ブログ(製品・サービス関連)

進化するマルウェア、EMOTET

その発生は2014年

金融機関のユーザー名とパスワードを盗み取るマルウェアとして2014年頃発生したEMOTETは、Eメールに添付されるなどしたOfficeドキュメントのマクロによって感染するトロイの木馬として、モジュール型のマルウェアをダウンロードする特徴を持ちました。

今回国内で観測されたEMOTETはそれとは異なる手法と目的を持ちます。モジュール型であり、Officeドキュメントのマクロを悪用する点は変わらないものの、一度感染すると内部感染を広げ、ログイン情報(クレデンシャル情報)などを入手し、その情報をもとにフィッシングメールを送って拡散する傾向があると現時点では見られています。

Eメールに添付されたOfficeドキュメントでEMOTETに感染させる場合、一般的なルアーメールやスパムメール同様、ビジネスに関わり合いの深い件名を装います。これは、なりすましメール、BECなどと似た特徴です。スパムメールのようなばら撒き形のほか、実際にやり取りされていたメールの返信を装うこともあります(図7)。また、添付ファイルを用いずに、Eメール本文にURLを記載し、クリックすると不正ファイルがダウンロードされる手法も確認されています。問題のファイルを開くとマクロを有効にするよう促すメッセージが書かれており、有効にするとPowershell によってEMOTETがダウンロードされ、活動を開始します。

モジュール型、という特徴

EMOTETはモジュール型という特徴を持ちます。ダウンロードされるモジュールには、EメールやWebブラウザのパスワード・リカバリーツールを悪用したものや、Outlook Eメールの詳細や本文を窃取するマルウェア、スパマーなどが含まれています。モジュールの数は変化しており、EMOTET が目的や標的を容易に変更させることの一助になっていると考えられます。

傾向と目的

FireEye でも10月中旬から日本国内でのEMOTET の活動の活発化を検知していましたが、海外でも同時期に急増の傾向が見られます。背景となる犯罪者集団について明確な情報はないものの、現時点での活動内容から、金銭目的であると考えられます。また、英語のEメールのほか日本語の本文や件名を持つEメールも確認されており(図3)、攻撃者が日本を一つの標的として捉えていると考えられます。

日本におけるEMOTETキャンペーン

2019年4月1週目~12月2週目の期間に、日本の FireEye Eメール・セキュリティ – Server エディションのお客様にて検知されたEメールを分析(図1) すると、以下のことがわかりました:

  1. EMOTET は4月上旬から5月19日まで、日本でさほど活発な活動を見せていなかった。4月19日の時点では、EMOTET はEメール本文に不正なURLを記載する方法をとっていたが、5月19日検出分では、Eメールに不正なドキュメントファイルを添付し、ペイロードをダウンロードさせる方法に変化
  2. その後9月19日まで目立った活動なし
  3. 活動は9月下旬に再びピークを迎えた。攻撃者は不正なドキュメントファイルを添付することでマルウェアに感染させる手法をとっていたが、12月半ばに入り再び本文にURLを記載する手法が増加してきている(図2)
 
図1: 2019年第2四半期~第4四半期にかけて日本で観測されたEMOTET
 
 

図2: 2019年第2四半期~第4四半期にかけてのURLを用いたEMOTET攻撃Eメール数の変化

また、以下の事項も確認されています:

  • 日本語が用いられていること。標的に沿ったフィッシング・テーマが用いられている
  • その他の共通項目としては、請求書や見積もりを装っていることが挙げられる
  • 今回活動が活発化しているEMOTETの標的はオンラインバンキングに限定されていない。しかし、MITB 攻撃の対象ドメインとして日本の金融機関や大手Eコマースサイトが追加されたことも観測されており、日本が明示的に標的とされていると言える

対策

初期感染がOfficeドキュメントの不正なマクロを利用して発生することから、不正なマクロを検知し、問題のEメールを隔離することが大切です。EMOTETの初期Eメールを「スパム」として判定する対策製品や、端末上でのマクロの無効化などの対策方法もありますが、EMOTET の特徴はビジネス上の取引先を巧妙に装う点にあります。また、添付ファイルを開くとマクロを有効にするよう促すメッセージが表示されるため(図3, 8)、心理的に開いてしまう可能性もあります。こういったリスクを完全に排除するために、不正なマクロを検知し、当該Eメールを確実に隔離する、そして万が一不正なペイロードが実行されてもそれを検知し、不審な動作を止めることが重要です。

不審なEメールの隔離

FireEye Eメール・セキュリティ – Cloud エディションは、EMOTET が利用するマクロを検知し、Eメールを隔離します(図4, 7)。添付ファイルを用いずEメール本文にURLを記述し、アクセスさせることで不正なOfficeドキュメントをダウンロードさせる攻撃についても、FireEye Eメール・セキュリティ – CloudエディションがURLにアクセスし、ファイルをダウンロードして解析を行い、検知します。

図3: 日本語のEメールに不正マクロを含んだOffice ドキュメントを添付した例。差出人は一見実在する取引先の役員のアドレスを装っているが、不審なドメインから送られている。引き落とし、という心理的に動揺する内容で金額確認のために添付ファイルを開かせようとしている

 

図4: 図3のEメールの検知画面。Status が Quarantined となっており、問題のEメールは隔離されている。検知はMVXによる動的解析(いわゆるサンドボックス)で検知されている。添付ファイルからEMOTET を検知していることがわかる

 

図5: 図3のEメールの添付ファイルの中身。”click Enable editing button from the yellow bar above” というマクロを有効にするよう促すメッセージがある。マクロを有効にすることで、Powershellを用いてEMOTET をダウンロードする

 

図6: 別のEメール。実際にやり取りしていたEメールへの返信を装っている。差出人は不審なドメインを用いているが、Eメール本文の署名欄には実際に存在する取引先の役員名とそのEメールアドレスが記載されている

 

図7: 図6のEメールの検知画面。このEメールもMVXの動的解析によって検知され、隔離されている。検知されたマルウェアはEMOTETと特定されている

 

図8: 図6のメールの添付ファイルの中身。”please click “Enable editing” button” というマクロを有効にするよう促すメッセージがある。マクロを有効にすることで、Powershellを用いてEMOTETをダウンロードする

エンドポイントで検知

それでも何らかの方法でOfficeドキュメントがエンドポイントにたどり着いてしまい、ユーザーがファイルを開いてマクロを有効にしたとしても、FireEye エンドポイント・セキュリティが、マクロによって実行される不正なPowershellの動きを検知してブロックします(図9, 10)。

図9: FireEye エンドポイント・セキュリティの管理画面。Word ドキュメントの不正なマクロを用いたPowershell によるEMOTETダウンロードの試みを、エクスプロイトとして検知。Powershellおよびwordのプロセスを停止し、ブロックしているのがわかる

図10: 図9のトリアージビュー。Officeマクロを悪用したエクスプロイトであることがわかる

まとめ

EMOTETはEメールとOfficeドキュメントのマクロを悪用して感染するマルウェアです。取引先が侵害されている場合、巧妙なフィッシングメールで感染拡大を試みる特徴などが見られます。

EMOTETの侵入を防ぐには、不審なEメールのブロックが大切です。また、万が一不審なファイルのマクロを有効にしてしまい、EMOTETがダウンロードされそうになっても、エンドポイントでその動きを検知し、ブロックすることで感染を防止できます。

ファイア・アイは、Eメール・セキュリティ、エンドポイント・セキュリティでEMOTETからお客様の環境を保護します。

関連リンク