セキュリティ
政府が注意喚起したマルウェア「emotet」の概要と脅威
ここ数年、「Emotet」というマルウェアについて取り上げられる機会が増えています。2019年には政府も行政機関や企業に対し注意喚起を行う事態に。Emotetとは一体どのようなマルウェアなのか、その概要と脅威をもたらす特徴について解説していきます。
Emotet(エモテット)とは
Emotetとは、感染者のメールに関する情報を収集してなりすましメールを送り、添付したWord文書ファイルなどを開かせることで感染を拡大させるマルウェアです。それだけではなく、Emotet以外のさまざまなマルウェアを呼び込んで感染させる機能をも併せ持っています。
日本では、2019年10月にEmotetによる感染が爆発的に広がりました。これに呼応し、コンピューターセキュリティ関連情報の収集・発信を行うJPCERT/CC(JPCERTコーディネーションセンター)は、同年11月に「マルウエアEmotetの感染に関する注意喚起」を発表しています。また菅義偉官房長官も記者会見でEmotetの感染被害の発生について言及、「行政機関、2020年東京(五輪・パラリンピック)大会に関わる事業者に注意喚起を行っている」と説明しました。
Emotetの存在が最初に確認されたのは2014年頃です。当初は現在と違って、主に端末(PC)からオンラインバンキングの認証情報を窃取するトロイの木馬型のツールとして利用されていました。ところがその後、Emotetは端末を遠隔操作するボットネット機能、マルウェア配信機能などをモジュールによって獲得し、進化していきます。現在ではウイルス検知回避機能(耐解析機能)、自己拡散能力なども向上させ、さまざまなマルウェアのプラットフォーム、インフラとしての役割を果たすようになっています。
Emotetの脅威
Emotetの特徴としてまず挙げられるのが、なりすましメールの巧妙さです。感染者のメール情報を収集・解析して過去に送受信した相手を割り出し、返信や転送する形で不正なメールを送り付けます。メールには以前にやりとりした本文が引用(転載)されることもあります。メールを受け取った相手が正規のメールだと思って添付ファイルを開き、Wordの「コンテンツの有効化」をクリックすると、ファイル内に埋め込まれたマクロが実行されるなどしてEmotetに感染します。
Emotetに感染すると、端末やブラウザに保存されたパスワードなどの認証情報を窃取される可能性があります。パスワードの窃取は社内ネットワーク内への感染拡大につながります。またメールアカウントとパスワード、メール本文、アドレス帳などのメール情報が収集され、前出のなりすましメールが送られます。
加えてEmotetは感染後、攻撃者が用意した外部のC&Cサーバー(指揮統制サーバー)に情報を送り、C&Cサーバー上で感染先の情報を分析します。その結果、Emotetを検知できる機能を持っていない端末のみを選別して本体をダウンロードさせてインストールし、さらに目的に応じたモジュールを組み込むなどして次の動作を実行させることができます。
Emotetが呼び込むほかのマルウェアには、銀行アカウントのログイン情報、リモートデスクトップアプリの認証情報、オンラインアカウントのパスワードやクッキー、閲覧履歴、機密情報などを窃取する機能を持つ「TrickBot」などがあります。さらに連鎖してランサムウェア「Ryuk」を感染させ、その攻撃によって情報を人質にとった身代金を要求するなどの事例も確認されています。
Emotetによる被害を防ぐ方法
第一に、差出人に覚えのあるメールであっても、事前に知らされていない添付ファイルは開かないことが重要です。社内や取引先などと添付ファイルの取り扱いについてのルールを定めて厳格に守るようにしましょう。
WordやEXCELなどのOfficeドキュメントのマクロを「すべてのマクロを有効にする」という自動実行設定にしておくのは非常に危険です。通常はマクロを含むファイルを開くと黄色いメッセージバーと「コンテンツの有効化」ボタンが表示され、それをクリックするとマクロが実行される設定になっています。この設定になっていたとしても、ボタンをクリックする際は本当に信頼できるファイルかどうかを疑い、判断してください。
またEmotetがターゲットに選びやすいのは、OSやアプリケーションが最新状態にアップデートされていない端末です。常に最新状態を保つようアップデートを実施し、パッチを適用できない端末があればネットワークから切り離しておくなどの処置を取りましょう。
アンチウイルスソフトもある程度有効です。バリエーションが多いこともあって検知されない場合もありますが、最新のパターンファイルを用いた定期的なスキャンは欠かさないようにしましょう。またIPS(不正侵入防止システム)やサンドボックス製品の中には、Emotetの添付ファイルや関連通信を検知できるものもあります。
さらに、感染が疑われる端末を調べるには、一般社団法人 JPCERTコーディネーションセンター(JPCERT/CC)が無償公開しているチェックツール「EmoCheck」(https://github.com/JPCERTCC/EmoCheck/blob/master/README_jp.md)が役立ちます。
Emotetに感染してしまった場合の対処法
なりすましと思われる不審なメールが届いた、あるいはEmoCheckでチェックしたら感染が判明したという場合は、早急な対処が必要です。
まず感染した端末をネットワークから切り離します。端末に保存されていたメールやアドレス帳が参照された可能性があるので、端末自体はそれを調べるために保管しておいてください。次にその端末が使用していたメールアカウントやブラウザに保存されていた認証情報のパスワードを外部の端末を使って変更します。感染した端末で変更するとその情報が攻撃者に知られる可能性があるので要注意です。
次に感染端末が接続されていたネットワーク内の全端末の調査をします。その際はEmoCheckのほか、メールサーバのログや、外部への通信を記録・監視している場合はネットワークトラフィックログも参照しましょう。さらに別のマルウェアに感染していないかもチェックしてください。
そして被害を受ける可能性のある対象者への注意喚起も必ず行いましょう。アドレス帳に多数の登録があり、範囲が広ければ、Webサイトやプレスリリースなどによる告知も必要です。
Emotetは企業にとって非常に感染リスクの高いマルウェアといえます。感染後の対処法を含めてしっかりとした対策をしましょう。
※「Microsoft Word」「Microsoft Excel」「Microsoft Office」は、米国Microsoft Corporationの米国およびその他の国における商標または登録商標です。