検索
  • yprogress2020

マルウェア「Emotet(エモテット)」の脅威を分かりやすく解説


ニュースなどでも目にすることが増えたマルウェア「Emotet(エモテット)」。

今回はEmotetの特徴と危険視されている理由を解説します。


【Emotet(エモテット)とは】

Emotetは、悪意のある攻撃者によって送られる不正なメール(攻撃メール)から感染が拡大しているマルウェアです。 2019年11月末ごろにメディアで取り上げられ、広く知られることになりました。2021年1月、欧州刑事警察機構(Europol)による大規模な対策が成功したためEmotetの脅威は去ったかと思われましたが、2021年11月に活動再開が確認され、以降、日本国内でのEmotet感染が増加しています。


【Emotet(エモテット)の攻撃手法】 Emotetの配布は主にメールを経路としています。 基本的な攻撃手法は、不正なメールに添付されたファイル(主にWordやExcelファイル)に仕込まれています。添付ファイルには、マクロの実行を促す文面が記載されており、受信者がそれに気づかず「コンテンツの有効化」をクリックすることでマクロが起動しEmotetに感染します。 日本では、この不正なメールが大量に送付される「ばらまき攻撃」が発生しています。 正規のメールに紛れるように送付されるため、受信者は不正なメールであることに気づかないまま感染へと誘導されるケースが多発しています。また、感染の手口も巧妙で多岐に及ぶため、被害が拡大しています。




【ニュースになるほどEmotet(エモテット)が深刻化した理由】

Emotet本体には不正なコードを含まない

Emotetは、感染したデバイスにほかのマルウェアを侵入させる、プラットフォームの役割も持ちます。 Emotet自体には不正なコードが含まれていないためウイルス対策ソフトに検知されづらいことも、一般的なマルウェアよりも感染しやすくなっている原因にもなっています。検知できるツールもありますが、亜種を新たに作られてしまうと検知をすり抜けるケースが多くなるため安心することはできません。


【違和感を覚えさせない、ばらまきメールの巧妙さ】

2021年11月に行われたばらまき攻撃では、これまでよりも巧妙な工夫がなされ、不正なメールであることが分かりにくくなっていました。 正規でやり取りされているメールの件名に「RE:」をつけた、実際の返信を装った自然なメールに偽装され、不正ファイルが添付されていたのです。 同じ件名でやり取りをしているメールに割り込まれて送られたので、受信者は正規の返信だと思って添付ファイルを開いてしまい、Emotetに感染しました。 ほかにも、2019年12月には賞与を連絡するメールを装うパターンのものが、2020年1月には新型コロナウイルスに関連した保健所からの案内を装うパターンのものが登場するなど、受信者が違和感を覚えないように細工されたメールも確認されています。


【ユーザ自身に不正なファイルをダウンロードさせる】

Emotetは、マクロなどを利用してデバイスの利用者に気づかれずに侵入する手口が主流ですが、2021年11月には正規サービスを装ってユーザ自身に不正なファイルをダウンロードさせる手口のものも現れました。 メールの本文中のリンクをクリックするとブラウザ上でPDFファイルを装った画面へ誘導され、閲覧のために必要だと促されてファイルをダウンロードさせるケースです。 添付ファイルのマクロ、リアルなメールの文面、PDF閲覧のために必要なファイルのダウンロードなど、次々と手段を変えていることから気を付けていても見破ることが非常に難しいマルウェアだと言えます。


【Emotet(エモテット)に感染すると起こる被害】

①ほかのマルウェアにも感染する

Emotetに侵入を許すと、他のマルウェアが次々とダウンロードされて被害が拡大します。 ダウンロードされたマルウェアの中には、ファイルとしては保存されずデバイスのメモリ上だけで動作するものなど、利用者やセキュリティ担当者にも解析されにくい工夫がされているものもあります。


②重要な情報を盗み取られる

情報を窃取するモジュールもダウンロードされるため、認証情報やネットワーク内にある機密情報も含めて外部へ流出し、悪用される恐れがあります。 Emotetに感染して情報の窃取などの不正行為が行われたあと、ダウンロードされたランサムウェアによってデータが暗号化され、デバイスが使用不可になるケースもあります。

どんな情報が盗まれたのか、何が原因だったのかを調査することができなくなります。


③社内のほかの端末にEmotetが伝染する

Emoetは自己増殖するワーム機能を持っています。 一度侵入するとセキュリティの隙間を探し、ネットワーク内のほかの端末への侵入を行います。Emotetは、端末に潜伏して活動を行いながらも頻繁にアップデートが行われていることも確認されています。 組織内で爆発的に感染が拡大し、さらに頻繁に行われるアップデートによって対策が遅れる恐れもあるのです。


④社外へのEmotetばらまきの踏み台にされる

盗んだ認証情報が悪用され、メールのやり取り履歴がある宛先へ、正規のメールを装ってEmotetのばらまき攻撃が行われることもあります。 顧客へばらまき攻撃されることがあれば、注意喚起だけでなく補償の対応などが必要になる可能性があります。


【求められるEmotet(エモテット)への対策】

Emotetは従来のセキュリティソフトやUTMと呼ばれるルーター型のセキュリティでは対象ができません。 理由はパスワード付き圧縮ファイルはファイルが暗号化されているため、メール受信時のマルウェアのチェックが極めて困難であり、Emotetの感染を防ぐことができません。 ファイルを開いてしまった、URLをクリックしてしまったなど、感染後に検知・対処ができるセキュリティ対策を取ることが望ましいと言えるでしょう。


SentinelOneというEDR製品ではエモテットやランサムウェア対策が可能となっております。


資料などのお問い合わせや詳細を知りたい方は下記URLより最下部のお問い合わせフォームよりご連絡ください。

https://www.yprogress.com/%E3%83%9B%E3%83%BC%E3%83%A0

閲覧数:19回0件のコメント