※F-Secureの法人向け事業はWithSecure™になりました。個人ユーザー向けの事業が引き続きF-Secureとして展開しております。移行期のため、F-Secure BlogでWithSecure™のご案内をさせていただいております。
Emotetとは
Emotetは、段階的に行われるサイバー攻撃の第一段階で使われるマルウェア(悪意のあるソフトウェア)として展開されるモジュール型トロイの木馬です。トロイの木馬とは表向きは通常のアプリケーションや文書ファイルを装って、インストールすると利用者にわからないようにハッキングするために裏口(バックドア)を仕掛ける等の動作をする悪意のあるプログラムです。Emotetは当初はバンキングトロジャンと呼ばれる、オンラインバンクの認証情報を盗むマルウェアでしたが、その後さまざまなマルウェアの感染・拡散を行うプラットフォームとして進化し、活動するようになりました。
Emotetの復活
Emotetは、2014年の検出以降、活発に活動を続けてきましたが、2021年1月に欧州刑事警察機構(Europol)によりEmotetの攻撃基盤を停止(テイクダウン)させたことが発表され、事態は沈静化したと思われていました。しかし、2021年11月頃から再び攻撃活動を再開し2022年の今日に至るまで、急激な拡大を続けています。
Emotetによる被害
日本国内においては、以下のような事例が報告されています。特に2022年2月頃から被害が急激に増加しています。
- 大学において職員と学生が利用するPCがEmotetに感染し、摂取された認証情報が悪用され、同大学のメールサーバがEmotetメールに利用される
- 病院において、職員のPCがEmotetに感染し、同病院の職員を装った不審なメールが病院外に送信される
- 大手ハウスメーカーグループがEmotetに感染
- 家電メーカーがEmotetに感染
- 製菓メーカーがEmotetに感染
- 生活用品メーカーがEmotetに感染
- イベント事業を手掛ける企業がEmotetに感染
Emotetに感染したら
Emotetのシステムへの感染が成功すると、PC端末に保存されているログインIDやパスワードなどの機密情報を盗むマルウェアであるinfostealer(インフォスティーラー)か、もしくは感染したPCに保存されている文書や画像などのファイルを暗号化することでPCそのものを操作不能にし、解除と引き換えに身代金を要求するランサムウェアのいずれかを展開します。
Emotetは通常、大量のメールキャンペーンとして、Eメールに添付されるMicrosoft Officeドキュメントのマクロによって配布されます。Emotet は単体で感染することは少なく、認証情報を盗み出すトロイの木馬や身代金を要求するランサムウェアと一緒に感染することがほとんどです。Emotetは標的となるEメールや連絡先などの情報を盗み出し、これらの情報を利用して、実際に交わされたEメールの内容や連絡先を悪用し、偽装したEメールを配信することで新たな被害者を標的にします。受け取ったメッセージは正規のもののように見えてしまうため、ユーザーがフィッシングメールだと判別することは極めて困難です。
多くの場合、Emotetは高度な攻撃者により、組織への最初のアクセスを得るために使用され、足掛かりを得ると、すぐさまネットワーク全体を標的にしたランサムウェア攻撃が開始されます。攻撃は、理論的に考えられるパスワードの組み合わせを全て入力して不正侵入を試みるEmotetのブルートフォースパスワード攻撃により行われます。攻撃者はネットワークへの侵入を拡大し、他のデバイスに移動して感染させます。通常、Emotetによる感染後は、第2・第3段階の攻撃に移り、従来の予防的なセキュリティ管理では検知が困難で、より高度な攻撃ツールや手法が使用される可能性があります。また、Emotetはサイバー犯罪の市場でレンタルされているため、特定の組織を標的とする他のマルウェア(ランサムウェアまたはinfostealer)の犯罪グループに貸し出されていることがあります。
Emotetメール 例
EmotetのメールにはWordやExcel形式のファイルが添付されているケースと、Zip形式のファイルが添付されているケースが見受けられます。なおExcel形式の場合、請求書を修正するように依頼する形式のメールが2022年3月頃から確認されています。
Word形式のファイルが添付されている例:
Excel形式のファイルが添付されている例(請求書の修正を依頼するケース):
Zip形式のファイルが添付されている例:
Emotetの対策方法
Emotetへの感染リスクを減らすために以下の対策実施を推奨します。
Office製品のマクロ
- 社内環境では、Microsoft Officeマクロを無効にします。
- マクロの実行は、本当に必要とするユーザーに限定して許可し、これらのユーザーが、たとえ送付元が信頼できたり、馴染みのある文面であっても、Eメールで送信されたドキュメントからマクロをアクティブ化しないように指導します。
- 可能であれば、EメールのOfficeマクロを含むドキュメントをフィルタリングします。
Powershell
- 通常のワークステーションでのPowerShellの使用は、制約付き言語モードで実行する。
- 制約付き言語モードに加えて、アプリケーション制御、Applocker、デバイスガードなどのソリューションを使用してPowerShellの実行を制御することで、PowerShellを実行する人やスクリプトを選択して実行することができます。
- PowerShell 2.0 は、これらの制御をバイパスするために使用できるので、無効にします。
- PowerShell の実行ポリシーを設定して、署名されたスクリプトのみを許可するようにします。
- PowerShell のログをオンにしてログを監視する
- スクリプトを実行時に解析できるように、AMSI統合を活用できるEPP(エンドポイント保護)製品を使用する。ウィズセキュアのEPP製品はAMSIを活用しています。
- PowerShellの実行を、24時間365日監視・検知し異常に対応します。
Emotetの見分け方は?
