こちらの記事は、セキュリティ専門家の松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」の放送内容を文字に起こしご紹介しています。
Emotet感染の拡大が止まらず、各法人で報告と注意喚起が行われている。(記事はこちら)
【お届けするニュースはサイバーセキュリティ専門ニュースサイト「ScanNetSecurity」の提供でお送りしています。】マルウェアのEmotetが引き続き猛威を振るっており、被害にあった各法人から注意喚起が行われています。過去に何度も注意喚起を行っているEmotetですが、その感染を広げる環境や対策について、過去の歴史も振り返りながら説明します。
Emotetの感染拡大が止まらず、被害者から報告と注意喚起が行われています。発表されている内容としては、メールの先頭に記載されている「送信者の氏名」と「メールアドレス」が一致していないこと、メール添付されているファイルの解凍パスワードがメール本文に記載されていること、WordやExcel等が添付されており、本文中に「コンテンツの有効化」ボタンをクリックするようにと指示があること、メール本文に意味のある内容がほぼ無く、添付ファイルを開封するよう誘っていること、あるいは過去に実際にやり取りされたメールの文章がそのまま貼り付けられていること、メール本文中にURLが記載されており、リンク先にPDF文書ファイルがあるように見えること、などが挙げられています。
現在のところ、Emotetの感染源はMicrosoft OfficeがインストールされたWindowsが対象とされていますが、今後はその範囲が広がる可能性もあります。
Emotetは主にメールの添付ファイルで、パスワード付きZIPに圧縮された状態で送信されてきます。メール本文に書かれているパスワードで展開されたWordやExcelのファイルを開いて、マクロが実行されることで感染を広げていきます。
Emotetが感染後に取る挙動について、もう少し細かく踏み込んで説明します。Emotetは感染した端末に、インターネットから別のマルウェアをダウンロードしようと試みます。このダウンロードされるマルウェアは常に更新することが可能であるため、別の脆弱性を突くようなツールや、場合によってはWindows以外のシステムを攻撃するマルウェアもダウンロードされる可能性があることになります。すでに、感染した組織内のメールサーバを乗っ取ってメールを配信するEmotetも確認されていますので、油断は禁物です。
Emotetの対策としては、一般的なマルウェア対策である、怪しいメールや添付ファイルは開かないこと、OSやソフトウェア、セキュリティ対策を最新バージョンへアップデートすることに加え、マクロ実行の無効化やパスワード付きZIPの拒否など、業務への影響も許容しながら強いセキュリティ対策を実施することが求められる状況であると言うことができます。
Emotetの歴史を振り返り、過去に行われたテイクダウンの措置について説明します。
今回は、改めてEmotetの歴史も振り返りながら、その傾向と対策についてお届けしました。我々もセキュリティで社会課題を解決する集団として、Emotetの無償フォレンジック調査を引き続き提供しています。不安を抱える皆様にとって何ができるかを常に考えて行動しておりますので、下記のリンクよりお願いします。
今日の10分セキュリティラジオにて毎週月・水・金にセキュリティの最新ニュースを取り上げ解説を行っています。隙間の時間の情報収集にぜひお役立てください!
お見積り・ご相談など、お気軽にご相談ください
サイトTOPへ
