Emotet への対策と対応は- 株式会社サイバーフォートレス

はじめに

2020年2月以降大きな動きが見られなかった Emotet の活動が7月になって再開してきているニュースが話題になっています。「Emotetとはどんな攻撃なのか」、「Emotetの対策」について紹介します。

Emotet とは

Emotet（エモテット）とは、2014年頃から確認されているマルウェアの一種で、メール添付されているファイルを開くことで感染することが多く報告されています。
情報の窃取に加え、他のウイルスへの感染を助長するウイルスであり、悪意のある者によって、不正なメール（攻撃メール）に添付される等して、感染の拡大が試みられています。Emotetに感染するということは、あらゆるマルウェアに感染するリスクを含むことになります。

「コンテンツの有効化」をクリックするとEmotetがダウンロードされる
出典：情報処理推進機構（IPA）

EMOTETの特徴

EMOTETの大きな特徴は、次の４つです。

１．非常に高い感染力、拡散力
２．感染をわかりにくくし、巧妙に潜伏する
３．遠隔バージョンアップで新たな検知手法にも対応
４．さまざまなマルウェアを呼び寄せるプラットフォームとなる

【１．非常に高い感染力、拡散力】

Emotetの感染の始まりは、メールに添付されたOfficeファイルであることが多く確認されています。Officeのマクロ機能を使って、Emotet本体となるファイルをC＆Cサーバ（コマンド＆コントロールサーバ）からダウンロードし、実行します。感染元のパソコンから保存されているシステムのアカウント情報やメール内容などを盗み出し、その情報を元にさらに広範囲に渡って感染を広げようとします。

【２．感染をわかりにくくし、巧妙に潜伏する】

Emotetには、利用者やマルウェア対策製品で発見されにくくするための様々な工夫が施されており、従来型のアンチウイルスをすり抜けて感染し、被害者は気づかないうちに攻撃を受けるケースが多く発生しています。

【３．遠隔バージョンアップで新たな検知手法にも対応】

Emotetは、感染後も攻撃者の管理するC＆Cサーバーと定期通信を行い、バージョンアップを繰り返します。これにより、新たに発覚した脆弱性をつく機能や、最新の検知手法を回避する機能を獲得します。

【４．さまざまなマルウェアを呼び寄せるプラットフォームとなる】

Emotetの開発グループは、Emotetを利用する他のサイバー犯罪グループからの2次的なペイロードを運ぶことで料金を徴収しており、サイバー犯罪ビジネスとして成り立っています。
Emotet自体が持つ機能だけでなく、様々な機能を持ったモジュールやマルウェアをC＆Cサーバーからダウンロードするプラットフォームとして動作し、様々な被害をもたらします。

Emotetの被害事例

発信元	確認日	概要
首都大学東京	2019年11月	1万8千件を超えるメール情報が流出。大学教員をターゲットにした標的型のフィッシングメールに添付されたファイルを開封したことが原因
軽金属製品協会	2019年12月	12月17日になりすましメールの連絡受領を受け調査したところEmotetに感染していることが判明。ネットワーク内部への拡散は確認されず。
NTT西日本	2019年12月	同社グループ企業の従業員が取引先を名乗る不審なメールを受信し、添付ファイルを開封したことにより「Emotet」に感染。その後、2019年12月11日、同社の顧客から「従業員を名乗る不審なメールが届いた」といった通知があったため、確認作業を進めたところ、感染が明らかになった

Emotet活動再開

Emotetウイルスの活動を5カ月ぶりに観測（2020年7月20日）

JPCERTコーディネーションセンター（JPCERT/CC）はEmotetウイルスに感染させるメールを確認した。2020年2月以前に詐取された情報が今となって悪用されたケースもあるとしてセキュリティ機関が注意を呼びかけています。

今回観測されているメールも、以前と同様、添付ファイルまたは本文中にリンクを含むメールとなっているます。添付ファイルまたはリンクからダウンロードされるファイルを実行すると、マクロの有効化を促す内容が表示され、マクロを有効化すると、Emotetの感染に繋がることが確認されています。

Emotetに感染しないための対策

知り合いからのメッセージであっても添付ファイルに注意する

エモテットは添付ファイルを介して感染するので、添付ファイルがどのようなものであっても、安易に開かないようにしてください。パソコン上でクリックして添付ファイルを開くことでプログラムが起動するからです。不審に感じたら、そのようなメールを送ったのか本人に確認したり、添付ファイルではなくクラウドやオンラインストレージでファイルを確認できるようにしてもらいましょう。

