世界中で猛威を振るった「Emotet」についてあらためておさらい

昨年(2019年)世界中で猛威を振るったマルウェアの1つに「Emotet」があります。Emotetはもともと2014年にバンキングトロージャンとして誕生したマルウェアで、主にフィッシングメールを経由して感染します。その後、感染した組織のネットワーク内部に長期間潜伏し、メールアドレスなどの情報を窃取してC&Cサーバに転送します。

Emotet自身とても高い感染力と攻撃力を持つマルウェアですが、近年見られる攻撃においては、感染後にほかのマルウェアをダウンロード・実行することで大きな被害をもたらすケースが目立っています。例えばバンキングトロイ「IcedID」や情報窃取マルウェア「Trickbot」などがEmotetからダウンロード・実行されることで大きな被害を受けるケースが多く観測されています。

加えて最近では、これらのマルウェアを用いて情報を窃取した後、さらにランサムウェアをダウンロード・実行してターゲット組織内のデータを暗号化してしまう、いわゆる「標的型ランサムウェア攻撃」の事例も数多く報告されています。この攻撃を受けると、情報が盗まれた上にさらに破壊されてしまう恐れがあるため、標的となった組織が被る被害をさらに甚大に及びます。

またEmotetは、潜入先の組織からメールアドレス情報を窃取した後、これを基にさらにフィッシングメールを広範にばら巻いてさらなる感染拡大を図りますが、その際にはフィッシングメール配布のために別途構築されたボットネットが利用されます。また感染した後もC&Cサーバから定期的にアップデートモジュールをダウンロードし、その姿を巧妙に変えていきます。こうした巧妙な手口を用いて発見や駆除を巧みに回避するのも、Emotetの大きな特徴の1つだと言えます。

キャンペーンは止んでいるものの水面下では次の攻撃の準備が

これまで世界中で大きな被害をもたらしてきたEmotetですが、2020年2月初旬を最後にマルウェア配布キャンペーンは止まっており、現時点では目立った攻撃は行われていません。しかし残念ながら、これでEmotetの攻撃が完全に終わったと判断するのは早計のようです。弊社が行った調査では、2020年2月以降もEmotetのバイナリやC&Cサーバが活発に更新されていることが確認されており、いつ再び大々的なマルウェア配布キャンペーンが始まっても不思議ではないのが実状です。

一例として、Emotetのデータ暗号化機能の強化が進められていることが確認できています。以前よりEmotetの実行ファイルは、セキュリティ製品によって解析されることを防止する目的で、内部で保持する文字列などのデータを暗号化していました。これら暗号化されたデータは、実行時に復号キーを用いて復号されますが、最新のEmotetにおいては復号キーの情報が暗号化された各データの一部として保持されており、各データごとに異なる復号キーの情報を使用してデータの復号が行われる仕組みへと進化を遂げています。

またEmotetは通信先のC&Cサーバに関する情報を内部に保持していますが、その内容が現在も定常的に更新されていることが確認できています。さらには2020年に入り、WiFiネットワークを狙い総当たり攻撃を仕掛けて感染拡大を図るEmotetの亜種の存在も新たに確認されています。

こうした動向を鑑みると、Emotetを用いた攻撃は決して終わったわけではなく、むしろ次の攻撃キャンペーンに向けた準備が水面下で着々と進められていると考えた方がよさそうです。

Emotetの次の攻撃キャンペーンに備えて今からできること

では今後予想される攻撃に対して、企業はどのように備えておくべきなのでしょうか。Emotet対策の第一歩として、まずはフィッシングメール経由の感染を防ぐために、「不審なメールの添付ファイルを開かない」「メールに記された怪しいURLをクリックしない」といったフィッシングメール対策の基本を、あらためて従業員に周知徹底させる必要があります。それと同時に、万が一不審なメールや添付ファイルを開封してしまった際の連絡経路やインシデント対応の手順を普段からしっかり周知し、できれば定期的に訓練を実施しておくべきでしょう。

その上で、Emotetに悪用されることが多いExcelマクロやPowerShellを無効化したり、OSやアプリケーションの脆弱性を突かれないよう最新バージョンへアップデートしておくといった対策を徹底する必要があります。また総当たり攻撃を防ぐために、WiFiネットワークおよびPCの認証強度を再確認しておくことも大事です。

ただしこれらの対策をすべて実施してもなお、日進月歩で進化を続ける最新のマルウェアの侵入を100%防ぐのは困難だといわざるを得ません。そのため、万が一Emotetに感染してしまったとしても、まだ攻撃が始まっていない潜伏期間中に侵入をいち早く察知して対応することで、被害の発生を未然に食い止めなければなりません。

弊社が提供するEDR(Endpoint Detection and Response)製品Cybereason EDR」は、まさにそうした目的に適うセキュリティ製品です。もし従業員が誤ってフィッシングメールの添付ファイルを開いてしまい、かつアンチウイルス製品でマルウェアを検知できなかった場合でも、「Cybereason EDR」は端末内に潜伏するEmotetが不審な挙動を見せた瞬間にその存在を検知し、即座に対応できるようにします。近い将来再び猛威を振るうことが予想されるEmotetに備えておく上で、極めて頼もしい存在になることでしょう。

ホワイトペーパー「次世代アンチウイルス(NGAV)とEDRが高度な脅威に対処」を公開中

EDRとNGAVの組み合わせの優位性をご紹介するホワイトペーパーを公開しております。ぜひご活用ください。
https://www.cybereason.co.jp/product-documents/input/?post_id=1826

ホワイトペーパー「次世代アンチウイルス(NGAV)とEDRが高度な脅威に対処」