コラムCOLUMN

EMOTET について

コラム
EMOTET について

EMOTET は 2014 年に存在が確認されたマルウェアですが、 2019 年に入り感染被害の報告が相次いでいます。なぜ今になり EMOTET の被害が拡大しているのか。そしてその対策は何なのか。セキュリティアとして考えてみました。

EMOTET とはなにか?

最初に発見されてた当時は、オンラインバンクの認証情報を盗むマルウェアとして確認されましたが、2017 年頃からは、他のマルウェアに感染させ、被害を拡大させるための「マルウェア・プラットフォーム」として利用されるようになりました。

また、単体での感染はなく、「トロイの木馬」や「ランサムウェア」と併せて感染するケースが多くみられます。

EMOTET の特徴

EMOTET の特徴は主に 3 点です。

  1. なりすましメールによる高い感染力
  2. マルウェア・プラットフォームとして更に強力なマルウェアへ感染させる
  3. 感染した PC の環境にあわせ、アップデートを行う

一般的な「ウイルスファイル」と大きく異なるのはこの点です。

もしも EMOTET に感染したらどうなるの?

  • 第一フェーズ
    EMOTET に感染→ PC から「メールアドレス」、「 WEB サービス」や「社内ネットワークへのログイン情報」を盗みます。
  • 第二フェーズ
    「盗み出した情報」をもとに「正規のメール」へとなりすまし、標的への「返信メール」を装って「ウイルスファイル」を送りつけます。
  • 第三フェーズ
    「標的にされたメールアドレス」受信者が、「返信メール」と錯覚した場合、少しの違和感があっても「ウイルスファイル」を開いてしまう可能性は高まります。
  • 第四フェーズ
    「標的にされたメールアドレス」受信者の PC では、「 EMOTET 」に感染した後にPCの情報を「 C&C サーバ」へ送付を始めます。
    「 C&C サーバ」上で感染先の情報を判定し、サンドボックスのような解析ツールがある場合には本体のダウンロードを行わず、一方でその恐れのない PC には本体、もしくはモジュールのダウンロードを行い、自身のアップデートをします。
  • 第五フェーズ
    EMOTET はさらにそこからメールアドレスを奪い、横方向へ拡散します。
    また、取引先へ同様のメールが送られ、感染が拡大していきます。

モデルケース

以下のような「なりすましメール」の脅威

  • ケース 1
    総務部へ送られてくる“面接希望”という件名の「履歴書ファイル」を開封してしまう。
  • ケース 2
    営業部へ送られてくる“見積依頼”という件名の「詳細ファイル」を開封してしまう。
  • ケース 3
    連休明けなどの、確認を丁寧に行う時間がないときなど、わずかな違和感に気づかず「ウイルスファイル」を開封してしまう。
  • ケース 4
    疲れている時など、わずかな違和感に気づかず「ウイルスファイル」を開封してしまう。

上記ケースは、みなさんの身近にもよくあるケースなのではないでしょうか?

1 台(一人)の感染から関係者(連絡を取ったことのある者)へ感染を広げ、社内にとどまらず外部の関係者へも同様に感染を広げていき、感染元企業のみならず、関連するサプライチェーン全体の社会的信用の失墜につながるリスクをはらんでいる問題なのです。

セキュリティアでは次の様な対策が有効であると考え推奨しています。

対策

対策 1 :最新のセキュリティパッチの適用

効果:お使いの OS やアプリケーションを常に最新の状態にしておくことで、感染後の OS やアプリケーションの脆弱性を利用する拡散を防止できます。

対応ソリューション:脆弱性診断管理ツールやセキュリティパッチ監視ツール

弊社取り扱い対応製品:Tenable.io + ルーミン

対策 2 :マクロの自動実行の無効化

効果:「 Word ファイル」や「 Excel ファイル」に限らず「その他マクロを実行できるファイル」を利用できるアプリケーションの「マクロの自動実行」を禁止することで、ファイルを開くと同時に感染するリスクを軽減が可能です。また、「マクロを実行」には、ユーザによる明示的な操作が必要になるため怪しいかどうかの判断のための時間を設けることが可能になります。

対策 3 :保護ビューの活用

効果:「インターネット」や「 Outlook の添付ファイル」や「安全でない可能性のある場所のファイル」に対し編集をする場合は、明示的なユーザ操作「編集を有効にする」等の操作が必要になるため、怪しいファイルかどうなのかの判断の時間を設けることが可能になります。

対応ソリューション:セキュリティパッチ提供中の各種アプリケーション

対策 4 :「スクリプト」呼び出しによる「 PowerShell 」の実行の制限

効果:「悪意あるマクロ」による呼び出しにより「 PowerShell 」の実行を制限することにより、「悪意あるマクロ」から「 PowerShell 」呼び出し「 PowerShell 」にコマンドを実行させることで、「 C&C サーバとの通信の確立」、「内部ネットワークの調査」、「特権 ID の奪取」、「ユーザ情報の収集」等のリスクの低減が可能になります。

対応ソリューション:プロセス監視ツールやネットワーク監視ツール等の EDR ソリューション

弊社取り扱い対応製品CbDefense 、Bromium

対策 5 :アプリケーション制御ツールの導入

効果:アプリケーションの動作を制御することで、事前に「各アプリケーション」の動きを設定し、想定外の動作をした場合に「対象アプリケーション」の動作を停止させることにより、リスクを低減させることが可能です。

対応ソリューション:イベント監視型セキュリティツールやホワイトリスト型セキュリティツール

弊社取り扱い対応製品CbDefense 、AppGuardEnterprise

対策 6 :フィッシングサイトの URL チェックツールの導入

効果:フィッシングサイトの URL チェックツールの導入により、「悪意あるマクロ」に呼び出された「 PowerShell 」が起動したとしても、「データ」の送受信する先の「 C&C サーバ」との通信を遮断することが可能になるため、「 EMOTET 本体」のダウンロード、「 PC 内部調査」を行った結果の送信や「さらに強力なマルウエア」のダウンロード脅威を防ぐことが可能になります。

対応ソリューション:SSL 対応UTMソリューションやセキュア DNS ソリューション

弊社取り扱い対応製品:MRB シリーズ、 MR フィルタ

対策 7 :添付ファイルの解析と可視化ツールの導入

効果:添付ファイルの解析と可視化ツールの導入することで、いち早く状況把握を行えることで、横展開が始まる前もしくは早期に封じ込めが可能になります。
また、早期封じ込めにより、全体での被害を最小にすることが可能になります。

対応ソリューション:管理者が動作を確認できるサンドボックソリューションやマルウエア解析基盤ソリューションや EDR ソリューション

弊社取り扱い対応製品:Bromium 、 CbDefense

セキュリティアは、サイバー脅威に対応する企業を全面的に応援します!

カテゴリー

最新記事