• セキュリティ情報
  • 2019.12.19

マルウェア「Emotet」の国内被害が拡大

トレンドマイクロ社は11月28日に公式ブログにて、「Emotet」(エモテット)と呼ばれるマルウェアの被害が、日本国内で拡大していると発表しました。
国内でのEmotet検出台数は9月の時点では約100台程度でしたが、10月には約1700台と急激に増加しています。JPCERT/CCも11月27日付で注意喚起を行っており、広範囲に被害が広まっているものと考えられます。
Emotetは2014年に初めて確認され、当初はオンライン銀行詐欺ツールとして被害を広げましたが、2017年にさまざまなマルウェアを拡散し感染させるダウンローダーとして再活発化しました。日本国内を狙った攻撃は確認されていませんでしたが、2019年に入り日本も本格的な攻撃対象に入ってきているようです。

Emotetの感染経路

当初から主にメール経由で拡散しており、現在2種類のパターンが確認されています。一つ目は件名に「請求書」「メッセージ」などの単語を使い不特定多数にメールを送信するばらまき型、二つ目は感染環境から窃取したメールに対する返信の形でメールを送信する返信型です。
特に返信型は実際にやりとりしている相手からの返信に見えるため被害にあう可能性が高いと考えられます。どちらの型もDOC形式の攻撃ファイルが添付されており、ファイルを開き「コンテンツの有効化」を行うことでEmotetに感染します。

Emotetの不正活動と被害

攻撃ファイルを開くと、まず不正マクロによりPowerShellが起動され、Emotet本体がインストールされます。次にEmotetが感染PCのシステム情報を取得し、C&Cサーバ(指令&制御の中心となるサーバ)へ送信します。最後にメール収集モジュールやネットワーク拡散モジュールなどの追加モジュールをダウンロードして被害を拡大させます。追加モジュールには各種ブラウザに保存されたアカウントの資格情報や、メールクライアントの資格情報を収集するものもある為、感染したPC自身の被害も大きいです。
また、前出の返信型の攻撃メールなどの手口により、他者に対する攻撃の踏み台、つまり自分が加害者になってしまう可能性や、窃取されたメール文面やメールアドレスの情報から新たな攻撃メールの材料とされてしまう可能性があります。

被害に遭わないためには

まず、侵入経路となるメールとその添付ファイルについて正当性を判断し、不審なものは開かないようにする心がけが必要です。もし、正規のメールと誤解して添付のDOCファイルを開いてしまった場合でも、Wordのマクロ機能が有効化されなければ不正活動は開始されないため「コンテンツの有効化」ボタンを押す際はファイルの正当性を再確認してください。
また、Emotetの開発者はこれまでも新しい機能や拡散手法、検出回避手法を継続して追加してきました。Emotetは柔軟に変化するマルウェアであるということを知っておくことも重要です。

まとめ

普段からやり取りしている相手だとつい安心して不用意に添付ファイルを開いてしまうこともあるかもしれません。日頃よりメールを確認する前に、一呼吸おいてから判断するよう心がけましょう。
また、メールセキュリティ対策製品の導入や従業員へ注意喚起や教育を行うことは有効な対策です。

※本記事は掲載時点の情報であり、最新の情報とは異なる場合があります。予めご了承ください。
参考サイト:
https://blog.trendmicro.co.jp/archives/22959

 

■メール本文の無害化と添付ファイルの隔離×ファイルの無害化で標的型攻撃を無効化!
・メール本文の無害化や添付ファイルの自動隔離を行うメール無害化ソリューション
Temp Box メール無害化モデル https://www.tempbox.jp/model/
・ファイル無害化も実現するファイル授受ソリューション
Smooth File ネットワーク分離モデル https://www.smoothfile.jp/separation/

■組織内でのセキュリティ教育で耐性強化!
・教育と訓練を実現する無料ではじめる総合セキュリティ教育サービス
CYAS https://www.cyas.jp/