感染拡大が懸念されるEmotetについて
2019年後半からマルウェア「Emotet(エモテット)」に関する記事を頻繁に目にするようになりました。
「Emotet」自体は2014年頃に確認され、当時はバンキングトロジャンとよばれ、銀行のネット取引を狙うマルウェアでしたが、最近はランサムウェアとして猛威を振るっています。
Emotetの特徴
- 実在の組織や人物になりすましを行う
- メールにOfficeドキュメントを添付する
- ドキュメントオープン時にマクロが実行される
なりすます際は、件名やダウンロード方法を変更したりするなどバリエーション(亜種)が増え、今でも被害が増加しています。また、最近流行している新型コロナウイルスに関する内容を本文に記載することで、悪意のある添付ファイルを開かせる被害も確認されています。
感染した際の影響
- 端末やブラウザーに保存されたパスワードなどの認証情報が窃取される
- 窃取したパスワードを悪用し、SMBによりネットワーク内に感染が広がる
- メールアカウントとパスワードが窃取される
- メール本文とアドレス帳の情報が窃取される
- 窃取されたメールアカウントや本文などが悪用され、Emotetの感染を広げる(メールが送信される)
メール添付で拡散するのが主流のようで、アンチスパム・アンチウイルス・サンドボックス機能を搭載したメールゲートウェイ製品を利用すれば社内への侵入を防げる可能性はありますが、メールゲートウェイをすり抜けた場合や該当のファイルが何らかの形(ダウンロードやUSBなど)で持ち込まれた時のことも想定しておく必要があります。
従来のEmotetであれば既存のパターンファイルマッチングでも対応可能かと思いますが、亜種が増え続けているためこの防御方法にも限界があると考えられます。
VMware Carbon Black Cloud(CB Defense)であれば、ビッグデータ解析技術であるストリーミングプリベンションによりプロセス間の不正な動作をブロックすることができる為、Emotetの亜種であっても高い検知が可能です。基本的なことですが、不審な添付ファイルを開かせないという教育と、もしもの為にエンドポイント側で対策をとることが重要になってきます。
関連リンク
「Emotet」と呼ばれるウイルスへの感染を狙うメールについて(情報処理推進機構)
VMware Carbon Black Cloud Endpoint Standardとは
VMware Carbon Black Cloud Endpoint Standard(旧CB Defense、以下Endpoint Standard)は、あらゆるサイバー攻撃からコンピューターを保護する次世代アンチウイルス+EDRソリューションです。マルウェア攻撃だけでなく、メモリやPowerShellなどスクリプト言語を悪用する非マルウェア(ファイルレス)攻撃などをブロックするとともに、万一の際にも侵入状況の把握やその対応を行うことができます。
詳しくはこちら
様々な企業が「VMware Carbon Black Cloud」を活用しています
株式会社ユーシン精機様
運用負荷をかけることなく、24時間365日エンドポイントセキュリティ強化を実現
スマートニュース株式会社様
脅威を分かりやすく可視化 運用も容易な次世代アンチウイルス+EDRを選択
HRBrain様
CB Defense導入の決め手になったのは、「Mac対応」と「EDR」が次世代アンチウイルスに統合されていた点
NTTスマイルエナジー様
CB Defenseの導入で「マルウェア等の最新の脅威から守られているという安心感」を得ることができた
サイバネットシステム株式会社 ITソリューション事業部 - カテゴリ別
- 製品別
- ソリューション別