現在も収束することなく猛威をふるい続けている新型コロナウイルスは、これまでの日本の生活習慣や働き方などを大きく変えてきました。いまも世界中で感染は拡大、縮小を繰り返しており、日本でも今後の展開が全く読めない状況です。
その中でも一番大きく変化したのは、コロナ禍の影響によってテレワークの導入が加速したことです。2022年には既に在宅勤務という働き方がニューノーマルとして浸透しつつあります。大手企業に限らず、中小零細企業であってもテレワークを導入している割合は多いのです。
また、コロナ禍が収束に向かったとしてもテレワークは働き方の1つの方法として定着し、なくなることは無いものと思われます。ニュースなどでも大手企業が地方に本社昨日を移転し、従業員はフルリモートかサテライトオフィスを利用したりと、企業全体の働き方の構造が変革していることも要因の1つです。
ウイルスの驚異に対して待ったなしで急速に導入されたテレワークですが、ほころびも多く出ていて、就業規則などの整備が間に合わなかったり、セキュリティ対策まで手が回っていない企業も数多く存在します。
本来であれば企業は様々なセキュリティ対策を多層的に行うことでリスクを軽減していましたが、場所を問わないテレワークによって、業務パソコンをインターネット接続することで、脅威が直接侵入してくる可能性が高まりました。
またテレワークによってコミュニケーションが疎遠になることで、普段なら不審なメールなど気軽に口頭で相談できたものが、メールやチャットといったツールを介することで、面倒に感じてしまったり、意思疎通がうまく取れなかったりで、脅威を放置してしまうことが潜在的に発生していると考えられます。
結果としてテレワークにおける情報セキュリティのガイドラインの整備がされないことが、サイバー攻撃によるセキュリティ脅威高まりを増長していると言えるでしょう。もはやビジネスシーンに与える影響も急拡大しており看過することはできません。
とくにマルウェア「EMOTET(エモテット)」は2019年後半に急拡大し、2021年前半に収束したとおもわれていましたが、2022年になり息を吹き返し再流行しています。
EMOTETとはどのようなマルウェアなのか、どのように感染するのか、対策はできるのかなどを詳しく解説します。
IT業務のお悩みやお困りごと、コスト削減をお考えなら、解決手段があるはず!まずはITボランチへご相談(無料)ください。お問い合わせはこちらから
Contents
EMOTET(エモテット)とは
EMOTETとはなにか?
EMOTETとは銀行口座のログイン情報を盗むために開発された「トロイの木馬」型マルウェアです。2014年にドイツとオーストリアの銀行で被害が確認され、その後数年で、世界中に拡散しました。
特徴は何といっても高い感染力です。世界で最も危険なマルウェアと呼ばれています。2021年末時点でEMOTETが盗んだメールアドレス情報は430万件に上ると言われています。
マルウェアとはなにか?
それでは、そもそもマルウェアとは何を指すのでしょうか?マルウェア (malware) とは、Malicious Software(悪意のあるソフトウェア)を語源とする造語です。その名の通り、不正かつ有害に動作させる目的でつくられた悪意のあるソフトウェアの総称です。
近年話題になっている「ランサムウェア」、広告表示に見せかけパソコンの情報を抜き取る「アドウェア」、外部から不正にコントロールする「ボット」、正常なアプリケーションを装う「トロイの木馬」、自己増殖する「ワーム」などなど、全てマルウェアの定義に含まれます。
EMOTETなどのマルウェアについての詳細は「マルウェアに感染したかも?すぐ対処するべきセキュリティ対策とは」の記事で紹介しています。
ランサムウェアと何が違うのか?
マルウェアの定義は広すぎるので、わかりにくいかもしれません。最近、話題になっている「ランサムウェア」と「EMOTET」の違いは何でしょうか?
