流行マルウェア「Emotet」（エモテット）の脅威についてまとめてみた

　「Emotet」（エモテット）ウイルスへの感染を狙う攻撃メールが、国内の組織・団体へ、攻撃メールが着信している。「正規のメールへの返信を装う」内容となっているため、業務上開封してしまう巧妙な文面であり、ご注意を。*1

特徴

メールによる拡散を重視した挙動

効果的な検出回避機能

1. 感染する都度ウイルス自体のコードをランダムに変更し形を変える
2. ファイルレスモジュール（不正コードを持たない）
3. 解析環境を検知（解析と検出を回避する）

手口

自己拡散

窃取したメール情報を利用して自身の送付を行う

自他の多重感染

自身また他のマルウェア感染を広める

被害・影響

攻撃から感染までの大まかな流れ（作図:紫電一閃）

あらゆる認証情報を窃取される可能性

• 機密情報の漏えい/取得される可能性
• 金銭被害の可能性
• 感染拡大の可能性
• 攻撃の踏み台になる可能性

マルウェア「Emote」の歴史

Emotetは2014年頃に初めて発見されたため、新しいマルウェアではない。以下変遷の歴史について大まかな時系列に整理した

Emotetの進化の歴史

情報セキュリティ安心相談窓口の相談状況［2020年第３四半期（７月～９月）*2

実際の攻撃メールと感染の始まり

感染までの流れ

1. 添付ファイル付きメールが配送
2. メールに添付されたWordファイルなどのOffice文書を開封
3. マクロの有効を許可
4. マクロ経由でWMIが実行され、さらにPowerShell が起動
5. Emotet マルウェアをダウンロードと実行
6. Emotet マルウェアに感染

攻撃メールの特長

1. 実在の人物且つ実際のメールアドレスから送られる
2. 件名は業務に関連する
3. 添付ファイル は確実に開封を促すようになっている
4. 謎のURL が含まれる場合がある
5. 送信メールの引用 が含まれる場合がある
6. パスワードZIP が含まれる場合がある（最新手口）*3

不正マクロを実行する

Emotet のメール配信方式は定期的に変更されている。

添付されたWord文書ファイルは悪意あるプログラムが含まれている

不正なマクロが埋め込まれているが、デフォルト設定でマクロの実行は無効にされている為、上部に警告バーが表示される。そのため、この時点ではまだ感染はしていない。

*4

「編集を有効にする」/ 「コンテンツの有効化」ボタンをクリックすると感染するため、決してクリックしてはならない。

Emotetは新しい手口を用いたキャンペーンを実行している。「Windows Server Update Services」からのメールを装い、ユーザーにOfficeアプリの更新が必要だと通知する

不正マクロを実行してしまう理由*5

環境的・身体的要因

労務管理の不備により業務集中、多忙から 思考力低下により受信メールを吟味せず反射的に開封

認知的能力 (知識・経験)

• 手口が巧妙化し「不審メール」ではなくなってきている

返信型メールのため実在する人物、会社や組織からの連絡と認識してしまう

• 自己中心性と楽観視による、意図する違反行動
• 自分には「知識がある」と「これまで感染しなかった経験」という「正常性バイアス」

動機付け(業務関連度)

関連度が高い場合

• 内容を確認しないデメリットがマルウェア感染リスクを上回るため
• 経験や既知情報から信頼性が高いと判断

関連度が低い場合

• 「好奇心」「不安傾向」からなんら自分と結び付ける可能性があるため
• メールに対する反射、内容への興味/恐怖

組織内にて定期的に標的型メール攻撃の訓練を実施しているにも拘わらず、開封率0%には至らない。

トレーニングは定期的に実施している（作図:紫電一閃）

2020年10月直近の事例では

不審なメールが届くとの国内各社で「お知らせ、ご注意」をHPで掲載

• 「協力会社各位へ」の件名のメールを受信
• 「消防検査」「ご入金額の通知・ご請求書発行のお願い」「次の会議の議題」「変化」といった件名・添付ファイル名を確認

不正マクロからマルウェア本体ダウンロードと感染後

不正マクロの実行からPCのマルウェア感染までの流れ

常に最新にアップデートし、サーバ側で解析し挙動を変える

• 不正コードを本体に所持せず、従来のウイルス対策ソフトで検知は難しい
• モジュールはファイルとして保存されないため、調査者から解析されづらい
• 不正機能を常時最新化し、不正と判断するまで調査ができない

