2019年から20年にかけて世界中で猛威をふるったマルウエア「Emotet（エモテット）」。 今年に入って再度流行していますが、その多くが日本を標的にしていると報道されています。

■メール攻撃「エモテット」 変異型で復活　カード情報窃取

復活後は特に日本での被害が目立つ。トレンドマイクロの調べでは今年1～3月に全世界で検知したエモテットは約5万3千件で、うち日本が4万2千件（81%）を占める。米マイクロソフトが公表する過去30日間で同社端末に届いたマルウエアの分析も、7月上旬時点で日本はトップがエモテットとなったが、米英仏や中韓では5位以内にも入っていない。
（日経新聞電子版 2022年7月14日 2:00より引用）

また2022年8月5日には厚生労働省の委託先にて、Emotetに感染したとのニュースもありました。感染を防ぎ被害を最小限に抑えるためにはどうすればいいのか。
今回は、改めてEmotetの攻撃手法とその対策について、ご紹介します。

Emotetの攻撃手法

Emotetはメールを使ったサイバー攻撃です。受信者が気づかず添付ファイルを開いてしまった場合にマクロが発動しEmotetに感染します。WordやExcelなどの添付ファイルに不正なプログラムが組み込まれているほか、メール内のリンクをクリックすると感染するタイプも存在します。

手口は単純ですが、感染したPCは自動的に感染を拡大する処理を実行してしまうこともあります。ネットワーク上のデータをロックする場合もあり、どんどん被害は大きく広がっていきます。

感染が拡大する理由の一つが、「なりすまし」といわれるメールの巧妙化です。受信者が疑いを持ちにくい手口として、次の２つの特徴があります。

１．感染したPCに登録されている正しいメールアドレスから送信されるため、受信者はメールアドレスで見分けることができない

これまで問題なくやりとりしていたメールアドレスから送信されるため、疑いを持つことなく開封してしまいます。また、正当なルートでのメール送信なので、セキュリティフィルタを通過する場合もあります。

２．自然な日本語で日常会話のやりとりや緊急性の高い内容を含むメール本文に疑いを持たない

近年では自動翻訳技術の進化により、違和感のない自然な日本語のなりすましメールが増えています。

内容も、請求や受発注、システムのサポート、ワクチン接種関連、企業の活動や行政の制度に関係するような緊急性の高い話題が用いられるなどの悪知恵が見られます。

感染しないための対策

前述のとおり、正しいメールアドレスから自然な日本語で悪意のあるメールが送られてくるため、内容やメールアドレスで見破ることは困難です。

組織としては、以下の基本的な対策をチェックしてください。継続的にJPCERT/CC（※1） の発信を確認することも大切です。

• • 組織内への注意喚起の実施
  • マクロの自動実行の無効化（事前にセキュリティセンターのマクロの設定で「警告を表示してすべてのマクロを無効にする」を選択しておく）
  • メールセキュリティ製品の導入によるマルウエア付きメールの検知
  • メールの監査ログの有効化
  • OS に定期的にパッチを適用（SMB の脆弱性を突く感染拡大に対する対策）
  • 定期的なオフラインバックアップの取得（標的型ランサムウエア攻撃に対する対策）

（JPCERT/CC「マルウエア Emotet の感染に関する注意喚起」IV.対策https://www.jpcert.or.jp/at/2019/at190044.htmlより）

 

ただし、対策を強化してもすべてを防ぐことは不可能であることは、社内で認識しておくことが必要です。感染を防ぐため、また万が一感染した際に被害を最小限に抑えるためにはメールを開封する社員のセキュリティ意識の向上や標的型攻撃メールに対する知識の習得が重要です。

標的型攻撃メールは人の心理を巧妙に利用して、悪意のあるプログラムを実行させようとします。また、セキュリティ事故の大半が「誤操作」などの人的要因という調査（※2）もあり、どのようなメールが送られてくるのか、開いてしまった場合どうすればいいのかなどの「社員教育」が被害を防ぐ最後の砦と言っても過言ではありません。

※1：一般社団法人JPCERTコーディネーションセンターの略称。 コンピュータセキュリティの情報を収集し、インシデント対応の支援、コンピュータセキュリティ関連情報の発信などを行う一般社団法人

※2：NPO法人日本ネットワークセキュリティ協会（JNSA）「2018年 情報セキュリティインシデントに関する調査報告書」より

社員一人ひとりへの教育が重要

標的型攻撃メールは、企業や個人に関わらずメールアドレスを持つ人全員に受信・感染の可能性があります。メール開封の判断や報告するかどうかも個人にゆだねられるためです。

Emotetへの対策は、セキュリティソフトやツール、セキュリティ担当者ひとりの意識・知識の向上だけでは困難です。社員全員が「受信メールからウイルスに感染するリスクがある」と日頃から意識すること、見分け方や万が一の場合の行動・窓口を知ることが、予防や事後対応に大きな効果をもたらします。メールに疑いを持てるかどうか、感染した場合に被害を最小限に抑えられるかは、社員一人ひとりの意識と知識にかかっているのです。

できること

一人ひとりのセキュリティ意識の向上に有効な手段の一つが、実際の標的型攻撃メールを用いた訓練。それを支援するのが、標的型攻撃メール訓練サービス「Selphish（セルフィッシュ）」です。

Selphishは「社員教育」と「リスク分析」の機能を提供しています。

＜社員教育＞
SelphishはEmotetの攻撃手段である「添付ファイル型」に対応しており、2022年５月からはExcel形式にも対応。

シンプルな管理画面と20種類以上のテンプレートをご用意しておりますので、文面作成時のご担当者様にとって負担が少なく、実際の攻撃に近い形での訓練ができます。また、メールを開封してしまった場合に表示されるコンテンツのカスタマイズが可能で、自社の運用やセキュリティポリシーに基づいた事後教育ができます。

＜リスク分析＞
自社の訓練の結果を分析することで、現状のリスクを知り、対策につなげます。添付ファイルの開封率やURLのクリック率、文面や差出人による違いなどを分析して、重点的な対策や教育に活用できます。

これらの訓練を継続的に実施することで、不審なメールを見分ける力とセキュリティへの意識をアップさせるとともに、企業のリスクを知り、必要な対策を適切に実施していくことができます。

Selphishは無料でお試しいただけます。ぜひ一度メール訓練を体験してみてください。