2019年11月28日の菅官房長官の定例記者会見において、ひとつのマルウェアに関する国内被害に対する言及がありました。そのマルウェアの名前は「Emotet」。2019年10月頃から日本国内での感染が検知され始め、爆発的に被害が広がっていたそのマルウェアに関して、行政機関や東京オリンピック・パラリンピック関連機関に対する注意喚起などを実施している旨が公表されたのです。さらにその前日にはJPCERT/CCからEmotetに関する注意喚起が発表されています。

昨年後半に最も話題にあがったマルウェアのひとつとして間違いなく名前のあがるEmotet。(参考 : https://security-base.jp/securityinfo/tm-curation201912/ )
いったいどのようにして攻撃が行われ、感染が拡大していったのでしょうか。感染拡大から数ヶ月たってもとどまるところを知らず、行政機関でも感染の広がるEmotetの脅威を一度振り返ってみましょう。

そもそもEmotetとは?感染経路、感染時の挙動

Emotetの歴史は2014年にさかのぼります。トロイの木馬型のマルウェアとして検出されており、オンラインバンキングなどの情報を盗み取るタイプの被害が確認されました。現在Emotetはモジュール型のマルウェアとして進化を続けており、2019年時点ではいまやマルウェアのIaaSとして動作をするようになっています。

つまり、Emotetがマルウェアの「プラットフォーム」として動作し、一度感染することによって各種のマルウェアを次々と実行してしまうのです。事例の中にはランサムウェアの感染を引き起こしたものも存在しています。

2019年にEmotetが蔓延することになったきっかけは、その感染経路の挙動にあります。Emotetに感染したコンピュータは各種情報を窃取すると同時に、これまでに送信されたメールなどを検出し、次に標的型メールとして攻撃を開始します。Emotetの大きな特徴は、窃取したメールアドレス宛に「かつて送信したことがあるメールのタイトルにRe:などをつける」「かつて送信したメールと同じ文章を使用する」などの、『いかにして受信者を騙すか』という手口が非常に巧妙であることです。この特徴を利用し、Emotet自身が混入したWordファイルや、Emotetへのダウンロードリンクなどを添付して、さらなる感染拡大を引き起こそうとします。

Emotetの被害状況

Emotetはこのように、『信頼されるメールとして展開されることをもくろむ』手段を有しているがために、昨年の10月から非常に様々な場所で感染が広がっていきました。いくつか例をご紹介します。

2019年11月 首都大学東京
2019年12月 関西電力
2019年12月 NTT西日本グループ

こういった「信頼できるであろう機関」からのなりすましメールにより、さらに幅広くEmotetの感染が拡大していることは想像に難くありません。Emotetの被害としては情報の漏洩が主として報告されています。しかし実際は情報漏洩だけにはとどまらず、最終的な被害としてランサムウェアの「Ryuk」による直接的な被害やネットバンキングを対象とする「URSNIF(Gozi)」などによる二次被害などが発生していることが確認されています。

ニュースや各団体のリリース

2019年10月からJPCERT/CCにはEmotetに関する数多くの相談が寄せられています。JPCERT/CCも感染を防ぐための啓蒙のお知らせを何度も更新しており、JPCERT/CCのホームページ上で確認することができます。

内閣サイバーセキュリティセンターからもEmotetに対する対策や説明が繰り返し行われており、Facebookなどを通じて発信されています。

情報処理に関する公的団体であるIPAからももちろん情報が出されています。どのようなメールに注意するべきなのかなど、細かく情報を確認することが可能です。

もちろんセキュリティソフトウェアの各メーカーからも詳細な情報が出されています。セキュリティ担当者として一度は目を通しておくべきでしょう。

社内で対応しておくべきことは?

Emotetの感染経路として最も使用されるのがWordファイル経由のマクロ実行によるものです。例えば請求書や領収書などといったファイル名で送信されてきたファイルをダブルクリックして展開し、「コンテンツの有効化」を押した瞬間に感染する…といった事例が最も多いと見られています。

Emotetの特徴は「実在するメールを利用した、感染させようとさせる標的型メール」にあります。感染を防ぐためには、標的型メールの攻撃に対してどれほど知識を持っているかが重要です。企業においては、社員のセキュリティに対する知識の充実度によって感染する可能性が大きく左右されると言えます。

また、標的型メールの対策として今後考えていかなければならないこととして、「怪しくないメールであっても、添付ファイルやリンクについてはしっかりと検証する必要がある」という現実があります。
・本当にそのファイルは理由があって添付されているのか
・そのファイルはその形式で送られてくる可能性があるのか
・事前にパターン更新をしたセキュリティソフトで検証したか
といったステップを踏んだ上で、「添付ファイルについている機能を有効化しない」という手順を経ることの重要性などを説明することが必要になってきていると言えるでしょう。

法人向けセキュリティソフトのEmotet対策状況

もちろんセキュリティソフトメーカーも手をこまねいて見ているわけではありません。そもそものEmotetは2014年から発見されているわけですから、その挙動やパターンなどについての研究は既に進んでいます。実際に2019年の10月頃に発見されているEmotetには、2016年頃にセキュリティソフトメーカーが登録したパターンファイルによって検出・駆除可能であった例も数多く存在しています。しかしその後、マルウェアの開発グループがアップデートを実施しており、パターンファイルによる検出と、それをかいくぐろうとするマルウェア開発者は、現在もまだいたちごっこの関係にあります。

一方でヒューリスティック機能やファイルレピュテーションなどの、セキュリティソフトの高度な機能によってEmotetを検出し、未然に被害を防ぐことに成功しているメーカーも数多く存在しています。Emotetの最初の挙動がいかにもMaaS(Malware as a Service)的な挙動を示すようになり、機械学習やAIなどという先進機能を活用することで、正しくセキュリティが担保されている環境下では被害が押さえられているのです。

逆に言えば、「動作が重くなる」、「価格が高い」などの理由で高度なセキュリティ機能を使用していない環境下で感染が広がっている実情もあります。

参考1 : https://blog.kaspersky.co.jp/security-tips-for-business-emotet-and-other-threats/26484/
参考2 : https://blog.trendmicro.co.jp/archives/22959

まとめ ~対岸の火事にあらず、社員の教育をこころがけよ~

Emotetの被害は2020年になってもまだ収まってはいません。1月20日には岐阜新聞社がEmotetに感染し、踏み台サーバとして標的型メールを送信していたことが発覚しています。

US-CERTの報告では、1月に入ってさらにEmotetの攻撃が増加しています。さらに、ローカルネットワーク内でファイル共有機能を介して感染が広がっている実情も報告されています。

セキュリティソフトを最新の状態に保ち、十分な高度な防御機能を準備するのは当然のことですが、Emotetの感染の主体は標的型メールにあります。日頃からセキュリティに対する教育をどれだけ社員にできているかによって、感染の確率を大きく下げることが可能です。これを契機に、セキュリティポリシーについて、もう一度考えてみてはいかがでしょうか。