【2021年12月追記】――――――――――――――――――――――――――――――――
2021年11月16日、情報処理推進機構(IPA)よりEmotet活動を再開したと発表があり、国内でも感染が確認されています。
Emotetは2021年1月に欧州各国の連携によって包囲網が引かれ、封じ込めに成功したと考えられていましたが、2021年11月中旬から活動再開の報告が相次いでいます。
引き続き、OSのセキュリティホールなどの対策や覚えのない添付ファイルを開かないこと、メールに添付されたOfficeファイルを開いた場合も「コンテンツの有効化」ボタンをクリックせずファイルを閉じることなど、注意喚起がされています。
――――――――――――――――――――――――――――――――――――――――――
昨今、強力に進化したマルウェアの被害が拡大しております。中でも、さまざまなマルウェアの感染・拡散を行う土台となりうるEmotet(エモテット)が猛威を振るっています。2019年10月から2020年2月にかけて感染被害が報告されておりましたが、2020年7月から再び流行の兆しをみせています。
いま一度、Emotetとは一体どのような被害を招くマルウェアで、どのような対策が必要であるか、本記事でご紹介いたします。
ページコンテンツ
Emotet(エモテット)とは?脅威と被害状況
Emotetとは、過去に送受信した電子メールの情報を収集して「なりすましメール」を自動作成し、過去にやり取りのある他者へと拡散し続けるマルウェアです。Emotetの存在自体は2014年に知られていましたが、「検知が困難」という最大の特徴に磨きがかかり、現在は拡散型のマルウェアとして世界規模で急速に感染が拡大しています。
国内の某大学では、感染者の名前を騙る不審メールが大量に送付されたことで、「約1万8千件のメール情報流出」という大規模な事故も発生しています。そして、情報流出の事故が拡大した要因は、「ユーザーが過去に送信したメールの文面が引用されているため、マルウェアの仕業だと気づかないこと」といえます。
従来の迷惑メールに見られる不自然なメール文面ではないからこそ、多くのユーザーがなりすましだと気づかないのです。
Emotet(エモテット)の「感染経路」
Emotetの感染経路は、そのほとんどが、電子メールの添付ファイル(Wordファイルのマクロなど)といわれています。
不正な添付ファイルを開いてしまった場合、通常はアンチウイルスソフトが警告を出して知らせたり、当該ファイルを除去したりするはずです。しかし、度重なるアップデートを繰り返すEmotetの場合には、それが通用しません。
アンチウイルスソフトのパターンファイルを頻繁に最新化していたとしても、Emotetを即座に見つけることは至難の業といえるのです。
Emotet(エモテット)はなぜ被害が拡大しているか?
リアルタイムでの発見が難しく、強い感染力を持つEmotet。その被害が拡大する要因の一つとして、「不正な動作かどうか、見分けがつきづらい」という特徴が挙げられます。
一般的なマルウェアは、セキュリティ管理者がマルウェア本体とその種類を特定することで、対策を行うことが可能です。しかし、Emotetは強力な耐解析機能を持っているため悪意を持ったものかどうか判定することが極めて難しいのです。
加えて、Emotetは外部のC&Cサーバ(コマンド&コントロールサーバ)とやり取りを行うことで機能のアップデートを実施します。状況に応じて異なる手法を使い分け、メールアドレスやパスワードなどの情報を一挙に盗み取ろうとしてくるため、最悪の場合はネットワーク全体へと感染が広がっていきます。
一度大量のアカウント情報を盗まれると、気づいた頃には社内感染が進み、収拾のつかない状況に陥っていた、ということも考えられます。
Emotet(エモテット)の「感染有無」を確認する方法
被害にあった企業や団体が「感染していると気づかなかった」というように、Emotetは発見が難しいマルウェアでもあります。感染有無を確認するためには、次の方法が考えられます。
方法1. なりすましメールの送信者アカウントのユーザーにヒアリング
不審なメールの受信有無や、怪しい添付ファイルを開いていないか、聞き取りを行いましょう。Wordのマクロを有効にしていた場合には、マルウェア感染の恐れがあります。
方法2. ウイルス対策ソフトでスキャン
ウイルス対策ソフトのパターンファイルを最新化し、端末をスキャンしましょう。リアルタイムでの発見は難しいものの、パターンファイル更新後にマルウェアが見つかる可能性があります。
