マルウェア「Emotet」の脅威
2022年2月以降、国内でも多くの企業において被害が急増したEmotet。同年11月に一旦活動が休止したかに見えましたが、2023年3月より活動が確認されています。
今後、感染が拡大しないことを願っていますが、攻撃者は手を変え品を変え感染拡大を狙っています。
Selphishチームとして、2023年9月現在の対策と対応に関する情報を共有いたします。今一度、セキュリティ対策を見直し、社員への周知の徹底をお願いします。
Emotet感染の再拡大
Emotetは、主にメールでの添付ファイルを介してPCに侵入するマルウェア(悪質なソフトウェア)です。2021年1月ごろに国際的な殲滅作戦によって活動が停滞していましたが、2021年末ごろから再び活動が増加してきていることが報告されており、2022年2月10日以降、一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)から「Emotet」の感染の拡大に関する注意喚起が発表されています。
◎マルウェアEmotetの感染再拡大に関する注意喚起(一般社団法人 JPCERT コーディネーションセンター)
※ 更新されますので定期的にチェックしてください
Emotetの特徴に関する当社の観察と、対応の概要を示します。
1.マクロ付きのExcelファイルに加え、暗号化zip形式のファイルを使う例や2023年3月には500MBを超えるサイズのdocファイルを使う例が見受けられます。
zipファイルは暗号化されているため、メールシステムのセキュリティチェックをすり抜けてユーザーが受信してしまう可能性があります。
この暗号化zip形式でのファイルのやりとりを避け、機密性の高い情報のやりとりは「ファイル共有サービス」や「ファイル転送サービス」などを代替手段を検討することを強くお勧めします。
2.侵入者が感染させたPCを用いて、過去にメールのやりとりがあった相手に対し、感染を拡大するためのメールを社内外問わず送信している事例が観測されています。
これは、感染の懸念が生じた時点で、できるだけ速やかにネットワークから切り離すべきことを示しています。
3.Emotetが送信したメールを受信した場合、送信者のメールアドレスの信憑性が非常に高い状態でメールが送られてきます。
正当なルートで悪意のあるメールが送られてくるため、SPFやDKIMなどのチェックをパスし、スパムフィルタも回避できることも多くあります。これはつまり、従来のメールアドレスのチェックによる見分け方が通用しないということです。添付ファイル全般を疑い、送信者に電話で確認するなどメール以外でのコミュニケーションをとることも対策となります。
※SPF(Sender Policy Framework)・・・送信元のドメインが詐称されていないかを検査するための仕組みのこと
※DKIM(DomainKeys Identified Mail)・・・電子署名方式による送信ドメイン認証の仕組みのこと
4.メール本文も、請求や受発注、サポート、ワクチン接種関連、企業の活動や行政の制度に関係するような緊急性の高い話題が用いられるなど、巧妙な内容が観測されています。
従来のような、見分ける力を強化することには限界があります。社員からの報告や相談をを受け取り、警戒情報を共有できるように、社内コミュニケーションを強化してください。
5.レンタルサーバなど安価で便利なサービスをお使いの場合には特に注意が必要です。
メールの検疫や防御の仕組みが弱いために被害を受けやすい状況になっている可能性があります。Microsoft 365や、Google Workspaceなど、受信メールの検疫や保護の機能が強固なプラットフォームへの切り替えをお勧めします。
会社として事前にすべき対策は?
本件に関するJPCERTコーディネーションセンターのお知らせは、同じウェブページで随時追加されていますので、最新の更新情報を確認するようにしてください。
その上で、組織として以下の基本的な対策を確認して実施してください。これらは、 Emotetだけではなく、他のマルウェアに対しても重要な対策になります。
- 組織内への注意喚起の実施
- Officeファイルのマクロの自動実行の無効化(Officeソフトの[オプション]-[トラストセンター]の[マクロの設定]で「警告を表示してすべてのマクロを無効にする」を選択しておく)
- メールセキュリティ製品の導入によるマルウェア付きメールの検知
- メールの監査ログの有効化
- OSに定期的にパッチを適用(SMBの脆弱性を突く感染拡大に対する対策)
※SMB・・・Windowsのネットワークで利用されるマイクロソフト独自の通信プロトコル - 定期的なオフラインバックアップの取得(標的型ランサムウエア攻撃に対する対策)
(マルウエア Emotet の感染に関する注意喚起 IV.対策 一般社団法人 JPCERT コーディネーションセンター)
重要なのはこれらの事前の対策を徹底することです。
社内の体制、ならびに社外の相談先(当社のようなサイバーセキュリティ対応企業)を活用し、徹底してください。
感染が疑われた際に早めに相談や連絡を上げることができる体制づくりも重要です。緊急連絡先の周知と共に、攻撃メールの訓練を実施する際、連絡や相談のスピードを上げることを目標とすることは有効な手段です。
感染した場合の対応は?
Emotet には、端末からの情報窃取、データの破壊活動、侵入したネットワーク内で攻撃や感染を拡大する横展開の活動、そして社内外への感染拡大の活動があることが知られています。Emotet に感染した端末は、一度感染するとリモートから別の攻撃的なツールを自らダウンロードし、ランサムウエア感染などの被害に繋がることもあります。
また、これは感染を広げるメールが配信される恐れがあるため、取引先や顧客を直接的に危険にさらすことになります。感染した端末のメール本文を利用したメールは見分けるのが困難です。さらに、感染を広げるメールの配信元として攻撃者に利用され、外部に大量の不審メールを送信することになります。
感染の懸念が生じた場合、初動対応として当該PCを、有線LAN・無線LANを問わず、すべてのネットワークからもれなく遮断することを徹底してください。遮断する方法を周知することが必要な場合もあるでしょう。その上で調査を行うことができます。
Emotet の感染を確認した場合は次のように対処してください。
- 感染端末の隔離、証拠保全、および被害範囲の調査
- 感染した端末が利用していたメールアカウントなどのパスワード変更
- 感染端末が接続していた組織内ネットワーク内の全端末の調査
- ネットワークトラフィックログの監視
- 他のマルウェアの感染有無の確認
- 被害を受ける (攻撃者に窃取されたメールアドレス) 可能性のある関係者への注意喚起
- 感染した端末の初期化
(マルウエアEmotetへの対応FAQ(一般社団法人 JPCERT コーディネーションセンター)「4. Emotet の感染を確認した場合どのように対処すればよいですか? 」)
調査できる状態になった段階で、Emotet感染有無を調べることができるツール「Emocheck」を使うことも有効でしょう。GitHubのJPCERT/CCページからダウンロードできます。
◎Emotet 感染有無確認ツール EmoCheck(一般社団法人 JPCERT コーディネーションセンター)
以下もご参照のうえ、対処してください。
◎マルウエアEmotetへの対応FAQ(一般社団法人 JPCERT コーディネーションセンター)
メール訓練で予防と対応の再確認を
「Selphish(セルフィッシュ)」では、Emotet感染を狙う標的型攻撃メールを疑似的に体験することができます。
また、万が一不審なメールの添付ファイルを開封した際に、取るべき行動を周知することもできます。
標的型攻撃メールについては、こちらをご覧ください。
Selphishについては、こちらの資料をご確認ください。
メール訓練のノウハウと
効果的な進め方教えます