一般的なマルウェアの耐解析手法

Emotetの耐解析手法

正規プロセスを装い、認証情報を抽出と窃取後再利用

トロイの木馬型ソフトウェア

EXEファイルの変化がないためプロセスの実行ファイルを取得して調べても正規ファイルのまま

正規プロセスを装いツールを悪用

正規のパスワード抽出ツールとしてプロセスの中身を置き換え、フリーツールの機能をそのまま利用して様々なパスワードを窃取する。

過去窃取情報の使いまわし

過去の Emotet 感染で窃取した情報を利用し、送信されたと思われる Emotet 感染に繋がるメールを確認*6

被害事例の報告

<<作成中>>

よくある質問

Q:Emotetに感染しないためにはどのような対策が必要ですか?
以下の対策をし、メール添付不審なファイルの「コンテンツの有効化」などは決してクリックしないようにしてください。

• 注意喚起を実施
• Word マクロの自動実行を無効化
• メールセキュリティ製品の導入によるマルウエア付きメールの検知
• メールの監査ログの有効化
• OS に定期的にパッチを適用 (SMBの脆弱性をついた感染拡大に対する対策)
• 定期的なオフラインバックアップの取得（標的型ランサムウエア攻撃に対する対策）

Q：Emotet の感染有無を確認するためにはどうすればよいですか?
まず以下実施してください。

• なりすまされた本人へのヒアリング
• ウイルス対策ソフトでスキャン

　パターンマッチング方式の場合ですと検知しない可能性があるため後日シグネチャを最新に更新して再度スキャンする
Emotチェックツールの実施

• 端末の自動起動設定の確認

WindowsOS の自動起動設定に、Emotetが存在する可能性の高いフォルダに含まれるexeファイルが設定されていないかを確認する

• EmoCheckによるEmotet感染有無の確認

JP/CERTのサイトにてEmotetの感染有無の確認チェックツールが公開 https://blogs.jpcert.or.jp/ja/2019/12/emotetfaq.htmlblogs.jpcert.or.jp 参照してご対策ください。

脚注・引用・出典

*1:知り合いや取引先を装った巧妙な偽メール「Emotet」の被害急増,NHK,2020年9月18日

*2:IPA

*3:IPA:相談急増／パスワード付きZIPファイルを使った攻撃の例（2020年9月2日 追記）https://www.ipa.go.jp/security/announce/20191202.html#L13

*4:New Emotet attacks use fake Windows Update lures

*5:NPO日本ネットワークセキュリティ協会(JNSA Press vol.46 P.2寄稿)

*6:マルウエア Emotet の感染に繋がるメールの配布活動の再開について

積水化学工業元社員による営業秘密持出による情報漏えい

ANN　積水化学元研究員を書類送検　中国に機密漏洩か(2020年10月14日)

報道内容からおおよその相関図（作図:紫電一閃）

大阪府警は14日、スマートフォンの液晶技術に関する営業機密情報を中国の企業に漏らしたとして、積水化学工業の男性元社員を不正競争防止法違反の疑いで13日に書類送検したと発表。以下、関連する情報を整理してみた。

