メールに添付されたファイルの開封や、メール本文に記載された悪意のあるURLを開くことをきっかけにします。攻撃メールに添付された不正なファイルを開くと、多くのケースで「編集を有効にする」や「コンテンツの有効化」のボタンをクリックするような指示が書かれています。少しでも疑わしいと感じたら、添付ファイルは開かないようにすることが重要ですが、多くのメールは不自然な点はなく、つい開いてしまうことも多いのが特徴です。

この指示通りに行ってしまうと、ファイル内に埋め込まれている悪意のあるプログラムが作動し、外部ウェブサイトに設置されたEmotetを端末にダウンロードさせてしまいます。また暗号化されたZIPファイルがメールに添付されているケースも新たに報告されていて、添付ファイルが暗号化されている場合は、ウィルス対策製品によっては悪性のファイルとして検知しない可能性があります。Emotetに感染してしまった場合は、ユーザの気づかないうちに、メールや添付ファイル、メールアドレス、Webブラウザメーラーに保存されたパスワードなどの情報が窃取されたり、Emotetへの感染を引き起こすメールを他の組織や個人に送信してしまったりします。

 

Emotetによる被害

Emotetに感染すると、次のような被害が生じます。

  • 個人情報の流出
  • ファイル共有(SMB)の脆弱性を悪用し拡散
  • 重要な業務データの流出・ユーザ名やパスワードなど認証情報の悪用
  • ランサムウェアに感染し、重要なデータやシステムが暗号化破壊されることにより業務に影響
  • Eメール情報(過去のEメールやアドレス帳)の窃取
  • Eメールによる更なる拡散

実際の被害事例として、今月5日、ホテル関連サービス業のホテルマネージメントインターナショナル株式会社が、同社が使用するPC端末がマルウェア「Emotet(エモテット)」に感染したと明らかにしました。

 

メールアドレス等の流出に関するお詫びとお知らせ

このたび、弊社が運営する宿泊施設におきまして、第三者による不正アクセスを受け、一部のお客様のメールアドレス等の情報が流出した可能性があることが判明いたしました。お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。

今回感染が疑われるウィルス
当社が感染したおそれのあるウィルスは、通称「Emotet」と呼ばれるもので、攻撃メールの受信者(今回では弊社)が過去にメールのやり取りをしたことのある、実在の相手の氏名、メールアドレス、メールの内容等の一部が、攻撃メールに流用され、「正規のメールへの返信を装う」メールを送り付け、不正なファイルのダウンロードを促すものです。

引用:

https://www.hmi.co.jp/corp/news/pdf/news_20201105.pdf

 

ホテルの業務端末がEmotetに感染し、宿泊客の個人情報の一部が流出してしまった可能性があるということです。同社は再発防止に向けて感染調査結果を踏まえたシステムのセキュリティ対策を実施していると発表しています。このように一度個人情報が流出するとそれを取り消すことは不可能であり、また法的な責任や賠償を負うことも出てきてしまいます。Emotetによる被害は他にも、次のように深刻な特徴も持ちます。

 

被害者ではなく「加害者」となる可能性も高い

Emotetに感染したパソコンはOutlookなどのメールソフトを勝手に起動し、アドレス帳にあるメールアドレスへ「あなたに成りすまして」ウィルス付きのメールを送付します。つまり被害者ではなく「加害者」となる可能性も高いのです。知り合いや家族、友人や知人が他のウィルスに感染しやすくなるという危険があります。同じくBtoBやBtoCなど企業と企業、企業と個人の間のメールでも感染する可能性が高く、個人で感染するより何倍もの影響が出る恐れが高くなります。

 

他のウィルスもセットで感染させる機能を持つ

Emotetは他のマルウェアスパイウェアもセットで感染させる機能があります。Emotetに感染することでセキュリティ性が著しく下がってしまい、日々進化する悪質なスクリプトやプログラムを含んだウィルスに感染しやすくなります。例えばキーロガーを仕込まれ、キーボードの入力を盗み見られたり、IDやパスワードが悪用されオンラインサービスを勝手に利用されることで直接的な被害を受ける可能性も高まります。

 

Emotetの脅威から守る対策

Emotetの対策をまとめると、次のようなポイントに注意するようにします。

  • 添付ファイルを開く前に、送信元を確認する
  • 添付ファイルのマクロが自動的に実行されないよう設定を確認する

 ※マクロの設定を「警告を表示してすべてのマクロを無効」にする。

  • 怪しいメールをフィルタリングする
  • 従業員向けのセキュリティ訓練する
  • ウィルスに感染してしまった端末をいち早く発見できるようセキュリティソフトを常にアップデートする
  • 侵入されることを前提にいち早く検出、対応する多層防御をとる

例)

エンドポイントの操作を監視し、端末の不審な動作を停止するEDRの導入

データベースを暗号化し情報流出にあってもデータを守れるようにする

 

加えて、標的型ランサムウェア攻撃に対する対策として、定期的なオフラインバックアップの取得も推奨されています。

 

Emotetに万一感染してしまったら

Emotetの感染が判明したという場合は、早急な対処が必要です。まず感染した端末をネットワークから切り離します。端末に保存されていたメールやアドレス帳の調査のため、端末は保管します。次にその端末が使用していたメールアカウントやブラウザに保存されていた認証情報のパスワードを外部の端末を使って変更します。感染した端末で変更するとその情報が攻撃者に知られる可能性があるので要注意です。

次に感染端末が接続されていたネットワーク内の全端末の調査をします。その際はチェックツールのほか、メールサーバーのログや、外部への通信を記録・監視している場合はネットワークトラフィックログも参照しましょう。さらに別のマルウェアに感染していないかもチェックしてください。最後に被害を受ける可能性のある対象者への注意喚起も必要となってきます。アドレス帳に多数の登録があり、範囲が広ければ、Webサイトやプレスリリースなどによる告知も必要です。

 

さいごに

巧妙化するサイバー攻撃に対しては、ひとつの対策に頼るのではなく、多層的な防御をとることが重要です。つまり、エンドポイント / ネットワーク / サーバのように、セキュリティ対策製品の導入ポイントを複数にしたり、それぞれの対策製品の中で複数のセキュリティ技術を駆使して保護したり、という考え方です。そして侵入されることを前提にした対策も常日頃から行っておくことも大切でしょう。Emotetは企業にとって非常に感染リスクの高いマルウェアといえます。感染後の対処法を含めてしっかりとした対策をしましょう。

 

 

ペンタセキュリティのデータ暗号化ソリューション「D'Amo」の詳しい情報はこちら