トレンドマイクロ株式会社 セキュリティエバンジェリスト　山外一徳

ここ数か月、国内では「EMOTET」と呼ばれるマルウェアが猛威を振るっています。EMOTETは昨年後半から国内でも被害が顕在化し、当時の菅官房長官が会見でEMOTETへの警戒を呼び掛けたことでも話題となりました。この脅威は、活動と休止を繰り返していますが、トレンドマイクロでは、直近9月に国内でのEMOTET検出台数が46,000件を超え、昨年末に記録した約8,000件を大きく上回る数字になったことを確認しています。EMOTETの攻撃は日々の業務に必要不可欠なメール経由で侵入してくるため、業種規模問わず、あらゆる法人組織が被害に遭う可能性があります。未だEMOTETの攻撃は継続しており、今後もこのサイバー攻撃に対する警戒が必要です。

■EMOTETとは？
EMOTETは主にメール経由で拡散されるマルウェアの一種です。拡散メールの受信者が不正なマクロ機能を持つOffice文書ファイルを開き、マクロ機能を有効化するとEMOTETに感染する可能性があります。こうしたOffice文書ファイルは、拡散メールに直接添付される場合や、本文内のリンクまたは添付PDFファイル内のリンクから、ダウンロードさせる手口が分かっています。

EMOTETに感染した場合に想定される影響ですが、攻撃者はEMOTETを起点にさまざまな不正プログラムを感染端末に送り込み、アドレス帳を含むメール情報の窃取、感染端末から組織内ネットワークにさらなる攻撃を行ってくることがあります。また、攻撃者が感染端末へのアクセス権を別のサイバー犯罪者に販売することがあり、それを購入したサイバー犯罪者がランサムウェアといったより凶悪な攻撃を仕掛けるなど、深刻な被害につながるリスクもあります。

■EMOTETの拡散メールについて
EMOTETを拡散するメールの特徴としては、実在の組織になりすまし、自然な日本語による偽装メールを送ってくるものが挙げられます。なお、過去の感染端末から窃取した情報を悪用し、実際のメールのやり取りを貼付して返信を偽装したメールを送ってくるものもあります。EMOTETの厄介なところは、感染端末から窃取した情報を悪用し、さらなるメール拡散の攻撃が行われる点です。万が一、取引先での感染や子会社または親会社など、法人組織におけるサプライチェーンのどこかで感染が発生した場合、普段のビジネスメールにまぎれて、EMOTETの拡散メールが着弾するかもしれません。

■EMOTETの攻撃に見られる変化
9月に攻撃が活発化したEMOTETですが、従来の攻撃から変化が見られました。
特にセキュリティ対策をすり抜けようとする動きについては警戒が必要です。今回EMOTETの拡散メールにパスワード付きzipファイルを添付し（パスワードはメール本文に記載）、法人組織のメール対策をすり抜けようとする手口が確認されているとともに、EMOTETの亜種が急増していることが判明しました。亜種が急増することで、ウイルス対策ソフトの基本的な検出技術であるパターンマッチングによる対応が難しくなることが想定されます。EMOTETの攻撃では、侵害した法人組織のネットワーク内で複数の端末が感染した場合、それぞれ異なる亜種に感染する手口も分かっています。その場合、一つの端末で検出されたウイルス対策ソフトのパターンマッチングを全端末に適用したとしても、EMOTETを一斉駆除することができず、検出されない亜種が他端末に残るリスクも出てきます。EMOTETが国内で猛威を振るう中、こうした動きだけでなく、今後も攻撃に新たな変化が出てくるかもしれません。

■法人組織における対策ポイント
こうしたEMOTETの脅威には、さまざまな対策が考えられますが、今回は主に3つの観点でご紹介します。

1)従業員へのセキュリティ教育とマクロ機能の無効化
従業員にセキュリティ意識向上を目的とする教育を行うことは重要です。従業員がEMOTETの脅威を理解することで、万が一、拡散メールを受信した場合でも、不用意にOffice文書のマクロ機能を有効化しない可能性が高くなるでしょう。
また、マクロ機能が有効化されなければ、EMOTETに感染することはないため、組織としてそもそもマクロ機能をすべて無効に設定することも効果的です。

2)多層防御による検出力の強化
EMOTETの亜種が増加していることから、パターンマッチングだけでなく、機械学習を用いた検出技術や不正な挙動を検出する技術、サンドボックス技術といった複数のセキュリティ技術を導入することが必要です。また、こうした技術を、メール対策や端末の対策といった複数のレイヤに導入することで、脅威の検出力をさらに強化することができます。

3)メールの添付ファイルの無効化
現在EMOTETの主な攻撃は、メール経由による不正なOffice文書ファイルの拡散です。そのため、組織としてメールによるファイルのやり取りを禁止するポリシーを決め、メールの添付ファイルを無効化することも対策として効果があります。この場合、代替手段として、ファイル共有のクラウドサービス等の利用が想定されます。しかし、攻撃者もこうした対策に応じて、攻撃の手口を変化させてくることも考えられますので、先述の多層防御の一つの層として捉えるべきです。

法人組織ではEMOTETの動向に注視しながら、今後再び来るかもしれない攻撃の変化と急増に備えた対策の見直し・検討を行うことをおすすめします。

 

＃連載リレーコラム、ここまで

＜お断り＞本稿の内容は著者の個人的見解であり、所属企業及びその業務と関係するものではありません。

＜ワンクリックアンケートお願い＞
今回のメールマガジン第199号の感想をお寄せください。
https://ux.nu/6MN1m
※googleアンケートフォームを利用しています。

☆コラムに関するご意見、お問い合わせ等はJNSA事務局までお願いします。

============================================================

☆メールマガジンの配信停止は以下URLの「解除」よりお手続き下さい。
配信停止連絡　<http://www.jnsa.org/aboutus/ml.html>

*************************************
JNSAメールマガジン　第199号
発信日：2020年11月13日
発　行：JNSA事務局　
*************************************