2020年9月頃から「Emotet」が重要な脅威として、複数の団体や企業から注意喚起されています。まず9月2日には、独立行政法人情報処理推進機構(IPA)のセキュリティセンターが「「Emotet」と呼ばれるウィルスへの感染を狙うメールについて」というページを公開※1。コンピュータセキュリティの情報を収集し、インシデント対応の支援やコンピュータセキュリティ関連情報の発信などを行うJPCERTコーディネーションセンター(JPCERT/CC)も、9月4日に「マルウェア Emotet の感染拡大および新たな攻撃手法について」を公開しています※2。これによれば2020年9月から、マルウェアEmotetに感染し、さらなる感染拡大を試みるスパムメール送信に悪用される可能性のある国内ドメインのメールアドレスが急増しており、Emotetの感染に関する相談件数も増加しているというのです。
同様の報告は、アンチウイルス製品などを提供する複数のセキュリティ企業からもあがっています。例えばトレンドマイクロは9月4日に、Emotetが同社のアンケートメールを偽装して感染を拡大しようとしている事案を報告。ESETも10月16日に、マルウェアEmotetの感染を狙った大規模な攻撃が欧州や日本で発生したことを発表しており、19日には同社製品で検出されたEmotetの国別の割合で日本が16.5%と2位に上昇したと報告しています。
それではこのEmotetとは、どのようなマルウェアなのでしょうか。これは2014年に初めて検出されたマルウェアであり、当初は感染したコンピューターから銀行のアカウント情報を盗み出すことを目的とした、トロイの木馬型マルウェアでした。その後、単純なトロイの木馬型から、システムにアクセスした上で他のマルウェアをダウンロードする「ローダー」へと変化。これによってEmotetは、あらゆるタイプのマルウェアを感染・実行させることができる、恐るべきマルウェアへと変貌を遂げたのです。
Emotetの作者はこのマルウェアを感染させたコンピューターのボットネットを構築し、これへのアクセスを「as a Service」モデルで販売しているといわれています。そのため「Emotet」という名称はマルウェアだけではなく、このボットネットを指す名称としても使われています。
Emotetの国内感染が目立つようになったのは2019年10月頃。その後、2020年2月以降は感染につながるメール配布が観測されなくなり、沈静化したと見られていました。しかし2020年7月頃からEmotet感染につながるメール配布が再開。今回の脅威喚起へと至っているのです。
脚注
※1 https://www.ipa.go.jp/security/announce/20191202.html
※2 https://www.jpcert.or.jp/newsflash/2020090401.html
Emotetを使った攻撃は、他の多くのマルウェア攻撃でも見られるように、感染を目的としたメール配布から始まります。メールのタイプとしては、これまで大きく3種類のものが確認されていました。
第1は、メール本文にURLリンクがあり、これをクリックするとマクロ付きのWordファイルがダウンロードされ、このマクロが有効化されるとEmotetがダウンロードされるというもの。第2はこれとほぼ同様ですが、URLリンクがメール本文に記載されているのではなく、添付されているPDFに記載されているもの。そして第3が、マクロ付きWordをそのまま添付し、そのマクロが有効化されるとEmotetがダウンロードされる、というものです。
Emotetに感染すると、ユーザーが気付かないうちにパスワード等の情報が窃取されたり、Emotetへの感染を引き起こすメール配信などが行われます。またEmotetが追加モジュールをダウンロードした場合には、ネットワーク内の他のPCに感染が拡大する可能性もあります。さらに他のマルウェアをダウンロードし、追加で感染させるというケースも報告されています。
Emotetへの感染が拡大している理由の1つには、感染目的のメールの文面に工夫が凝らされており、正規のメールのように見える点があります。取引先とのメールのやり取りをまるごと引用し、まるで自分が送ったメールへの返信のようなメールの存在も報告されています。
また最近では第4のメールタイプとして、マクロ付きWordファイルがパスワード付きZIPで暗号化され添付されているものも発見されています。パスワードはメール本文に記載されており、このパスワードでZIPファイルを解凍してマクロを有効化すると、Emotetのダウンロードが行われるのです。暗号化された添付ファイルはアンチウイルス製品で検出できないことも少なくないため、より危険性が高くなっているといえます。
Emotetの被害を回避するには、メール本文のURLを不用意にクリックしない、添付ファイルを不用意に開かないといった基本的なリテラシーが重要です。また、これまでのEmotetの感染は、主にWordファイルのマクロ実行によって行われているため、Windowsではデフォルトで無効になっているマクロを有効にしないことを周知徹底することが現時点では有効です。
VMware Carbon Black Cloud Endpoint Standard(旧CB Defense、以下Endpoint Standard)は、あらゆるサイバー攻撃からコンピューターを保護する次世代アンチウイルス+EDRソリューションです。マルウェア攻撃だけでなく、メモリやPowerShellなどスクリプト言語を悪用する非マルウェア(ファイルレス)攻撃などをブロックするとともに、万一の際にも侵入状況の把握やその対応を行うことができます。
詳しくはこちら