先ほど紹介したメール例のように、Emotetのメールの差出人は友人、自社の同僚、取引先のお客様であるかのように偽装されています。結論としてユーザーがEmotetのメールを見分けることは極めて困難です。そのため、前述の対策方法と併せて以下を実施することをお勧めします。
- まず、Eメールの添付ファイルやリンクを開く際の重大なリスクについて社内に十分に周知しましょう。
- ソフトウェアとOSには、常にパッチを適用しましょう。
- EPP(エンドポイント保護) 製品が最新の状態であり、かつ適切に設定されていることを確認しましょう。
WithSecure™製品を使ってEmotet対策をする
WithSecure™Elements Endpoint Protection for Computers
を使用したEmotet対策:
WithSecureのEPP(エンドポイント保護)製品である、WithSecure™Elements Endpoint Protection for Computers(以下Elements EPP)では、ユーザーがEmotetへの感染を狙った不正メールの添付ファイルを開く際にリアルタイムスキャンを実施し検知を行います(検知後の隔離/削除アクションについては、設定とファイル自体に依存いたします)。Elements EPPは添付ファイルがZIPファイルで暗号化されている場合、アーカイブ内のファイルはスキャンできませんが、復号し、添付ファイルを開く際にリアルタイムスキャンを実施し検知を行います。
スキャン検知後の画像:
また、Emotet感染を狙った添付ファイルをすでに危険なファイルとしてデータベースで登録してある場合には、圧縮ファイルを解凍したタイミングでファイルは検知されます。手動スキャン(ファイルを選択し右クリック→マルウエアスキャン)でも検出可能です。(ファイル移動でも、スキャン実施を行いますので、手動スキャン前にポップアップ警告で隔離される事がございます。)
手動スキャンで検出後の画像:
また、Emotetの感染を狙った不正メールに仕込まれた添付ファイルのマクロを有効化して開き、ランサムウェア、Trickbotなどのマルウェアをダウンロードしてしまった場合にも、振る舞い検知機能(ディープガード)で、マルウェアの不正な振る舞いを検知、ブロックを致します。 ディープガードによるEmotetの検知については、Emotetオリジナルであれば、既存のWithSecureの全製品で検知可能です。更に、亜種についても、既知のEmotet情報による検知とディープガードで対応可能です。しかしながら、ディープガードがEmotetを100%検知することを保証するものではございませんので、ご了承ください。
Elements EPPがパターンマッチングなどで
Emotetやその他の脅威を検知しファイルを隔離した際のアラート画面:
WithSecure™Elements Endpoint Protection for Computers Premiumの「アプリケーション制御機能」を使用したEmotet対策
Emotetの対策として、PowerShellの実行を禁止することも考えられます。
単純な許可リスト/禁止リスト型の制御でも、PowerShellの実行を禁止することはできますが、PowerShellはWindowsを含めた様々な製品で利用されているため、現実的には、単純なリストでPowerShellの実行を禁止することは困難です。
このような問題を解決するため、上位製品であるWithSecure™Elements Endpoint Protection for Computers Premium(以下Elements EPP Premium)には、アプリケーション制御機能が搭載されています。Elements EPP Premiumのアプリケーション制御では、特定の条件に合致する場合にのみPowerShellの実行を禁止することができます。Emotetであれば、「Microsoft OfficeからのPowerShellの呼び出し」がそれに相当します。これにより他の機能に影響を与えずに、PowerShellの実行を制御することを実現しています。
ルールを作成するのは難しいのではないか、と思われる方もいらっしゃるかもしれませんが、WithSecureでは、プリセットルールをご用意しております。このルールを有効化するだけで、すぐにEmotetやその他のメールによる脅威に対応できます。
「アプリケーション制御機能」画面:
WithSecure™ Elements Endpoint Detection and Responseを使用したEmotet対策
さらに、EDR(エンドポイントにおける検知と対応ソリューション)を利用することで、環境を24時間365日監視し、異常の特定、封じ込め、修復が可能となります。EPP単体でマルウェアをほぼ100%検知することができますが、EDRを併用することで、効果的にサイバー攻撃に対応することができます。WithSecureのEPPとEDRは、統一されたクライアントエージェントと管理用ポータルから構成されており、より効率的な管理を実現しています。
WithSecure™のEDR製品である、WithSecure™ Elements Endpoint Detection and Response
(以下Elements EDR)でEmotetを検出、特定した際のサンプル画像:
WithSecure™ Elements EPPとElements EDRを30日間無料でお試しください。
WithSecure™ Elements EPPの無料評価版をダウンロードしてください。
WithSecure™ Elements EDRの無料評価版をダウンロードしてください。
カテゴリ