小康状態から再び攻撃を活発化させつつあるEmotet

以前、マルウェア「Emotet」について紹介した際、「2020年2月初旬以降、被害は大きく減っているものの、再び攻撃が活発化する兆しが見られるため注意が必要」と記しました。残念ながら、その予想は的中してしまいました。しばらく小康状態を保っていたEmotetですが、2020年7月以降、再び大々的な攻撃キャンペーンが始まっており、現在世界中で猛威を振るっています。特に今回のキャンペーンでは、日本国内で多くの被害が報告されており、IPAおよびJPCERTからも注意喚起が出されています。

Emotetはメールの添付ファイルや、メール本文に記された不正URLリンクなどを介して感染するマルウェアです。メールに添付されたWordファイルや、不正リンクにアクセスした際にダウンロードされるWordファイルの中に、Emotetをダウンロードする処理が埋め込まれたマクロが含まれています。メールの受信者がこれらのファイルを開き、マクロが実行されると、Emotetが自動的にダウンロードされて感染します。

Emotetは感染端末からパスワード情報などを窃取したり、他の端末への感染を試みるなど、強い攻撃力と感染力を持つマルウェアですが、さらに他のマルウェアをダウンロードして感染させることもたびたびあります。中には、近年被害が相次いでいるランサムウェアをダウンロード・実行するケースも多数報告されており、いったん感染すると被害が深刻化する傾向があります。

各種セキュリティ機関の調査によると、2020年7月中旬以降、このEmotetに関連した攻撃の数が世界中で急速に増えています。また日本国内の企業・組織からIPAに寄せられる被害報告もこの時期から急増しており、日本を標的とした攻撃が以前より活発化していることがうかがえます。

通常の業務メールを巧妙に装って感染を狙う

メールを介したマルウェア感染の手法は以前から数多く存在していましたが、かつての攻撃メールはタイトルや送信元、文面などが明らかに不自然なことが多く、一定以上のリテラシーを持っていれば比較的容易に見破ることができました。しかしEmotetの感染を狙った近年の攻撃メールは、あたかも普段の業務に関連するメールであるかのように巧妙に偽装しており、中にはこれまで業務でやりとりしてきたメールの返信を装ったものまで存在します。

例えば、メールの送信元に取引先のメールアドレスが入っており、本文にも以前自分が送信したメールの文面がそのまま引用されていることもあります。ここまで巧妙に偽装されていると、思わず添付ファイルを開いてしまいたくなるのも無理ありません。

恐らく、かつてEmotetに感染した企業・組織からメールアドレスやメール文面などの情報が流出し、攻撃者によって利用されることで、こうした巧妙な偽装メールが出回ることになったものと推測されています。現在、Emotetの感染例が相次いでいることから、今後も同じ手口を使った巧妙な攻撃メールがさらに多く出回ることが予想されます。従って被害を拡大させないためには、これまで以上に慎重な対策が求められています。

万が一の感染に備えた事後対策を打っておくことも大事

では具体的にどのような対策を打てば、Emotetによる被害を防ぐことができるのでしょうか。まずは何より、Microsoft Officeのマクロ機能を絶対に有効化しないことを周知徹底する必要があります。Emotetの不正ファイルを開くと、マクロ機能の有効化を促すメッセージが表示されますが、これに決して騙されることなく、「何があっても絶対にマクロを有効化しない」という方針をあらためて組織内で徹底することが大事です。

それでもなお、万が一不審なメールやファイルを開封してしまった場合には、一刻も早く対策を打って被害拡大を防ぐ必要があります。そのため、感染が疑われる際の連絡経路をあらかじめ組織内に周知徹底しておく必要があります。その上で、セキュリティソフトの状態を常に最新に保ち、既知の攻撃は確実にブロックできる体制を整えておくことももちろん重要です。

ただしこれらの対策をすべて行ってもなお、近年巧妙化・高度化の一途を辿るEmotetの攻撃を100％防ぐのは困難です。そのため、万が一感染してしまった際に備えて、内部に侵入したEmotetをいち早く検知・除去できる仕組みもあわせて導入しておくことが重要です。例えば、弊社が提供するEDR製品「Cybereason EDR」は、PCやサーバの内部に潜伏したマルウェアが少しでも活動を始めようとした瞬間に、その存在を検知できます。

既に述べたようにEmotetは、他の端末への感染拡大や他のマルウェアのダウンロードなど、被害を徐々に拡大させていく傾向があります。そのため、あらかじめCybereason EDRのようなセキュリティ製品を導入しておくことで、万が一感染を許してしまった場合でも極力早期にその存在を検知して除去する手立てを講じておくことが肝要です。

弊社が提供するNGAV製品「Cybereason NGAV」、「Cybereason Endpoint Prevention」は、「シグネチャベース検知」「機械学習による静的バイナリ解析」「ファイルレスマルウェアブロック」「アンチランサムウェア」「振る舞いベースのドキュメント保護」「エクスプロイト保護」という6層の防御機能を備えることで高度な攻撃を阻止できるようになっています。

また、これらの対策を潜り抜けて内部に侵入してきた高度な脅威に対しては、EDR製品「Cybereason EDR」が独自の相関解析処理と機械学習機能を駆使して攻撃の全体像をあぶり出し、適切に対処することを可能にします。

加えて、自社内でEDRを運用するのが難しいお客さまに対しては、MDRサービス「Cybereason MDR（Managed Detection and Response）」と呼ばれる監視代行のマネージドサービスも提供しています。

ホワイトペーパー「すべての組織が狙われている」

企業、組織がどんなにセキュリティを強固にしてもハッカーが悪用できる脆弱性は必ず存在します。侵入されることが避けられないことを受け入れ、新たな対策を立てる必要があります。本書で、なぜ避けられないのか、どのように対処するのかをご覧ください。
https://www.cybereason.co.jp/product-documents/input/?post_id=606