Emotet 対策 – 感染リスクを軽減するためには
Emotetトロイの木馬は、しばらく活動を休止していましたが、再び攻撃キャンペーンが観測されています。Emotetは、2014年に発生以来、不規則な活動続けていましたが、今年の2月以降、キャンペーンは一時的に休止していました。しかしながら、7月以降Emotetの配布活動が再開し、その後、手口が巧妙化しています。フィンランドの国家サイバーセキュリティセンター(NCSC-FI)では、8月18日にフィンランド国内で活発に拡散しているトロイの木馬について、同マルウェアに関する高レベルの警告を発表しました。
Emotetは、第一段階のマルウェアとして展開されるモジュール型トロイの木馬です。当初はオンラインバンクの認証情報を盗むバンキングトロジャンとしてのマルウェアでしたが、その後さまざまなマルウェアの感染・拡散を行うマルウェアのプラットフォームとして活動するように進化しました。Emotetのシステムへの感染が成功すると、バンキング型トロイの木馬であるinfostealerあるいはランサムウェアのいずれかを展開します。Emotetは通常、大量のメールキャンペーンとして、Eメールに添付されるMicrosoft Officeドキュメントのマクロによって配布されます。Emotet は単体で感染することは少なく、認証情報を盗み出すトロイの木馬や身代金を要求するランサムウェアと一緒に感染することが多く、標的となるEメールや連絡先などの情報を盗み出し、これらの情報を利用して、実際に交わされたEメールの内容や連絡先を悪用し、偽装したEメールを配信することで新たな被害者を標的にします。受け取ったメッセージは正規のもののように見えてしまうため、ユーザーがこのフィッシングメールを判別することは極めて困難にです。Emotetは定期的にアップデートや改変が繰り返されており、Emotet自体とコマンド&コントロールチャネルが更新できるため、従来のアンチウイルスのシグネチャやネットワークレベルでの検知は困難です。
多くの場合、Emotetは高度な攻撃者により、組織への最初のアクセスを得るために使用され、足掛かりを得ると、すぐさまネットワーク全体を標的にしたランサムウェア攻撃が開始されます。 これには、Emotetのブルートフォースパスワード機能が使われ、攻撃者はネットワーク内を侵入拡大し、他のデバイスに移動して感染させます。通常、Emotetによる感染後は、第2・第3段階の攻撃に移り、従来の予防的なセキュリティ管理では検知が困難で、より高度な攻撃ツールや手法が使用される可能性があります。また、Emotetはサイバー犯罪の市場でレンタルされているため、特定の組織を標的とする他のマルウェア(ランサムウェアまたはインフォスティーラー)の犯罪グループに貸し出されている恐れがあります。
エフセキュアのマネージド検知/対応(MDR)サービス「Countercept」を提供するチームは、ごく最近になって、組織に対するEmotet攻撃を何度も検知し対応しています。このことからも脅威は現実のものであり、真剣に受け止める必要があることは間違いありません。
組織での感染リスクを軽減するためのヒント
Office製品のマクロ
- 社内環境では、Microsoft Officeマクロを無効にします。
- マクロの実行は、本当に必要とするユーザ-に限定して許可し、これらのユーザ-が、たとえ送付元が信頼できたり、馴染みのある文面であっても、Eメールで送信されたドキュメントからマクロをアクティブ化しないように指導します。
- 可能であれば、EメールのOfficeマクロを含むドキュメントをフィルタリングします。
Powershell
- 通常のワークステーションでのPowerShelの使用は、制約付き言語モードで実行する。
- 制約付き言語モードに加えて、アプリケーション制御、Applocker、デバイスガードなどのソリューションを使用してPowerShellの実行を制御することで、PowerShellを実行する人やスクリプトを選択して実行することができます。
- PowerShell 2.0 は、これらの制御をバイパスするために使用できるので、無効にします。
- PowerShell の実行ポリシーを設定して、署名されたスクリプトのみを許可するようにします。
- PowerShell のログをオンにしてログを監視する
- 実行中のスクリプトを実行時に解析できるように、AMSI統合を活用できるEPP製品を使用する。エフセキュアのEPP製品はAMSIを活用しています。
- PowerShellの実行を、24時間365日監視・検知し異常に対応します。EDR/MDRソリューションを利用すれば、可視性が向上し、対応するためのツールが提供されます。
その他の重要な情報
- エンドポイント保護製品が最新の状態であり、かつ適切に設定されていることを確認し、検出のためのシグネチャだけに頼っていないことを確認してください。例えば、F-Secure DeepGuardは、実行時に悪意のある文書を検出してブロックすることで、システムにマルウェアが追加でインストールされるのを防ぐことができます。
- ソフトウェアとOSには、常にパッチを適用してください
- EDR/MDRを利用して環境を24時間365日監視し、異常を特定し、封じ込めて修復します。
- Eメールの添付ファイルやリンクを開く際の重大なリスクについてユーザに警告します。ユーザにとって、悪意のあるEmotetフィッシングを特定することは不可能に近いです。
- 各国のサイバーセキュリティセンターおよびセキュリティプロバイダーから公表される最新情報を参照してください。
リファレンス
エンドポイント保護製品:
検知/対応の支援サービス:
Emotetの詳細については、以下のリンクと以前のブログ投稿をご覧ください。