流行マルウェア「Emotet」(エモテット)の脅威についてまとめてみた
「Emotet」(エモテット)ウイルスへの感染を狙う攻撃メールが、国内の組織・団体へ、攻撃メールが着信している。「正規のメールへの返信を装う」内容となっているため、業務上開封してしまう巧妙な文面であり、ご注意を。*1
- 特徴
- 手口
- 被害・影響
- マルウェア「Emote」の歴史
- 実際の攻撃メールと感染の始まり
- 不正マクロを実行する
- 不正マクロからマルウェア本体ダウンロードと感染後
- 被害事例の報告
- よくある質問
- 脚注・引用・出典
特徴
メールによる拡散を重視した挙動
効果的な検出回避機能
- 感染する都度ウイルス自体のコードをランダムに変更し形を変える
- ファイルレスモジュール(不正コードを持たない)
- 解析環境を検知(解析と検出を回避する)
被害・影響
あらゆる認証情報を窃取される可能性
- 機密情報の漏えい/取得される可能性
- 金銭被害の可能性
- 感染拡大の可能性
- 攻撃の踏み台になる可能性
マルウェア「Emote」の歴史
Emotetは2014年頃に初めて発見されたため、新しいマルウェアではない。以下変遷の歴史について大まかな時系列に整理した
実際の攻撃メールと感染の始まり
感染までの流れ
- 添付ファイル付きメールが配送
- メールに添付されたWordファイルなどのOffice文書を開封
- マクロの有効を許可
- マクロ経由でWMIが実行され、さらにPowerShell が起動
- Emotet マルウェアをダウンロードと実行
- Emotet マルウェアに感染
不正マクロを実行する
Emotet のメール配信方式は定期的に変更されている。
不正なマクロが埋め込まれているが、デフォルト設定でマクロの実行は無効にされている為、上部に警告バーが表示される。そのため、この時点ではまだ感染はしていない。
Emotetは新しい手口を用いたキャンペーンを実行している。「Windows Server Update Services」からのメールを装い、ユーザーにOfficeアプリの更新が必要だと通知する不正マクロを実行してしまう理由*5
認知的能力 (知識・経験)
- 手口が巧妙化し「不審メール」ではなくなってきている
- 自己中心性と楽観視による、意図する違反行動
- 自分には「知識がある」と「これまで感染しなかった経験」という「正常性バイアス」
動機付け(業務関連度)
関連度が高い場合- 内容を確認しないデメリットがマルウェア感染リスクを上回るため
- 経験や既知情報から信頼性が高いと判断
- 「好奇心」「不安傾向」からなんら自分と結び付ける可能性があるため
- メールに対する反射、内容への興味/恐怖
2020年10月直近の事例では
不審なメールが届くとの国内各社で「お知らせ、ご注意」をHPで掲載- 「協力会社各位へ」の件名のメールを受信
- 「消防検査」「ご入金額の通知・ご請求書発行のお願い」「次の会議の議題」「変化」といった件名・添付ファイル名を確認
不正マクロからマルウェア本体ダウンロードと感染後
常に最新にアップデートし、サーバ側で解析し挙動を変える
- 不正コードを本体に所持せず、従来のウイルス対策ソフトで検知は難しい
- モジュールはファイルとして保存されないため、調査者から解析されづらい
- 不正機能を常時最新化し、不正と判断するまで調査ができない
被害事例の報告
<<作成中>>よくある質問
Q:Emotetに感染しないためにはどのような対策が必要ですか? 以下の対策をし、メール添付不審なファイルの「コンテンツの有効化」などは決してクリックしないようにしてください。- 注意喚起を実施
- Word マクロの自動実行を無効化
- メールセキュリティ製品の導入によるマルウエア付きメールの検知
- メールの監査ログの有効化
- OS に定期的にパッチを適用 (SMBの脆弱性をついた感染拡大に対する対策)
- 定期的なオフラインバックアップの取得(標的型ランサムウエア攻撃に対する対策)
- 端末の自動起動設定の確認
- EmoCheckによるEmotet感染有無の確認
脚注・引用・出典
*1:知り合いや取引先を装った巧妙な偽メール「Emotet」の被害急増,NHK,2020年9月18日
*3:IPA:相談急増/パスワード付きZIPファイルを使った攻撃の例(2020年9月2日 追記)https://www.ipa.go.jp/security/announce/20191202.html#L13
*4:New Emotet attacks use fake Windows Update lures