方法3. 端末の自動起動設定に怪しいexeが登録されていないか確認
レジストリ、タスクスケジューラ、サービス、スタートアップなどをチェックし、見覚えのない実行ファイルが指定されていないか、確認しましょう。
方法4. メールサーバのログ確認
メールサーバのログを確認し、外部宛の送信メールが大量に増えていないか、Word形式のファイル添付メールが大量に送信されていないか、といったことを確認しましょう。
方法5. ネットワークトラフィックログの確認
外部への通信を記録・監視している場合には、1つの端末から「外部のIP アドレスの複数ポート」に対してアクセスしていないか、確認しましょう。
Emotet(エモテット)に有効な「対策方法」
では、Emotet の対策としてどのようなアプローチが有効なのでしょうか。
国内のセキュリティ組織である「JPCERT/CC」より、Emotetの対処方法が公開されています。Emotetの感染を予防し、感染被害を最小限にとどめるためには、次のポイントを押さえる必要があります。
・組織内への注意喚起の実施
・OS に定期的にパッチを適用
・定期的なオフラインバックアップの取得
・「Word マクロの自動実行」の無効化
・「メールの監査ログ」の有効化
・「マルウェア付きメールの検知」が可能なメールセキュリティ製品の導入
出典:JPCERT/CC「マルウェア Emotet」の感染に関する注意喚起
加えて、考え得る最良の手段の一つが、「OSプロテクト型セキュリティ」の導入です。
OSプロテクト型セキュリティの「AppGuard」の場合、脅威を見つけるのではなく、「マルウェアをそもそも実行させない」ということに視点が置かれています。または、感染活動の中でマルウェアが活性化することも防ぐため、攻撃を失敗させることが可能です。
たとえ、Emotetに仕組まれた添付ファイルを開いたとしても、Emotetの起動を阻止したり、レジストリの自動起動登録を阻止したりすることができれば、OSに対して害のある行為を防ぐことができるのです。
「不審なメール・添付ファイルを開いてはいけない」といった対策の周知を図っても、ヒューマンエラーは生まれてしまうもの。AppGuardを利用すれば、人の判断に依存しないマルウェア対策を実現することができます。
Emotet(エモテット)にもし感染したら…「事後対応」
では、万が一、「最恐のマルウェア」と呼ばれるEmotetの感染が疑われる場合、どのような対策を講じればよいのでしょうか?
こちらもJPCERT/CCより、対処方法が公開されています。主な方法としては、次の対応が考えられます。
対応1.感染端末の隔離、証拠保全および被害範囲の調査
メール情報の他、認証情報の窃取など、被害の状況把握と範囲の特定を急ぎましょう。
対応2. 感染端末で利用していたメールアカウントなどのパスワード変更
メールサーバーが悪用されている可能性があるため、メールアカウントのパスワードを変更し、メールの再設定を行いましょう。
対応3. 感染端末が接続していた組織内のネットワーク全端末・ログの調査
前述の「感染有無」のチェックを実施し、同じネットワーク内の他の端末の感染状況を明らかにしましょう。
対応4. WindowsUpdate最新化
同じネットワーク内に感染を広げる際に、SMBの脆弱性を突いて感染を広げようとします。Windowsのパッチを最新の状態に保つことにより、脆弱性を突いた攻撃を防ぐことが可能です。
対応5. データのバックアップを取得
Emotetは自身を自動起動できるようにしたり、定期的に自身のアップデートを行ったり、別のマルウェア(ランサムウェアなど)をダウンロードしたりと、内部で悪さを行い続けます。そのため、事前にバックアップを取得しておくことで、万が一マルウェアに感染した際に感染前の状態に戻すことが可能です。
まとめ
Emotetによる真の脅威は、他のマルウェアへの感染を加速させることにあります。また、感染済みの別端末をなりすましメールの送信元とすることから、一度なりすましメールが送信されてしまうと、それを止めることは容易ではありません。その影響は社内のみならず、社外の取引先にまで及ぶため、「そもそも感染させない」「万が一感染してしまっても、悪意のある挙動を実行させない」といった対応が求められます。
従来型のセキュリティ対策に加えて、最終防衛ラインとしての「AppGuard」を活用することで、最新鋭のマルウェアへの対策をいち早く実施していきましょう。
マルウェアが動いても「感染させない」。
不正な動作をすべてシャットアウトする新型セキュリティ「AppGuard」については、下記よりご覧いただけます。