こちらの記事は、セキュリティ専門家の松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」の放送内容を文字に起こしご紹介しています。
トレンドマイクロ株式会社は11月18日、テイクダウンされた「Emotet」の活動再開について、同社ブログで発表した。(記事はこちら)
【お届けするニュースはサイバーセキュリティ専門ニュースサイト「ScanNetSecurity」の提供でお送りしています。】今年の年初に停止措置がされたマルウェアのEmotetが活動を再開させたということです。マルウェアの内容は過去と大きく変わっていないということなので、改めてEmotetをおさらいして対策について説明します。
11月中旬からEmotetを拡散させるメールやマルウェアの検体、マルウェアをコントロールするC&Cサーバなどの活動再開が確認されています。C&Cサーバとはコマンド&コントロールサーバの略で、マルウェアに感染した端末に対して、遠隔から指示を出して操作するために使用されるサーバです。端末がどのような環境にあっても操作できるように、指示の内容はWebやDNSなど一般的な通信に隠されて行われています。
活動を再開したEmotetの拡散手法は以前と同様で、WordもしくはExcelのマクロ機能を悪用して、ファイルを開いた端末にEmotet本体がダウンロードされ実行されます。Emotetの対策としては、一般的なマルウェア対策と同様となりますので、詳細は後半の項で説明します。
今回のマルウェアがEmotetであると断定したことは、マルウェアのふるまいから判断したと考えられます。そして、Emotetが過去に残した実績や歴史が、Emotetの拡散に攻撃者がこだわる意図であると推測されます。
Emotetに感染する過程を改めておさらいすると、最初のきっかけは「暗号化ZIPを含むメールの添付ファイル」か「メール本文や添付ファイル内のURLからダウンロード」の2パターンに分けられます。いずれの場合も、端末内に展開されたWordやExcelのマクロ機能を悪用して、Emotet本体がダウンロードされ実行されます。そして、以前のEmotetが猛威を振るった原因の一つである「以前に送信したメールの返信メール」に添付されることも確認されています。
例えば、同僚のパソコンがEmotetに感染したとします。感染したEmotetは、過去に自分が同僚宛に送ったメールへ返信する形で、Emotetに感染させるWordやExcelを添付してきます。自分は基本的に同僚を信頼しているので、もしかしたらファイルを開いてしまうかもしれません。このような、思わずファイルをクリックしてしまうような手法がEmotetでは使われているため、長期間にわたり猛威を振るい続けていました。
また、欧米各国の組織が連携することにより、今年の年初にEmotetの攻撃基盤は停止されました。Emotetが活動を再開するにあたり、別のマルウェアであるTrickbotからEmotetがダウンロードされていることが確認されています。Trickbotは以前、Emotetがダウンロードする側のマルウェアでしたが、今回は逆パターンでEmotetの活動再開を助けたことになります。つまり、各国が連携することで停止に追い込まれたマルウェアが、攻撃者が連携することで活動を再開したことになります。皮肉な話ですが、セキュリティが鼬ごっこと言われる要因の一つです。
Emotetの対策は、一般的なマルウェア対策と同様となります。すでにご存じの方もいらっしゃると思いますが、これを機に改めておさらいしましょう。
現在のEmotetは英文メールのみで拡散されているようです。日本語メールのEmotetが観測される前に、注意喚起と対策が行き届くように心がけましょう。
今日の10分セキュリティラジオにて毎週月・水・金にセキュリティの最新ニュースを取り上げ解説を行っています。隙間の時間の情報収集にぜひお役立てください!
お見積り・ご相談など、お気軽にご相談ください
サイトTOPへ
