ブログ(製品・サービス関連)

Emotet Again!:注意すべき点は

2019年春頃から日本でも攻撃がみられ、秋口に爆発的に増加したことで話題になったEmotet(ブログ: 進化するマルウェア、EMOTET)が再び活動を開始しています。FireEyeの調査によると、2020年7月頃から活動が再度活発化していることがわかっています。

2020年に検知されたEmotet件数の変化(9月は途中値)

Emotetとは

Emotetはもともと、2014年頃にバンキング・マルウェアとして登場しました。それがEメールを用いた拡散行うマルウェアとして猛威をふるい始めたのが2019年末頃のことです。Emotetはモジュール型マルウェアで、Officeドキュメントのマクロを悪用します。一度感染すると内部感染を広げ、ログイン情報(クレデンシャル情報)などを窃取し、その情報を元に関係者にフィッシングメールを送ることで拡散していきます。

Officeドキュメントを添付ファイルに用いて拡散するEmotetは、Eメールの件名にビジネスに関わりの深いものを用いるなどして、受信者を信用させます。この時、実際にやり取りされていたメールの返信を装うこともあります。また、添付ファイルを用いずに、Eメール本文にURLを記載し、クリックすると不正ファイルがダウンロードされるケースも確認されています。

注意すべき点

Emotetの攻撃手順自体は今までと変わりなく、Officeドキュメントのマクロを悪用したファイルをメールに添付し、拡散させていきます。しかし直近のケースでは、パスワード付きzipファイルを使って検知回避を試みる傾向が増加しています。
これは、半年前のEmotet拡散騒動で標的側やセキュリティ・ベンダーがEmotet対策を行っていることを前提に、それらを回避する目的で講じられた策であると推測されます。一般的に、添付ファイルのチェックなどのコンテンツ・セキュリティ対策は、暗号化されたファイルに対するスキャンを行うことができません。攻撃者はこの事情を知った上で、暗号化することによって検知回避をしているのです。

暗号化されたファイルに対する対策

暗号化された不正ドキュメントを検知するためには、そのファイルを復号化する必要があります。今回観測されている攻撃では、暗号化添付ファイル用のパスワードは本文内に記載されています。したがって、本文からパスワードと推測される文字列を抽出し、それを用いて復号化を試み、その結果出力されるドキュメントファイルに対するスキャンを行うことができる対策が必要となります。

FireEye Eメール・セキュリティ

FireEyeが提供するEメール対策、FireEye Eメール・セキュリティは、Eメール本文からパスワード文字列を抽出し、復号化を行った上で添付ファイルを検査します。Emotetが利用するマクロが検知されれば、Eメールを隔離します。このパスワード付きzipファイルによる検知回避の手法は、標的型攻撃でも使用されている以前から存在するものですが、FireEyeのライフサイクルにより高度な検知を実現しています。

また、添付ファイルを用いない、Eメール本文に記載したURLをクリックさせて不正ファイルをダウンロードさせるタイプのEmotet攻撃も、ダウンロードしたファイルを調査することで不正かどうかを確認します。

できる対策

基本的にEmotetの手法自体に変化はありません。Officeドキュメントのマクロを悪用していることから、マクロを有効にしないことが重要です。しかし、Emotetは業務上の重要な関係者のアカウントを(Emotetに感染させることで)乗っ取り、実際にやり取りされている業務メールを再利用するなどして、人の心理的な脆弱さを巧みに突いてきます。「ファイルを開かせないこと」「マクロを有効にさせないこと」以前に、不審なファイルを添付ファイルに持つEメールが社員に届く前に、Eメール・セキュリティ対策でそのリスクを軽減することが重要です。そうすれば、社員はそのメールが本当に取引先からのものなのか、それともEmotetによって送られてきた不正なものなのか、開く前に悩んだりすることなく、業務に集中することができるのです。

関連リンク