流行マルウェア「Emotet」(エモテット)の脅威についてまとめてみた
「Emotet」(エモテット)ウイルスへの感染を狙う攻撃メールが、国内の組織・団体へ、攻撃メールが着信している。「正規のメールへの返信を装う」内容となっているため、業務上開封してしまう巧妙な文面であり、ご注意を。*1
- 特徴
- 手口
- 被害・影響
- マルウェア「Emote」の歴史
- 実際の攻撃メールと感染の始まり
- 不正マクロを実行する
- 不正マクロからマルウェア本体ダウンロードと感染後
- 被害事例の報告
- よくある質問
- 脚注・引用・出典
特徴
メールによる拡散を重視した挙動
効果的な検出回避機能
- 感染する都度ウイルス自体のコードをランダムに変更し形を変える
- ファイルレスモジュール(不正コードを持たない)
- 解析環境を検知(解析と検出を回避する)
被害・影響
あらゆる認証情報を窃取される可能性
- 機密情報の漏えい/取得される可能性
- 金銭被害の可能性
- 感染拡大の可能性
- 攻撃の踏み台になる可能性
マルウェア「Emote」の歴史
Emotetは2014年頃に初めて発見されたため、新しいマルウェアではない。以下変遷の歴史について大まかな時系列に整理した
実際の攻撃メールと感染の始まり
感染までの流れ
- 添付ファイル付きメールが配送
- メールに添付されたWordファイルなどのOffice文書を開封
- マクロの有効を許可
- マクロ経由でWMIが実行され、さらにPowerShell が起動
- Emotet マルウェアをダウンロードと実行
- Emotet マルウェアに感染
不正マクロを実行する
Emotet のメール配信方式は定期的に変更されている。
不正なマクロが埋め込まれているが、デフォルト設定でマクロの実行は無効にされている為、上部に警告バーが表示される。そのため、この時点ではまだ感染はしていない。
Emotetは新しい手口を用いたキャンペーンを実行している。「Windows Server Update Services」からのメールを装い、ユーザーにOfficeアプリの更新が必要だと通知する不正マクロを実行してしまう理由*5
認知的能力 (知識・経験)
- 手口が巧妙化し「不審メール」ではなくなってきている
- 自己中心性と楽観視による、意図する違反行動
- 自分には「知識がある」と「これまで感染しなかった経験」という「正常性バイアス」
動機付け(業務関連度)
関連度が高い場合- 内容を確認しないデメリットがマルウェア感染リスクを上回るため
- 経験や既知情報から信頼性が高いと判断
- 「好奇心」「不安傾向」からなんら自分と結び付ける可能性があるため
- メールに対する反射、内容への興味/恐怖
2020年10月直近の事例では
不審なメールが届くとの国内各社で「お知らせ、ご注意」をHPで掲載- 「協力会社各位へ」の件名のメールを受信
- 「消防検査」「ご入金額の通知・ご請求書発行のお願い」「次の会議の議題」「変化」といった件名・添付ファイル名を確認
不正マクロからマルウェア本体ダウンロードと感染後
常に最新にアップデートし、サーバ側で解析し挙動を変える
- 不正コードを本体に所持せず、従来のウイルス対策ソフトで検知は難しい
- モジュールはファイルとして保存されないため、調査者から解析されづらい
- 不正機能を常時最新化し、不正と判断するまで調査ができない
被害事例の報告
<<作成中>>よくある質問
Q:Emotetに感染しないためにはどのような対策が必要ですか? 以下の対策をし、メール添付不審なファイルの「コンテンツの有効化」などは決してクリックしないようにしてください。- 注意喚起を実施
- Word マクロの自動実行を無効化
- メールセキュリティ製品の導入によるマルウエア付きメールの検知
- メールの監査ログの有効化
- OS に定期的にパッチを適用 (SMBの脆弱性をついた感染拡大に対する対策)
- 定期的なオフラインバックアップの取得(標的型ランサムウエア攻撃に対する対策)
- 端末の自動起動設定の確認
- EmoCheckによるEmotet感染有無の確認
脚注・引用・出典
*1:知り合いや取引先を装った巧妙な偽メール「Emotet」の被害急増,NHK,2020年9月18日
*3:IPA:相談急増/パスワード付きZIPファイルを使った攻撃の例(2020年9月2日 追記)https://www.ipa.go.jp/security/announce/20191202.html#L13
*4:New Emotet attacks use fake Windows Update lures
積水化学工業元社員による営業秘密持出による情報漏えい
大阪府警は14日、スマートフォンの液晶技術に関する営業機密情報を中国の企業に漏らしたとして、積水化学工業の男性元社員を不正競争防止法違反の疑いで13日に書類送検したと発表。以下、関連する情報を整理してみた。
内部不正の概要
積水工業化学の元社員は中国企業に営業機密にあたる技術情報を提供した
流出(漏えい)した情報と影響
原因・問題・犯行動機
- 自身の研究が評価されていなかったと供述
- 情報を渡す代わりに、中国の会社の情報を入手できれば、自分の地位上がると思ったと供述
- いけないことだとは認識していた
対応・解決・知識化
内部不正の発生要因
動機/プレッシャー
- 業務量・ノルマ・人事に不満/金銭問題
機会
- 実行容易な環境/組織のルール
正当化
- 倫理観の欠如・都合の良い解釈・責任転嫁
状況的犯罪予防から対策
被害予防
- 資産の把握/管理体制の整備
- 重要情報の保護(アクセス制御/監視、暗号化)
- アカウント制限、権限管理・定期監査
- 外部記憶媒体の利用制限/未許可機器の接続禁止
- 機密保護の関する誓約/保証人の取得
- 罰則規定の強化と周知・相互監視の強化
被害早期発見
- システム操作の記録・監視
- ログイン履歴の管理
京セラ株式会社、従業員パソコンがマルウェア(Emotet)に感染したと発表
概要
スマートエナジー事業本部に所属する従業員が使用するパソコンが9月26日、マルウェア(Emotet)に感染し、従業員を装った第三者からの不審メールが複数の方へ発信されている事実を10月1日ごろに確認。
不審メールには、暗号化されたZIP形式のマルウェアファイルが添付されていた。
「スマートエナジー事業本部」とは
- 2020年4月1日に「ソーラーエネルギー事業本部」から改称
太陽光発電システムや蓄電池、また燃料電池(SOFC)などの環境エネルギー関連
- 製品の開発、製造、販売を中心に事業を展開
流出情報/影響
- 個人情報最大約1万5000件(重複を含め1万4853件の項目が含まれる)が外部に流出した可能性
流出個人情報の種類
- 氏名
- 住所
- 電話番号
- メールアドレスなど
流出対象メール
2012年4月から2016年4月までの送受信メール(3万8502件うち約3500件)
原因・問題
- 従業員宛てに送信したメールに暗号化ZIP形式に不正マクロを含むファイルを実行したもよう
- 感染したパソコンから社内外に約3万通の該当従業員を装った不審メール送られたという
- マルウェア「Emotet」は情報の窃取に加え、さまざまな不正ソフトウェアをダウンロードする
- 悪意のある者によって、不審メールに添付され、感染拡大を狙う
参照元報道資料(引用・脚注・出典)
弊社を装った不審メールと個人情報等の流出の可能性に関するお詫びとお知らせ | お客様へのお知らせ | 京セラ株式会社 (2020年10月16日閲覧)