情報セキュリティ事件・事故のまとめ

標的型メール攻撃、内部不正・不注意、ビジネスメール詐欺、サプライチェーンの弱点、システム障害、サイバー攻撃などなど

流行マルウェア「Emotet」(エモテット)の脅威についてまとめてみた

 「Emotet」(エモテット)ウイルスへの感染を狙う攻撃メールが、国内の組織・団体へ、攻撃メールが着信している。「正規のメールへの返信を装う」内容となっているため、業務上開封してしまう巧妙な文面であり、ご注意を。*1

特徴

メールによる拡散を重視した挙動
効果的な検出回避機能
  1. 感染する都度ウイルス自体のコードをランダムに変更し形を変える
  2. ファイルレスモジュール(不正コードを持たない)
  3. 解析環境を検知(解析と検出を回避する)

手口

自己拡散

窃取したメール情報を利用して自身の送付を行う

自他の多重感染

自身また他のマルウェア感染を広める

被害・影響

f:id:hilo_lin:20201026232942j:plain
攻撃から感染までの大まかな流れ(作図:紫電一閃)
あらゆる認証情報を窃取される可能性
  • 機密情報の漏えい/取得される可能性
  • 金銭被害の可能性
  • 感染拡大の可能性
  • 攻撃の踏み台になる可能性

マルウェア「Emote」の歴史

Emotetは2014年頃に初めて発見されたため、新しいマルウェアではない。以下変遷の歴史について大まかな時系列に整理した

f:id:hilo_lin:20201027143210p:plain
Emotetの進化の歴史
f:id:hilo_lin:20201026234758p:plain
情報セキュリティ安心相談窓口の相談状況[2020年第3四半期(7月~9月)*2

実際の攻撃メールと感染の始まり

感染までの流れ

  1. 添付ファイル付きメールが配送
  2. メールに添付されたWordファイルなどのOffice文書を開封
  3. マクロの有効を許可
  4. マクロ経由でWMIが実行され、さらにPowerShell が起動
  5. Emotet マルウェアをダウンロードと実行
  6. Emotet マルウェアに感染

攻撃メールの特長

  1. 実在の人物且つ実際のメールアドレスから送られる
  2. 件名は業務に関連する
  3. 添付ファイル は確実に開封を促すようになっている
  4. 謎のURL が含まれる場合がある
  5. 送信メールの引用 が含まれる場合がある
  6. パスワードZIP が含まれる場合がある(最新手口)*3

不正マクロを実行する

Emotet のメール配信方式は定期的に変更されている。

f:id:hilo_lin:20201027093922j:plain
添付されたWord文書ファイルは悪意あるプログラムが含まれている

不正なマクロが埋め込まれているが、デフォルト設定でマクロの実行は無効にされている為、上部に警告バーが表示される。そのため、この時点ではまだ感染はしていない。

*4f:id:hilo_lin:20201027094235j:plain
「編集を有効にする」/ 「コンテンツの有効化」ボタンをクリックすると感染するため、決してクリックしてはならない
Emotetは新しい手口を用いたキャンペーンを実行している。「Windows Server Update Services」からのメールを装い、ユーザーにOfficeアプリの更新が必要だと通知する