ランサムウェアは、感染したパソコンをロックしたり、データを暗号化したりすることで、使用不能に追い込み、元に戻すことと引き換えに「身代金」を要求する「身代金要求型」マルウェアです。
それに対し、EMOTETは、「トロイの木馬」型マルウェアです。正常なアプリケーションを装い、侵入したパソコンに勝手にマルウェアをダウンロードします。このような行為を「ドロッパー」と呼びます。
そのため、マルウェアの侵入手口として悪用されることがあります。よくあるケースとして、EMOTETにより運び込まれたランサムウェアに感染し身代金被害に遭うといったケースです。
ランサムウェア、EMOTETはマルウェアとして混同されがちですが、それぞれ目的・用途は全く異なるマルウェアです。
被害が増えているランサムウェアについての詳細は「被害が拡大しているランサムウェアとは?わかりやすく特徴と対策を解説!」の記事で紹介しています。
どのように感染してしまうのか?
主な感染経路は、メールに添付されたファイルによる感染です。不正なメールに添付されたOfficeファイルから「コンテンツの有効化」をクリックしマクロが起動することで感染します。
メールに添付されたファイルを開封、実行しなければ、マルウェア感染は未然に防ぐことができるのですが、EMOTETの感染力が高い理由の一つに、これらのメールが巧妙に工夫された「なりすましメール」であることです。そのことで他マルウェアやフィッシングメールに比べ開封率が高いことが推測されます。
不正なメールの多くは、大量に送付される「ばらまき型」が主流ですが、EMOTETの場合、正規のメールへの返信を装う「返信型」や、いかにも業務上開封してしまいそうな文言で作りこまれた巧妙なメールであることが報告されています。
また添付ファイル以外にもメールにURLが記載され、クリックするとブラウザ経由でマクロ付きのファイルがダウンロードされたり、暗号化ZIPファイルが添付され、ZIPファイルの解凍パスワードをメールに記載して解凍を促すなど、なりすましメールは受信者がメールを受信するまでに通る経路上、マルウェアのスキャンをすり抜けるさまざまな工夫がなされています。
このようにウイルスチェックをすり抜け、正規のメールに紛れて送付され、且つ内容が巧妙化していることから、受信者が気づかないうちに感染してしまうケースも多発しています。
参考: IPA感染被害の大幅拡大/日本語で書かれた新たな攻撃メール
感染してしまうとどうなるのか
EMOTETに感染した場合の被害について以下4つをご紹介します。
1. 重要な情報の盗取
パソコンに不正侵入したEMOTETは、パソコン内の情報を盗みます。またパソコン内の情報だけではなく、社内システム、Webサイト、クラウドサービスなどでやり取りする、IDやパスワードといった認証情報も盗まれます。認証情報が盗まれる事で不正ログイン、不正利用が生じ、最悪のケースとして重要情報の流出、情報改ざんへと繋がります。
2. ラテラルムーブメントの発生
EMOTETの感染力が高い理由の一つに、自己増殖が可能なワーム機能があげられます。例えばテレワークや外出先で感染したパソコンを、オフィスに持ち帰ることで、オフィス内ネットワークへ感染が拡大する恐れがあります。このように、自己増殖による内部の偵察や、盗取といった感染拡大の動きをラテラルムーブメント(水平移動)と呼びます。
3. ドロッパーとしてリスクの高いマルウェアに感染する
EMOTETは、先述した通り侵入したパソコンに勝手にマルウェアをダウンロードするドロッパーとして機能します。つまり、EMOTETが通じて、さらに悪質で実害を伴うマルウェアをダウンロードしてしまう可能性があります。その代表的なものがランサムウェアです。また外部から遠隔操作が可能となるボットプログラムや、長期間にわたる諜報処理を可能とする偵察プログラムなど、リスクの高い様々なマルウェアを引き寄せることになります。
4. ボット化され偽装情報として悪用される
先述したEMOTETのメール経由での感染に返信型や、巧妙に作りこまれた偽メールの存在をご紹介しました。これらを可能にするのが、ボット化されたパソコンです。
