サイバーリーズン製品のユーザー環境で数多く検知されたEmotetの脅威

先日、Emotetの攻撃キャンペーンが再び活性化していることを紹介したばかりですが、今回も再びEmotetの話題を取り上げたいと思います。というのも、弊社がグローバルで運用している「Global SOC（GSOC）」において、弊社のお客様の環境において極めて多くのEmotet関連の脅威が検知されているのです。中でも日本のお客様の環境において極めて多くの脅威が検知されており、早急な対応が必要だと考えられます。

弊社のGSOCでは、世界中のお客様にご利用いただいているサイバーリーズン製品が検出した脅威の数や種類、傾向などを分析し、その内容をお客様にレポートとして提供したり、日々の製品開発に反映させたりしています。近年では特にEmotet関連の脅威が多く検知されており、2020年9月29日から遡って過去70日間の統計を見ると、合計970件ものEmotet関連の脅威が検知されています。

これらの中に含まれる脅威の種類として最も多かったのは、「悪意のあるファイルを開いたことによる悪質判定」で、これはEmotetに関連するフィッシングメールが極めて多く配信されていることの表れだと推測されます。また次に多かったのが「PowerShellの悪用」で、これもEmotetに感染した際に表れる典型的な事象の1つです。Emotetの多くは、メールの添付ファイルや不正リンクからダウンロードされたファイルを介して不正スクリプトを感染端末上で実行しますが、その際にPowerShellを使って悪質なコマンドを実行します。

中にはEmotet本体の感染だけに留まらず、その後TrickBotバンキングトロージャンやZloaderなど別のマルウェアをダウンロードしたり、「Eternal Blue」と呼ばれる脆弱性を突いて同一ネットワーク内の別の端末へ感染を広げる動きも確認されています。もちろん、サイバーリーズン製品を導入した環境においては、被害が深刻化する前にこれらの脅威を確実に検知できていますから、多くのお客様の環境では事なきを得ています。

しかし、こうした脅威を検知する術を持たない企業・組織においては、恐らく知らぬ間に情報が窃取されていたり、あるいは感染が広範囲に拡大していたりと、気付いたときには被害が極めて深刻化していることが考えられます。特に近年のEmotet攻撃は先日も紹介した通り、極めて巧妙な詐欺メールの手法が使われるため、従業員に通り一遍のメールセキュリティ教育を施しただけでは、とても防ぎきれなくなっているのが実情です。

日本におけるEmotet感染数の急増とその背景にあるもの

ちなみに検知された合計970件の脅威のうち、実に763件が日本国内のお客様の環境で検知されたものでした。このことから、現在のEmotet攻撃において、日本の企業・組織が重点ターゲットとして挙げられている可能性が指摘されています。Emotetの感染被害は現在世界中で報告されていますが、その中でもなぜ日本でこれだけ多くの感染が見られるのか、その明確な理由はまだ分かっていません。しかし、Emotet感染を狙う攻撃メールの手口が極めて巧妙化していることが、その理由の1つではないかと考えられています。

これまで日本語の文面で書かれた攻撃メールは、明らかに文面が不自然だったり、使われているフォントが日本語環境で通常使わないものだったりと、比較的容易に不正を見抜けるものがほとんどでした。しかし最近の攻撃メールは極めて自然な日本語で書かれたものが多く、一目で「怪しい」と分かるものはだんだん少なくなってきています。

加えて、近年のEmotet攻撃で使われるメールは、過去にEmotetに感染した企業・組織から流出したメールアドレスやメール文面などの情報を使い、いかにも通常の業務メールを装うようになってきています。中には、過去に取引先とやりとりしたメールの返信を装ったものまで報告されています。こうなると、一目で不正メールだと見抜くのは極めて難しいと言わざるを得ません。

さらには、不正な添付ファイルを「パスワード付きZIP」で暗号化することで、セキュリティソフトウェアによる検知をすり抜ける手口も多く使われるようになりました。こうした巧妙な手口が多く使われるようになったことで、Emotetの感染例が現在急増しているものと考えられます。

こうした攻撃による被害を防ぐには、従業員に対するメールセキュリティ教育の実施や、セキュリティソフトの定期的なアップデートといった対策はこれまで通り重要ですが、ここまで巧妙化した攻撃による感染を100％防ぐのはもはや不可能だと考えるべきでしょう。従って、万が一感染してしまった場合の事後対策にも万全を期しておく必要があります。

例えば、弊社が提供するEDR製品「Cybereason EDR」は、たとえマルウェアに感染してしまっても、活動を始めようとした瞬間にその挙動を検知し、管理者にいち早く報告します。そのため、Emotetのような高度な攻撃を受けて感染を余儀なくされた場合でも、実被害が発生する前に素早く対処できるようになります。今後ますます被害が拡大することが予想されるEmotetの脅威から自社の貴重な情報資産を守るには、このような製品の導入も視野に入れておくべきでしょう。

また弊社が提供するNGAV製品「Cybereason NGAV」、「Cybereason Endpoint Prevention」は、「シグネチャベース検知」「機械学習による静的バイナリ解析」「ファイルレスマルウェアブロック」「アンチランサムウェア」「振る舞いベースのドキュメント保護」「エクスプロイト保護」という6層の防御機能を備えることで高度な攻撃を阻止できるようになっています。

加えて、自社内でEDRを運用するのが難しいお客さまに対しては、MDRサービス「Cybereason MDR（Managed Detection and Response）」と呼ばれる監視代行のマネージドサービスも提供しています。

ホワイトペーパー「すべての組織が狙われている」

企業、組織がどんなにセキュリティを強固にしてもハッカーが悪用できる脆弱性は必ず存在します。侵入されることが避けられないことを受け入れ、新たな対策を立てる必要があります。本書で、なぜ避けられないのか、どのように対処するのかをご覧ください。
https://www.cybereason.co.jp/product-documents/input/?post_id=606