KNOWLEDGE - COLUMN ナレッジ - コラム

【エバンジェリスト・ボイス】活動を再開したEmotetの脅威

サイバー・セキュリティ・ソリューション(CSS)部
エバンジェリスト 内山 史一     IMG_9334_385x404

こんにちは。CSS部 エバンジェリストの内山です。

2019年 11 1 日、公立大学法人首都大学東京は、同大学教員の PC がウイルスに感染し、当該 PC から最大 1 8 千件のメールアドレスが流出した可能性があることを公表しました。 [1]
公表された内容によると感染したマルウェアは Emotet (エモテット)としています。
主に海外で猛威を振るっている Emotet ですが、 2018 11 月頃には国内において Emotet の感染を狙う多数のばらまき型メールが観測おり [2] 、元号が令和に変わってからも、国内で Emotet の感染事例が公表されています。 [3][4]

この Emotet ですが、 2019 6 月からしばらく鳴りを潜めていましたが、同年 9 月中旬より活動が再開されたことが確認されています。今後、国内において、 Emotet が流行する恐れもありますので、本コラムではこの Emotet の脅威動向をご案内いたします。


進化するマルウェア、Emotet
Emotet
は、 2014 年に初めて確認されて以来、現在もなお進化を続けているマルウェアです。発見当初はオンラインバンキングの ID とパスワードを窃取するオンラインバンキング型トロイの木馬と認知されていました。

2015 年にはモジュール性の高いマルウェアとして進化することによって、多様な機能を持てるようになり、 2017 年には自己拡散機能の追加、そして 2018 年には感染した被害者のメールを大量に収集する亜種が登場しました。

現在では、フィッシングメールを介して利用者の PC に感染し、情報窃取型マルウェアやランサムウェアとして猛威を振るっています。

米国コンピューター緊急事態対応チーム( US-CERT )によると、 Emotet による被害の修復に州および地方政府は最大 100 万ドル( 2019 11 5 日時点、約 1.1 億円)の費用を要したとしています。 [5]

この Emotet の感染プロセスは、多くのマルウェアと同様、スパムメールを介しユーザーに添付ファイルやリンクをクリックさせることから始まります。

主な感染プロセスは以下のとおりです。

部品#1_815x557
出典: Alert (TA18-201A) - Emotet Malware [5]

①Infection
・不正な添付ファイルやリンクを含んだ請求書や配送通知を騙るスパムメールが着信する
・ユーザーが不正なマクロを含む Word PDF ファイルを開く
・マクロが動作し Emotet がダウンロードされ感染する

②Establish Persistence
Emotet は自動起動用のレジストリキーの作成や実行中のプロセスにコードを注入し永続性を維持する

③Instructions Phase
Emotet C2 サーバと通信を確立し、 C2 サーバからの指示を受ける

④Network Propagation
Emotet は、以下のような挙動を通じて感染拡大を行う
  - システムや Web ブラウザ、メールクライアントの認証情報を窃取する
  - Outlook からメールの送信者名とメールアドレス等を窃取する
  - 共有ドライブの探索や、ネットワーク上の PC に対し総当り攻撃をしかける

Emotet
は、 C2 サーバと通信を行い自身の更新や追加モジュール、そして他のマルウェアをダウンロードし、様々な感染活動を行います。

また、 Outlook から入手したメール関連の情報は、ばらまき型メールで Emotet を広範囲にばら撒く、あるいは入手メールを悪用し返信型として標的へ送りつけるといった手法に悪用される可能性が高いと考えられます。


情報を盗み出した後、身代金を要求する
このように Emotet は進化し続けるマルウェアであることはご理解いただけたかと思いますが、海外では情報窃取後に、ランサムウェアに感染させ身代金を要求する事例が発生しています。

2019
6 10 日(米国時間)、フロリダ州レイクシティ市の職員がメールで送られたドキュメントを開いたことによって Emotet に感染し、その後に別のトロイの木馬である「 TrickBot 」がダウンロードされ、最終的にランサムウェア「 Ryuk 」への攻撃へとつながりました。

この結果、同市は、サーバと電話回線、電子メールが人質となる状況に陥りました。

部品#2_978x927
出典: LAKE CITY POLICE DEPARTMENT [6]

その後、同市はランサムウェアの攻撃による身代金 50 万ドル(約 5400 万円)を支払い、暗号化されたデータを復元する複合鍵を受取ったとしていますが、データが復号できたかどうか明らかになっていません。 [7]

上記のような事例を見るに、 Emotet を扱う攻撃者グループの目的は標的型ランサムウェアのようにも思えてきます。従って、 Emotet に侵害された PC のみならず、ラテラルムーブメント(水平展開)された前提にたって、他の PC へのバックドア設置や認証情報の窃取がないか、ネットワークやシステム全体の調査が重要と言えるでしょう。


Emotetの脅威に備えるために
Emotet
の脅威に備えるには、標的型攻撃メールに対する技術的な対策を実施することで感染リスクは大きく軽減されます。

しかしながら、 Emotet は、追加モジュールによって機能を拡充する特性をもっていますので、攻撃手法が大きく変わる可能性は否定できません。従って、防御一辺倒ではなく、より早く脅威に気づける組織的な監視体制や検知・対応機能を整えることも重要です。

また、 Emotet はスパムメールを介した攻撃が大半と考えられるため、以下のような対策を推奨します。

・ソーシャルエンジニアリングやフィッシング等を題材に従業員へ継続的な啓発や教育を実施する
・ウイルス対策ソフトのシグネチャは自動更新とし、常に最新状態を維持する
OS やソフトウェアのセキュリティパッチは環境への影響を検証し、速やかに適用する
・ランサムウェア対策として定期的なバックアップを取得する
Office ドキュメントのマクロ機能を無効化する
・業務環境でスクリプトファイルを使用しない場合、テキストエディタに関連付けする等の無害化を行う
・ファイアウォールで Powershell に関する外部通信をブロックする
・メールゲートウェイで .dll .exe などのマルウェアでよく使われる実行形式ファイルをブロックする
・ホストベースのファイアウォールでクライアント間の SMB 通信をブロックする

国内でも感染事例が報告されている Emotet ですが、対岸の火事と思わずに、ぜひ日頃からの情報収集を行っていただき、皆様の組織にあった有効な対策を実施いただくことをお勧めいたします。

それでは、次のエントリーでお会いしましょう!

------------
脚注および参考情報

[1]
首都大学東京におけるパソコンのウイルス感染について
 
[2] 2018年 11 月 マルウェアレポート
 
[3] 公益財団法人東京都保健医療公社が運用する端末等に対する不正アクセス被害の発生による、メールアドレス等の個人情報の流出と対応について
 
[4] 神戸大学構成員を騙る不審メールについてのお知らせとお詫び
 
[5] Alert (TA18-201A) - Emotet Malware
 
[6] Lake City: Cyber Attack Targets City Hall
 
[7] ランサムウェアに屈した地方自治体が IT 担当職員を解雇 -- フロリダ州レイク・シティ

- ------------ 

 

当サイトの内容、テキスト、画像等の転載・転記・使用する場合は問い合わせよりご連絡下さい。

エバンジェリストによるコラムやセミナー情報、
IDグループからのお知らせなどをメルマガでお届けしています。

メルマガ登録ボタン

内山 史一

株式会社インフォメーション・ディベロプメント 先端技術部 エバンジェリスト

この執筆者の記事一覧

関連するナレッジ・コラム

どのインスタンスを選べばいいの?EC2性能比較!

AIがプログラミングする時代の到来!?

残された攻撃の痕跡を追え! ~スレットハンティングのススメ~