不正マクロを実行してしまう理由*5

環境的・身体的要因
労務管理の不備により業務集中、多忙から 思考力低下により受信メールを吟味せず反射的に開封
認知的能力 (知識・経験)
  • 手口が巧妙化し「不審メール」ではなくなってきている
返信型メールのため実在する人物、会社や組織からの連絡と認識してしまう
  • 自己中心性と楽観視による、意図する違反行動
  • 自分には「知識がある」と「これまで感染しなかった経験」という「正常性バイアス
動機付け(業務関連度)
関連度が高い場合
  • 内容を確認しないデメリットがマルウェア感染リスクを上回るため
  • 経験や既知情報から信頼性が高いと判断
関連度が低い場合
  • 「好奇心」「不安傾向」からなんら自分と結び付ける可能性があるため
  • メールに対する反射、内容への興味/恐怖
組織内にて定期的に標的型メール攻撃の訓練を実施しているにも拘わらず、開封率0%には至らない。
f:id:hilo_lin:20201027144101j:plain
レーニングは定期的に実施している(作図:紫電一閃)
2020年10月直近の事例では
不審なメールが届くとの国内各社で「お知らせ、ご注意」をHPで掲載
  • 「協力会社各位へ」の件名のメールを受信
  • 「消防検査」「ご入金額の通知・ご請求書発行のお願い」「次の会議の議題」「変化」といった件名・添付ファイル名を確認

不正マクロからマルウェア本体ダウンロードと感染後

f:id:hilo_lin:20201027125550j:plain
不正マクロの実行からPCのマルウェア感染までの流れ

常に最新にアップデートし、サーバ側で解析し挙動を変える

  • 不正コードを本体に所持せず、従来のウイルス対策ソフトで検知は難しい
  • モジュールはファイルとして保存されないため、調査者から解析されづらい
  • 不正機能を常時最新化し、不正と判断するまで調査ができない
f:id:hilo_lin:20201027151346j:plain
一般的なマルウェアの耐解析手法
f:id:hilo_lin:20201027131321j:plain
Emotetの耐解析手法

正規プロセスを装い、認証情報を抽出と窃取後再利用

トロイの木馬型ソフトウェア
f:id:hilo_lin:20201027150150j:plain
EXEファイルの変化がないためプロセスの実行ファイルを取得して調べても正規ファイルのまま
正規プロセスを装いツールを悪用
正規のパスワード抽出ツールとしてプロセスの中身を置き換え、フリーツールの機能をそのまま利用して様々なパスワードを窃取する。
過去窃取情報の使いまわし
過去の Emotet 感染で窃取した情報を利用し、送信されたと思われる Emotet 感染に繋がるメールを確認*6

被害事例の報告

<<作成中>>

よくある質問

Q:Emotetに感染しないためにはどのような対策が必要ですか?
以下の対策をし、メール添付不審なファイルの「コンテンツの有効化」などは決してクリックしないようにしてください。
  • 注意喚起を実施
  • Word マクロの自動実行を無効化
  • メールセキュリティ製品の導入によるマルウエア付きメールの検知
  • メールの監査ログの有効化
  • OS に定期的にパッチを適用 (SMBの脆弱性をついた感染拡大に対する対策)
  • 定期的なオフラインバックアップの取得(標的型ランサムウエア攻撃に対する対策)
Q:Emotet の感染有無を確認するためにはどうすればよいですか?
まず以下実施してください。  パターンマッチング方式の場合ですと検知しない可能性があるため後日シグネチャを最新に更新して再度スキャンする
Emotチェックツールの実施 WindowsOS の自動起動設定に、Emotetが存在する可能性の高いフォルダに含まれるexeファイルが設定されていないかを確認する
  • EmoCheckによるEmotet感染有無の確認
JP/CERTのサイトにてEmotetの感染有無の確認チェックツールが公開 https://blogs.jpcert.or.jp/ja/2019/12/emotetfaq.htmlblogs.jpcert.or.jp 参照してご対策ください。

脚注・引用・出典

*1:知り合いや取引先を装った巧妙な偽メール「Emotet」の被害急増,NHK,2020年9月18日

*2:IPA

*3:IPA:相談急増/パスワード付きZIPファイルを使った攻撃の例(2020年9月2日 追記)https://www.ipa.go.jp/security/announce/20191202.html#L13

*4:New Emotet attacks use fake Windows Update lures

*5:NPO日本ネットワークセキュリティ協会(JNSA Press vol.46 P.2寄稿)

*6:マルウエア Emotet の感染に繋がるメールの配布活動の再開について