「Emotet」は企業のサイバーセキュリティを脅かす存在として、一時期Googleトレンドに上がるほど、世間に強い衝撃を与えました。更に、2021年11月にはラック社がEmotetの再開について報告しており、いまだに気を緩めることが出来ない脅威の一つです。本記事では、Emotetの特徴やもたらした影響、企業への攻撃事例などをご紹介します。なぜEmotetの感染が拡大し、世界を震撼させる存在になったのか、その理由について見ていきましょう。
https://www.lac.co.jp/lacwatch/alert/20211119_002801.html
マルウェア「Emotet(エモテット)」とは?
「Emotet」の読み方は「エモテット」です。2014年に初めて確認されたマルウェアですが、日本では2019年11月末ごろにメディアが取り上げたことで注意喚起が行われ、国内での知名度が急速に高くなりました。
補足:「マルウェア」とは「malicious software」の略語で、悪意のあるソフトウェアや悪質なコードを総称した用語です。ほかのプログラムに侵入・寄生して有害な作用を引き起こし、感染・自己拡散する「ウイルス」は、このマルウェアの一種です。ほかにも、独自ファイルで感染・自己拡散する「ワーム」や、侵入先のコンピュータで意図的な動作を秘密裏に行う「トロイの木馬」、パソコンの内部情報を外部に送信する「スパイウェア」などがあります。
Emotetが世界で発見された当初は「バンキングトロジャン」と呼ばれ、認証情報を盗むことを目的としたマルウェアでした。バンキングトロジャンはアカウントIDやパスワードを乗っ取る手法で、主に銀行のオンラインバンキングをターゲットにしていました。それから、ほかの拡張機能やバンキングトロジャン以外の機能も追加され、2017年ごろからEmotetの役割は大きく変わります。ワーム機能が拡張されネットワーク上で増殖し、そのほかさまざまな特徴を持つマルウェアを取り込むプラットフォームとして進化を遂げました。マルウェアの流行に合わせて形を変えつつ、ネットワークで動き続けるため、2年以上も組織のネットワーク内に潜んでいる場合もあります。
Emotetの特徴
多くのマルウェアの中でも、Emotetが際立って危険とされているのは、主に以下の特徴をもつためです。
感染力と拡散力が非常に高い
攻撃者は、Emotetの感染を広めるためにまず攻撃メールを法人組織内のパソコンに送りつけます。メールに添付されたOfficeファイルを開くと、マクロ機能によりEmotetの本体ファイルがダウンロードされ、実行されてしまいます。最初に感染したパソコンのメールアドレスに始まり、パソコン内に保存されたシステムのアカウント情報や、クラウドなどWebサービスのアカウント情報などを取得し、さらに感染を拡大させていくのです。
一般社団法人JPCERTコーディネーションセンターの調査によると、Emotetへの感染が確認された国内の組織は、2020年2月時点で約3,200組織に上るとのことです。
https://blogs.jpcert.or.jp/ja/2019/12/emotetfaq.html
さまざまなマルウェアに感染させる
Emotetによる攻撃がEmotet単独で完了することは少なく、自身を介してさまざまなマルウェアに感染させるパターンが多いのが特徴です。Emotetの攻撃者グループは、Emotetを利用して他のマルウェアに感染させる攻撃を行うサイバー犯罪グループからEmotetを介した二次的なデータ資産情報を取得することにより金銭を得ています。つまり、Emotetを感染させなくても、他のグループのマルウェア配信に活用されるだけでサイバー犯罪のビジネスが成立するわけです。報告事例で特に多いのが、マルウェア「Trickbot」とランサムウェア「Ryuk」との連携で、中には身代金を要求された事例もあります。マルウェアを取り込むプラットフォームとされる所以です。
感染PCに合わせてアップデートする
Emotetではないマルウェアであれば、マルウェア自体に判定機能を備えているため、セキュリティ管理者が解析すれば対策は可能です。一方、Emotetはパソコン上で感染活動を開始すると、コマンド&コントロールサーバにアクセスし、対象のパソコン情報を確認します。セキュリティ対策が動作する場合には、本体のインストールは行いません。セキュリティ対策による防御が行われない場合には、本体のインストール、または目的に合わせた部品をダウンロードするという、感染先に最適化したアップデートを行うのが特徴です。
攻撃メールの添付文書をさまざまな手法で開かせる
Emotetは、感染したパソコンから取得したアカウント情報やメールアドレス、ビジネスメールの文面を使って、正規のメールを装い、ターゲットとなる取引先に攻撃メールを送信します。実際にビジネスメールで使われるタイトルに、「RE:」を付けるような巧妙な手口でなりすますため、正規のメールとの判断が難しいのが特徴です。添付された不正な添付文書を開き、内容を確認するためにコンテンツの有効化などを行うと、相手先もEmotetに感染してしまいます。
2020年に最も注目された脅威
2020年は、法人を狙ったマルウェアやランサムウェアの活動が活発化しました。その中で最も注目されたのがEmotetです。一般社団法人JPCERTコーディネーションセンターが2019年11月に、メール経由で拡散するマルウェアのEmotetに感染するリスクを注意喚起し、IPA(独立行政法人情報処理推進機構)の「情報セキュリティ白書2020」でも紹介されました。実在の組織や人物になりすまし、送信メールに添付したWord文書ファイルを確認したところ、感染した事例の相談が相次いだとのことです。