セキュリティ対策ソフトで保護する

マルウェア感染によるセキュリティインシデントの発端となるパソコンは、セキュリティ対策ソフトで保護されていないことが多いです。「必ず」セキュリティソフトは導入しましょう。

セキュリティパッチを適用する

Emotetに感染することで、あらゆるマルウェアに感染するリスクが高まります。マルウェアの多くは、既知の脆弱性を狙ったものであり、脆弱性をそのままにしておくことは非常にリスクが高いです。日々更新を心がけましょう。

Officeマクロを無効化する

なりすましメールによるマルウェアEmotetへの感染を狙う攻撃メールには、メール受信者のPCにEmotetを感染させるための悪性の添付ファイルがついています。添付ファイルはWord形式のファイルです。
メールに添付されたWord 形式のファイルを受信者が開き、 Wordファイルを開いた後に表示される「コンテンツの有効化」を実行することでEmotetへの感染が発生します。Officeの設定を「警告を表示してすべてのマクロを無効にする」に設定することでEmotetの攻撃を止めることができます。

Power Shellをブロックする

Emotetの実行には、PowerShellが利用されています。メールに添付されたファイルを開くことで、マクロの実行→コマンドプロンプトの実行→PowerShellの実行、という順番で実行され、C&Cサーバと通信を行います。普段PowerShellの使用はあまりないので、PowerShellの実行をあらかじめブロックしておくことが対策として有効となります。

標的型攻撃メール対策ソリューションを導入する

Emotetの主な感染源はメールの添付ファイルです。標的型攻撃メールによる感染事例があることからも、標的型攻撃メール対策ソリューションは有効となります。標的型攻撃メール対策ソリューションは、フィッシングサイトのURLチェックを行ったり、添付ファイルの解析を行ったりすることが可能です

Emotetの感染確認方法

JPCERTよりEmotet感染チェックツールが公開されています。
https://blogs.jpcert.or.jp/ja/2019/12/emotetfaq.html

EmoCheckによりEmotetが検知された例
出典：JPCERT

使用方法

1.ダウンロードページで使用している端末に応じてemocheck_x86.exeまたはemocheck_x64.exeをダウンロード(不明な場合はemocheck_x86.exeを使用ください)

2.ツールをダブルクリックで実行

3.下記がでたら感染しています
「Emotetのプロセスが見つかりました。」
不審なイメージパスの実行ファイルを隔離/削除してください。

感染時の対応

『感染が確認された場合は即座にLANの接続を切ってください。』

『感染端末の隔離』『証拠保全』『被害範囲の調査』が必要になります。
詳細な動きについては「Emotetの感染確認方法」で紹介しているJPCERTのHPに記載がありますのでご参照ください。

おわりに

新型コロナウイルスの影響でテレワークが普及しはじめています。テレワーク環境下のセキュリティが十分に構築されている企業は多くはないと思います。そんな隙を突くかのようにEmotetが活動を再開し始めました。いつ狙われてもおかしくはない状況だと思います。まずは自身で簡単にできる、「Officeのマクロ無効化」を実施して対策をすることを推奨します。

[blogcard url=” https://www.cyberfortress.jp/contact/ “]

参考文献

世界で猛威を振るうEmotet（エモテット）とは？
https://www.ines-solutions.com/industry/a212
サイバー攻撃とは？その種類や事例を解説
https://magazine.focus-s.com/1519/
EMOTET（エモテット）とは？特徴から危険性、対策方法まで徹底解説
https://cybersecurity-jp.com/column/34114
EMOTETの概要 https://www.trendmicro.com/ja_jp/business/campaigns/emotet.html
Emotet（エモテット）とは？広がる危険性といま行うべき対策
https://www.daikodenshi.jp/daiko-plus/security/emotet-how-to-take-measures/
猛威を振るうマルウェアEmotetとは？
https://www.pit-navi.jp/security-emotet-20200324/
【注意】マルウエア「Emotet（エモテット）」が再び活動開始！特徴と対策まとめ
https://andronavi.com/2020/07/505941/
Emotet（エモテット）徹底解説！感染すると何が起こる？
https://www.lanscope.jp/trend/16141/
マルウエア Emotet の感染に繋がるメールの配布活動の再開について (追加情報)
https://www.jpcert.or.jp/newsflash/2020072001.html
「Emotet」と呼ばれるウイルスへの感染を狙うメールについて
https://www.ipa.go.jp/security/announce/20191202.html

Written by CYBERFORTRESS, INC.