活動を再開したEmotet（エモテット）の脅威とは！？推奨する対策９選

2020/01/08

株式会社インフォメーション・ディベロプメント
エバンジェリスト　内山　史一

2019年11月1日、公立大学法人首都大学東京は、同大学教員のPCがウイルスに感染し、当該PCから最大1万8千件のメールアドレスが流出した可能性があることを公表しました。^[1]
公表された内容によると感染したマルウェアはEmotet（エモテット）としています。
主に海外で猛威を振るっているEmotetですが、2018年11月頃には国内においてEmotetの感染を狙う多数のばらまき型メールが観測おり[2]、元号が令和に変わってからも、国内でEmotetの感染事例が公表されています。^[3][4]

このEmotetですが、2019年6月からしばらく鳴りを潜めていましたが、同年9月中旬より活動が再開されたことが確認されています。今後、国内において、Emotetが流行する恐れもありますので、本コラムではこのEmotetの脅威動向と、推奨する対策9選をご案内いたします。

進化するマルウェア、Emotet

Emotetは、2014年に初めて確認されて以来、現在もなお進化を続けているマルウェアです。発見当初はオンラインバンキングのIDとパスワードを窃取するオンラインバンキング型トロイの木馬と認知されていました。

翌2015年にはモジュール性の高いマルウェアとして進化することによって、多様な機能を持てるようになり、2017年には自己拡散機能の追加、そして2018年には感染した被害者のメールを大量に収集する亜種が登場しました。

現在では、フィッシングメールを介して利用者のPCに感染し、情報窃取型マルウェアやランサムウェアとして猛威を振るっています。

米国コンピューター緊急事態対応チーム（US-CERT）によると、Emotetによる被害の修復に州および地方政府は最大100万ドル（2019年11月5日時点、約1.1億円）の費用を要したとしています。^[5]

このEmotetの感染プロセスは、多くのマルウェアと同様、スパムメールを介しユーザーに添付ファイルやリンクをクリックさせることから始まります。

主な感染プロセスは以下のとおりです。

出典：Alert (TA18-201A) - Emotet Malware ^[5]

①Infection
・不正な添付ファイルやリンクを含んだ請求書や配送通知を騙るスパムメールが着信する
・ユーザーが不正なマクロを含むWordやPDFファイルを開く
・マクロが動作しEmotetがダウンロードされ感染する

②Establish Persistence
・Emotetは自動起動用のレジストリキーの作成や実行中のプロセスにコードを注入し永続性を維持する

③Instructions Phase
・EmotetはC2サーバと通信を確立し、C2サーバからの指示を受ける

④Network Propagation
・Emotetは、以下のような挙動を通じて感染拡大を行う
　- システムやWebブラウザ、メールクライアントの認証情報を窃取する
　- Outlookからメールの送信者名とメールアドレス等を窃取する
- 共有ドライブの探索や、ネットワーク上のPCに対し総当り攻撃をしかける

Emotetは、C2サーバと通信を行い自身の更新や追加モジュール、そして他のマルウェアをダウンロードし、様々な感染活動を行います。

また、Outlookから入手したメール関連の情報は、ばらまき型メールでEmotetを広範囲にばら撒く、あるいは入手メールを悪用し返信型として標的へ送りつけるといった手法に悪用される可能性が高いと考えられます。

情報を盗み出した後、身代金を要求する

このようにEmotetは進化し続けるマルウェアであることはご理解いただけたかと思いますが、海外では情報窃取後に、ランサムウェアに感染させ身代金を要求する事例が発生しています。

2019年6月10日（米国時間）、フロリダ州レイクシティ市の職員がメールで送られたドキュメントを開いたことによってEmotetに感染し、その後に別のトロイの木馬である「TrickBot」がダウンロードされ、最終的にランサムウェア「Ryuk」への攻撃へとつながりました。

この結果、同市は、サーバと電話回線、電子メールが人質となる状況に陥りました。

出典：LAKE CITY POLICE DEPARTMENT ^[6]

その後、同市はランサムウェアの攻撃による身代金50万ドル（約5400万円）を支払い、暗号化されたデータを復元する複合鍵を受取ったとしていますが、データが復号できたかどうか明らかになっていません。^[7]

上記のような事例を見るに、Emotetを扱う攻撃者グループの目的は標的型ランサムウェアのようにも思えてきます。従って、Emotetに侵害されたPCのみならず、ラテラルムーブメント（水平展開）された前提にたって、他のPCへのバックドア設置や認証情報の窃取がないか、ネットワークやシステム全体の調査が重要と言えるでしょう。

Emotetの脅威に備えるために

Emotetの脅威に備えるには、標的型攻撃メールに対する技術的な対策を実施することで感染リスクは大きく軽減されます。

しかしながら、Emotetは、追加モジュールによって機能を拡充する特性をもっていますので、攻撃手法が大きく変わる可能性は否定できません。従って、防御一辺倒ではなく、より早く脅威に気づける組織的な監視体制や検知・対応機能を整えることも重要です。

推奨する9つの対策

Emotetはスパムメールを介した攻撃が大半と考えられるため、以下のような対策を推奨します。

1)ソーシャルエンジニアリングやフィッシング等を題材に従業員へ継続的な啓発や教育を実施する

2)ウイルス対策ソフトのシグネチャは自動更新とし、常に最新状態を維持する

3)OSやソフトウェアのセキュリティパッチは環境への影響を検証し、速やかに適用する

4)ランサムウェア対策として定期的なバックアップを取得する

5)Officeドキュメントのマクロ機能を無効化する

6)業務環境でスクリプトファイルを使用しない場合、テキストエディタに関連付けする等の無害化を行う

7)ファイアウォールでPowershellに関する外部通信をブロックする

8)メールゲートウェイで.dllや.exeなどのマルウェアでよく使われる実行形式ファイルをブロックする

9)ホストベースのファイアウォールでクライアント間のSMB通信をブロックする

国内でも感染事例が報告されているEmotetですが、対岸の火事と思わずに、ぜひ日頃からの情報収集を行っていただき、皆様の組織にあった有効な対策を実施いただくことをお勧めいたします。

------------
脚注および参考情報
^[1]首都大学東京におけるパソコンのウイルス感染について
^[2]2018年11月マルウェアレポート
^[3]公益財団法人東京都保健医療公社が運用する端末等に対する不正アクセス被害の発生による、メールアドレス等の個人情報の流出と対応について　
^[4]神戸大学構成員を騙る不審メールについてのお知らせとお詫び
^[5]Alert (TA18-201A) - Emotet Malware
^[6]Lake City: Cyber Attack Targets City Hall
^[7]ランサムウェアに屈した地方自治体がIT担当職員を解雇--フロリダ州レイク・シティ
-------------