エモテット感染再拡大

はじめに

2022年12月現在、7月以降活動を控えていたマルウェア「Emotet(エモテット)」ですが、メールの送信を再開し、攻撃が継続しています。
Emotetは感染した端末からメールやアドレス帳、ブラウザに保存されたパスワードを盗み出すマルウェアとして知られていますが、情報を盗み出すだけではなく、異なるマルウェアや次のサイバー攻撃に繋げる為の役割を持っているマルウェアです。

したがって「Emotet」による被害は、情報の窃盗だけではなく、ランサムウェア感染の糸口になる可能性や、他社や自社顧客へのスパムメールを展開される踏み台になる可能性までも含んでおり、ビジネスに多大な影響をもたらしかねません。

本記事では、活動再開に辺り新しい手口を紹介し、これまでの「Emotet」が行ってきた手口の振り返りと合わせて、対策ポイントを解説します。

Emotetの活動傾向

Emotetによる活動は2014年頃に初めて観測され、マルウェアとしての形を変遷させながらも、2019年頃から日本を対象とした攻撃が始まりました。
現在では盗み出したメール情報を悪用することで、正常な返信に偽装したメールを送りつける手法が用いられています。
2021年1月にEUROPOLによりテイクダウンされたことで活動が停止していましたが、2021年末に活動が再開しました。拡散方法・攻撃手法も更新されたことで多数の企業が感染しています。

2022年6月にはブラウザに保存されたクレジットカード情報を盗む手法の追加されたりと、マルウェアとして狡猾な活動を見せています。

2022年上半期のデータを見ると、日本を始めに世界各国でも多くの検出を確認されたことが報告されています。

特に日本では2022年3月は被害報告を行った企業・組織が急増しています。
被害にあった端末・企業からメールファイルやアドレス帳が盗まれ悪用されたことで、過去にやり取りのあった取引先や関係者のメールアドレスへと攻撃範囲を広げ、連鎖的に被害が広まったことが見えてきます。

感染被害の公表においては全ての企業が公表するわけではありません。
また公表内容に特定のマルウェア名が挙げられることが珍しいことも合わせると、当時の感染傾向は驚異的であったといえます。

Emotetの感染被害を公表した企業数の推移

(出所:トレンドマイクロ)

2022年のEmotetの活動と11月の再開

Emotetの攻撃はメールを用いてマルウェアが入った添付ファイルを送付。その添付ファイル開き実行することでEmotetがダウンロードされ感染します。
添付ファイルは様々で、Word・Excelファイル、2022年はショートカットリンクも添付されていることも多いです。

まず、実際エモテットのメールを受信したサンプルを紹介します。

図1 エモテットメールサンプル

メール文面だけでは本物と見間違えるほど巧妙に作成されています。

メールに添付されているファイルを開きマクロを有効にするとEmotetファイルがダウンロードされ感染します。

2022年7月~およそ4ヶ月間の一時的な活動停止の後、2022年11月に新たな感染の誘導を狙うメッセージを追加したExcelマクロを悪用するEmotetのメール送信が再開しました。確認されたEmotetでは、Excelファイルを開いた際に「マクロが有効できない場合、以下のパスにファイルを移動して実行してください」と誘導されるメッセージが表示されます。

記述されたパスはMicrosoft Excelにおいてデフォルトで”信頼済みの場所”として設定されており、指示に従い実行すると信頼済みのドキュメントと判断されExcelファイル起動時にマクロが実行されてしまいます。これはMicrosoft Officeにおけるマクロが標準的に無効化されるアップデートが配信されたことを受け、Emotetの攻撃者が新たな感染手法の一つとして試していると考えられます。
ただし、通常であれば記述されたパスでのファイル実行は管理者権限が必要となり一般ユーザ権限では実行できないため、企業組織の環境によってはこの誘導手法の影響は少ないでしょう。もし管理者権限で一般ユーザが容易に実行できてしまう環境であった場合は注意が必要です。

図2 2022年11月に新たに確認された誘導メッセージ

もし、Emotetに感染してしまった場合、メールやアドレス帳が盗み出されてしまいます。
盗み出されたメールはEmotetの攻撃者によって悪用され、過去にメールのやり取りを行った関係者にEmotetが添付されたメールが送られてしまいます。

更にEmotetに感染したまま対処せずにおくと、異なるサイバー攻撃の被害やランサムウェアの侵入経路となる可能性があり、脅威にさらされた状態になります。
また、感染した端末のメールアカウントの認証情報が乗っ取られ、悪用されることで意図せずにEmotetメールを送信してしまった事例もある為、より一層の注意が必要となります。

被害にあわないための対策

Emotetの対策として、技術的にEmotetに特化した対策は存在しません。そのため他のマルウェア同様に、あるべきセキュリティ対策を企業・組織に適用することが最も有効な対策といえます。
具体的には、

① 第三世代セキュリティソフト(EDR)を導入する。
② Emotetの活動再開によりスパムメール増加を社内に周知し、注意喚起を行う。(従業員の自助努力による対策)

等が対策として挙げられます。

①の第三世代セキュリティソフト(EDR)を導入する部分はSentinelOneを推奨します。

セキュリティソフトの防御方法については別の記事にてご紹介します。