https://www.ipa.go.jp/files/000087025.pdf
その後、メール本文に不正なURLを記載し、リンクをクリックするとEmotetに感染するWord形式のファイルをダウンロードするパターンも登場しました。トレンドマイクロ社の製品がEmotetを検出した感染台数は、2020年8月には4万6,000件を超え、2019年で最大だった時期の約5.7倍となりました。
https://www.trendmicro.com/ja_jp/about/trendpark/threat-202012-22-01.html
「Emotet」による攻撃事例
「Emotet」により多くの日本の企業や組織が攻撃を受け、その感染被害を公表しています。しかし実際は、その何倍もの感染被害があると考えられます。感染した事実を公表した企業や組織がどのような被害を受けたのか、以下の3つの事例からわかりやすくご紹介します。
西日本電信電話株式会社
西日本電信電話株式会社(NTT西日本グループ会社)は2019年12月、Emotetに感染した事実と被害内容を公表しました。NTT西日本グループの社員のパソコンが、不審なメールに添付されていたファイルを開封してEmotetに感染。これにより、社員のパソコンに保存されていたメールアドレス1,343件が流出した模様です。多くはNTTグループ内のものでしたが、お客様のメールアドレスも63件含まれていました。
その結果、同社社員を装い、複数の社外取引先に不審なメールが送信されたのです。お客様からの申告により、不審メールであることを確認しています。そのメールは、過去にやり取りしたメール件名に「RE:」が付いた形で、本文には過去のやり取りを連想させる簡単な文章が記載されていました。さらにNTT西日本グループの社員の氏名と、文末には実際のメールのやり取りが挿入されていたとのことです。
https://www.ntt-west.co.jp/newscms/attention/9119/20191212_2245.pdf
関西電力株式会社
関西電力株式会社は2019年12月にEmotetに感染し、個人情報などのデータ漏えいの可能性があると発表しました。セキュリティ機器のアラートが検知し、社員のパソコン1台が感染したことがわかり、ネットワークから隔離します。社内調査の結果、感染したパソコン内に社内外のメールアドレスや、メール本文を含めたプログラムファイルが作成され、社外とメール通信を行った形跡が確認されたとのことです。
やり取りしたメールの内容については暗号化されているため、不明でした。これにより流出した可能性があるのは、社外関係者449件、社内関係者2,969件のメールアドレスと、過去にやり取りしていた125通のメール本文です。流出した可能性がある関係者にお詫びと注意喚起のメールを送付したところ、以降の被害は報告されていません。
https://www.kepco.co.jp/corporate/pr/2019/1223_1j.html
首都大学東京
公立大学法人首都大学東京は2019年11月、教員のパソコンがEmotetに感染した事実と、その調査結果について公表しました。実在する雑誌社になりすました不審メールの添付ファイルを教員が開封したのち、法人の教職員になりすました不審メールが同法人内の教職員に送信されました。
速やかに教職員や同大学の学生に対し注意喚起を行い、その3日後に実施したセキュリティ専門業者の調査により、Emotetに感染したことを確認します。感染した教員のパソコンのメールボックス内に保存されていた受信メール12,069件、送信メール6,774件、合計18,843件が影響を受けました。その一部またはすべてのデータ漏えいが疑われます。
https://www.tmu.ac.jp/extra/download.html?d=assets/files/download/auth/press/press_20191101.pdf)
なぜEmotetは世界を震撼させたのか?
Emotetに感染すると、アカウント関連情報やメールアドレスが流出します。さらに、連携したマルウェアにも感染する可能性も高く、そのほかの個人情報や機密情報も危険にさらされます。Emotetは非常に感染力が強いため、感染したパソコンから取得した情報を踏み台とし、新たな感染源を探します。Server Message Blockの脆弱性をつき、内部ネットワーク全体が感染した事例もあるほどです。
加えて、攻撃メールはそれとわからないよう巧妙に作られているため、常に警戒していないとスパムメールとは気付きません。また、パスワード付きZIPファイルで送信することにより、セキュリティ製品の検知機能をすり抜けてくるため、検知しづらくなっています。企業や組織にとって、機密情報が漏えいすることは大きな痛手となります。取引先や顧客にも感染の脅威を拡散させてしまえば、自社の信用や信頼を著しく失墜させるため、問題は深刻です。
まとめ
Emotetはマルウェアの中でも感染力・拡散力が強く、感染すると連携するマルウェアにより、さらに被害を拡大させるリスクがあります。感染したパソコンに合わせてアップデートし、巧妙な手口でメールに添付した不正ファイルを開かせるため、感染リスクを防ぎにくいという特徴があります。実際、Emotetによる攻撃を受け、社内外の個人情報が流出したという大手企業も少なくありません。企業や組織はEmotetに対し、今後もセキュリティ対策を十分に行い、感染リスクに備える必要があるでしょう。
[SMART_CONTENT]- トピック:
- サイバー攻撃
- 運用基盤/インテリジェンス