CYBERNET

重要なお知らせ 新型コロナウイルス感染拡大にともなう電話問い合わせについて

お役立ち情報 急速な勢いで進化し続けるサイバー攻撃
以前は有効だった対策も無意味になる時代に

感染拡大だけではなく手口も進化しているEmotet

2019年11月頃にメディアに取り上げられ、セキュリティ関係者以外にも広く知られることになった「Emotet(エモテット)」。その存在は2014年に初めて明らかになり、その後たびたび猛威を振るってきました。2021年1月にはオランダ警察庁とドイツ連邦刑事庁の協力のもと、ユーロポールがマルウェアのインフラを乗っ取ったことで、その脅威は終息したかに見えました。しかし2021年11月頃には再び攻撃活動が始まり、この半年間で警戒すべきレベルの脅威となっています。

このような状況を受け、JPCERT/CCは2022年2月10日に改めて「マルウェアEmotetの感染再拡大に関する注意喚起」を発信。3月3日、4月26日、5月20日とその内容を更新するなど、常に最新状況を公表しています。

これによれば2022年2月には、Emotetの感染が大幅に拡大した2020年に迫る勢いで感染が拡大していたとのこと。さらに3月に入ると、Emotetに感染しメール送信に悪用されたと考えられる.jpメールアドレス数は、2020年の感染ピーク時の5倍以上になったと指摘されています。このような状況はその後も継続しており、2022年4月20日には警視庁が「Emotet(エモテット)感染を疑ったら」という文書を公開、Emotet感染後の対応策について説明しています。

ここで注目すべきなのは、感染の「量」が拡大していることだけではありません。攻撃の手口(質)も、この半年間で急速に進化しています。2021年11月に検出されたEmotetは、主にマクロ付きのExcelファイルやWordファイル、あるいはこれらをパスワード付きZIPで圧縮したファイルをメールに添付、それらを開封してマクロを有効化することで感染するというものでした。そのため効果的なEmotet対策の1つとして、これらのアプリケーションのマクロ機能を無効にする、といったことが推奨されてきました。また「怪しいメールは開かない」といったリテラシーの強化でも、ある程度対応できる状況でした。

その後、2022年3月には、実在する組織名や署名を記載したメールで添付ファイルを送信する事案が出現。これは感染端末内のアドレス帳から窃取されたとみられており、ターゲットに関係する組織や人物になりすますことでメール開封を促すという、より巧妙なものへと進化しています。すでに「怪しいメールは開かない」といった対応では、防げなくなってきたのです。

さらに2022年4月には、ショートカットファイル(.lnkファイル)を使った攻撃が登場。これを実行するとスクリプトファイルが生成・実行され、Emotetに感染するといったケースも見つかっています。この攻撃ではExcelやWordのマクロ有効化が必要ないため、「マクロ機能を無効にする」といった対策の効果も低下してしまいました。

攻撃に先手を打つにはディープラーニングの活用を

急速な勢いで進化するというのは、Emotetだけの特徴ではありません。すでに「〇〇をしておけば攻撃を防げる」といった定番の対策は、次々に意味をなさなくなりつつあるといっても、決して過言ではないのです。このような状況に対応するには、いったいどうすればいいのでしょうか。

まず考えられるのは過去の常識にとらわれることなく、新たな脅威が発生するたびに、対応策をアップデートすることです。しかしこのアプローチには重大な問題があります。対応策は脅威を後追いする形となるため、攻撃者に対して常に後手になるということです。そして人間が対応を行う限り、攻撃開始から対応策完了までの時間も、ある程度かかってしまうことになります。

この問題を解決する手法として期待されているのが、AIを活用したセキュリティ対策です。なかでも、自動運転や顔認証などで高い評価を得ているディープラーニング(深層学習)は、大きな注目を集めています。これまでのマルウェア検出で主流になっていたのは、マルウェアファイルから抽出したシグネチャを使い、それと照合することでマルウェアか否かを判断するというものでした。この方法は既知のマルウェアには対応できますが、未知のマルウェアの検出はできません。進化し続ける攻撃に対処するには未知のマルウェアを「予測」し、自動的に防御する必要がありますが、シグネチャベースでは不可能なのです。この問題を解決するため機械学習を用いた手法も登場していますが、機械学習は着目すべき「特徴点」を人間が指定するため、意表を突いた攻撃には対処できません。

これらに対し、ディープラーニングは「特徴点」の抽出もAI自身が行うため、未知のマルウェアはもちろんのこと、これまでになかった意表を突いた攻撃も見抜くことが可能です。

すでにこのようなセキュリティ製品も登場しています。その1つが「Deep Instinct」です。独自開発したディープラーニング技術を用い、数十億を超える攻撃ファイルを学習した結果を「予測モデル」として作成し、各エンドポイントに配置することで、既知・未知を問わずサイバー攻撃を瞬時に予測し、防御します。また、AIを欺く攻撃に対しても高い精度で判定して防御します。これにより、セキュリティ担当者の負担を大幅に低減できるのです。

Emotetのように急速に進化しながら感染を拡大していくマルウェアは、今後も次々に登場することになるでしょう。防御する側はそれらが猛威を振るう前に、先手を打っておく必要があるのです。

ご相談、ご質問はこちら
お問い合わせ
評価版のお申し込みはこちら
評価版お申し込み
製品資料やデータシートはこちら
資料ダウンロード
価格のお問い合わせはこちら
価格お問い合わせ
EDRソリューション