内部不正の概要

積水工業化学の元社員は中国企業に営業機密にあたる技術情報を提供した

流出（漏えい）した情報と影響

• スマートフォンの画面で指の動きを感知するために使われる「導電性微粒子」に関係する情報（製造設備のリスト）
• 上記情報は積水化学の機密情報に該当する

犯行手口

• 犯行は2018年8月上旬から半年にかけ行われ、営業秘密に該当する技術情報を中国企業の社員にメールで送信した疑いがもたれている

• 元社員は当時勤務していた社内サーバーから私物のUSBメモリにコピーし営業秘密に当たる情報を不正に入手

• 元社員はビジネス用SNS「LinkedIn（リンクトイン）」に氏名や社名を公開し、導電性微粒子の研究に携わると書き込んでいた

• 元社員は営業機密情報にアクセスできる立場であった

原因・問題・犯行動機

• 自身の研究が評価されていなかったと供述

• 情報を渡す代わりに、中国の会社の情報を入手できれば、自分の地位上がると思ったと供述

• いけないことだとは認識していた

対応・解決・知識化

• 大阪府警は「不正競争防止法違反」の疑いで元社員を書類送検した

• 積水化学工業は元社員を懲戒解雇とし、元社員は中国企業の日本事業所へ転職した

内部不正の発生要因

動機/プレッシャー

• 業務量・ノルマ・人事に不満/金銭問題

機会

• 実行容易な環境/組織のルール

正当化

• 倫理観の欠如・都合の良い解釈・責任転嫁

状況的犯罪予防から対策

被害予防

• 資産の把握/管理体制の整備

• 重要情報の保護(アクセス制御/監視、暗号化)

• アカウント制限、権限管理・定期監査

• 外部記憶媒体の利用制限/未許可機器の接続禁止

• 機密保護の関する誓約/保証人の取得

• 罰則規定の強化と周知・相互監視の強化

被害早期発見

• システム操作の記録・監視

• ログイン履歴の管理

参照元資料・脚注・出典・引用

ANN積水化学元研究員を書類送検　中国に機密漏洩か(2020年10月14日)-YOUTUBE

スマホ技術を中国側に漏洩か 書類送検の積水化学元社員：朝日新聞デジタル

京セラ株式会社、従業員パソコンがマルウェア（Emotet）に感染したと発表

京セラ株式会社「お客様へのお知らせ」

概要

スマートエナジー事業本部に所属する従業員が使用するパソコンが9月26日、マルウェア（Emotet）に感染し、従業員を装った第三者からの不審メールが複数の方へ発信されている事実を10月1日ごろに確認。
不審メールには、暗号化されたZIP形式のマルウェアファイルが添付されていた。

「スマートエナジー事業本部」とは

• 2020年4月1日に「ソーラーエネルギー事業本部」から改称

太陽光発電システムや蓄電池、また燃料電池（SOFC）などの環境エネルギー関連

• 製品の開発、製造、販売を中心に事業を展開

流出情報/影響

• 個人情報最大約1万5000件（重複を含め1万4853件の項目が含まれる）が外部に流出した可能性

流出した個人情報の主体

ハウスメーカー経由で販売し、または、お見積り依頼があった住宅用ソーラーシステム設置工事の施主、ハウスメーカー担当者、従業員

流出個人情報の種類

• 氏名
• 住所
• 電話番号
• メールアドレスなど

流出対象メール

2012年4月から2016年4月までの送受信メール（3万8502件うち約3500件）

原因・問題

• 従業員宛てに送信したメールに暗号化ZIP形式に不正マクロを含むファイルを実行したもよう

「コンテンツの有効化」をクリックすると不正プログラムがダウンロードされる

• 感染したパソコンから社内外に約3万通の該当従業員を装った不審メール送られたという

• マルウェア「Emotet」は情報の窃取に加え、さまざまな不正ソフトウェアをダウンロードする

• 悪意のある者によって、不審メールに添付され、感染拡大を狙う

参照元報道資料（引用・脚注・出典）

弊社を装った不審メールと個人情報等の流出の可能性に関するお詫びとお知らせ | お客様へのお知らせ | 京セラ株式会社　（2020年10月16日閲覧）