本項1、3でご紹介した実害的な例になりますが、EMOTETが侵入したパソコンからOutlookのようなメールソフトに記録されたメール情報を盗み、EMOTETを添付した不正メールをばらまきます。受信者からは正規の取引先と見える為、EMOTETファイルの開封率も高くなります。このような感染経路が原因で企業の信用も損なわれてしまう可能性もあります。
EMOTETのこれまでの経緯
EMOTETは銀行口座のアカウント情報を狙ったトロイの木馬型マルウェアとして初めて検知されたのが2014年です。当初のEMOTETには感染拡大の機能はなく、被害は限定的でした。大々的に話題にはならず他のマルウェアと同様に風化していきました。
しかし2017年以降、感染拡大機能を搭載した新たなEMOTETは、世界で最も危険なマルウェアとまで呼ばれるようになりました。
2021年1月に、EUROPOL(欧州刑事警察機構)が、欧米8カ国の法執行機関・司法当局の協力により、EMOTETの攻撃基盤をテイクダウンしたと発表しEMOTETによる攻撃や被害が停止あるいは大幅に減少したことが確認されましが、同年11月に攻撃活動再開の兆候が確認されました。
IPAでは、2022年2月以降のEMOTETに関する相談や被害の報告が急増しており、IPA、警視庁、JPCERTから緊急の注意喚起が発表されました。国内企業からも、感染被害が次々と公表されています。
参考:IPA感染被害の大幅拡大/日本語で書かれた新たな攻撃メール(2022年3月9日 追記)
参考:JPCERTマルウェアEMOTETの感染再拡大に関する注意喚起
もし感染してしまった場合にするべきこと
それではもしEMOTETに感染してしまった場合、どうすればよいのでしょうか?対処方法についてご紹介します。
1.パソコンをネットワークから切り離す
先述したとおり、EMOTETは自己増殖機能があります。同一ネットワーク内でのラテラルムーブメントが発生する前に外部インターネットと、内部ネットワークからも遮断し、感染経路の特定、感染状況の確認、原因ファイルの特定などを切り離した状態で行いましょう。
2.他のマルウェア感染の有無を調査する
EMOTETへの感染確認は警視庁サイバーセキュリティ対策本部がチェックツールを配布しています。こちらですぐにEMOTETの感染有無を確認できます。続けて他のマルウェア感染の有無も確認しましょう。
先述した通り、EMOTETはドロッパーとして役割も担っています。感染が疑われたパソコンからラテラルムーブメントを考慮して、同じネットワーク内のパソコンを対象にウイルス対策ソフトの完全スキャンを実行し、他のマルウェアの有無を確認しましょう。
参考:警視庁EMOTET感染を確認できるEmoCheck EmoCheck
3.感染したアカウントのメールアドレスとパスワードを変更する
EMOTETの感染経路の殆どはメールです。メール経由で外部に感染を拡大させていくため、EMOTETに感染したアカウントのメールアドレスやパスワードの変更を行いましょう。メールアカウント自体を削除・変更しても業務に支障が出ないようであれば、新しく作り直すことも有効です。
4.感染したパソコンを初期化する
たとえウイルス対策ソフトの完全スキャンによってマルウェアを駆除できたとしても、スキャンでは発見できなかったバックドア型のファイルが残っている可能性があります。そのためパソコン自体を初期化することをお勧めします。
EMOTETの感染力が高い理由の一つとしてポリモーフィック型(アクセスされるたびにコードを少しずつ変える)のであることがあげられます。たとえ脅威を排除したとしても、再び感染するリスクがあります。感染の恐れがあるパソコンをすべて調査する必要があります。
ここまでご紹介した手法は、EMOTETに限らず、マルウェア全般に対し万能な策ではありません。ユーザにより利用状況は異なるため、業務継続性を鑑みてて対応を検討する必要があります。
またEMOTETの感染した事実は、社内の規定等に従い報告を行いましょう。また関係企業に対しての注意喚起や、重要なセキュリティ情報にもなります。隠蔽し被害を拡大するよりも、企業としても関係企業へ公表することを推奨します。
感染しないための対策とは
ここまでご紹介した通り感染力の高いEMOTETですが、感染しないためにはどのような対策を取ればよいでしょうか。EMOTETに感染しないための対策についてご紹介します。
1.セキュリティ対策ソフトで保護する
EMOTETに限らず、マルウェア感染対策としてセキュリティ対策ソフトは有効です。ウイルスの定義ファイルを常に最新の状態に保ちながら、社内ネットワークにつながっているパソコンだけでなく、普段ネットワークに繋がないオフラインのパソコンなども対象にすることを推奨します。
2.セキュリティパッチを適用する
システムの弱点である脆弱性を狙う手口はEMOTETのみならず、様々なマルウェアに共通した手口です。OSのアップデートを定期的に実施することでセキュリティパッチを適用し、OSの状態を常に最新に保つことを推奨します。
3.Power Shellをあらかじめブロックする
EMOTETの実行には、Windows OSのコマンドラインツールのPowerShellというコマンドラインでOSを操作するツールが利用されています。メールに添付されたファイルを開くことで、マクロの実行→コマンドプロンプトの実行→PowerShellの実行、という順番で実行されるケースが多く報告されています。
コマンドラインツールは一般的なGUI(グラフィカルツール)とは異なり、目に見えないところで実行される可能性があるので、PowerShellのツールそのものを無効化することは効果的な対策と言えるでしょう。
4.標的型攻撃メール対策ソリューションを導入する
EMOTETの主たる感染経路はメールに添付されたファイルです。そのためアプローチとして標的型攻撃メール対策ソリューションは有効です。
標的型攻撃メール対策ソリューションは、フィッシングサイトのURLチェックを行ったり、添付ファイルの解析を行ったり、不正なダウンロードを防いだり、ビジネスメール詐欺を防止する効果あります。セキュリティ対策ソフトとともに検討してみてはいかがでしょうか。
また関連して、メールでのやり取りにおいてパスワード付きのZIPファイルを添付するケースは様々なビジネスシーンにおいて主流となっています。この運用を「PPAP」(「P」asswordつきZIP暗号化ファイル、復号化「P」assword、「A」暗号化、「P」rotocolの頭文字)と呼ばれています。
「PPAP」はEMOTETの感染経路に利用されるケースが多く報告されていることから、廃止する企業が増えています。
現在ではオンラインストレージによるファイル転送サービスのようなクラウドサービスも一般的にbなりつつあることから、こちらも併せて検討してみてはいかがでしょうか。
まとめ
これまでEMOTET(エモテット)について解説してきました。
当初は銀行口座の認証情報を抜き取るバンキングマルウェアだったEMOTETも現在では、他のマルウェアを感染させるプラットフォームとして機能し強力なマルウェア感染を手助けし、感染力や拡散力も強いことからも最恐のマルウェアとして危険視されています。
しかしこれまでも解説してきましたが、EMOTETも他のマルウェアと同様にメールにマルウェアを添付しているという一般的な手法です。
メール受信者が添付ファイルを開封、実行することで感染しますが、実行しなければ感染することはありません。ただし、EMOTETによる感染被害の多さを考えると他のマルウェアと比べても添付ファイルの開封率がたかいことが伺えます。
なぜかといえば、送られてくるメールが巧妙に偽装されているからです。感染者のメーラーから情報を盗み、やり取りしたことがある人になりすましマルウェアが添付されたメールを送ってくるのです。
受け取った人は知っている人からのメールということで安心してしまい、添付ファイルを開いてしまうのです。
重要なのは、添付ファイルを開封・実行しなければ感染しないということです。少しでも疑問があるようなメールは決して添付ファイルを開かずにおくことで未然に防げます。
情シス担当者や社内SEの人の対策も大切ですが、なによりも社員のひとりひとりの意識が大切なのです。取引先にも被害を出さないためにも、危機意識を高め、不審なものは触らないということを徹底しましょう。
EMOTETのようなマルウェアも、今後さらに巧妙化したメールを送るような仕組みに進化してしまうことは間違いないでしょう。セキュリティ対策が間に合わない可能性もありますので、ご注意ください。
もし、根本的な対策を行う場合、社員のセキュリティ教育を進めたいなどのご要望があれば、IT保守サービス「ITボランチ」へご相談ください。ご相談は無料でご対応いたしますので、お気軽にご連絡ください。
