LAC、マルウェアEmotetの検知状況について注意喚起

LACは11月29日、猛威を振るっているマルウェアEmotetの検知状況について、JSOCとサイバー救急センターで見えている感染被害の状況を伝えるとともに、感染後の対応方法や有効な対策について紹介し、注意喚起を行なった。

Emotetの主な感染経路としては、メール経由での感染が確認されている。手法そのものは目新しいものではないが、実在の組織や人物になりすまして日本語のメッセージとともに送付されるケースが見受けられることから、不審なメールであると判断がしにくいケースがあり、注意が必要となる。

特徴としては、Emotetに感染した端末から窃取した情報を元にして独自にメール本文を作成しているものに加え、実際に組織間でやりとりされたメールの内容を用いるなど実際のメールによるやりとりを装うものが確認されている。

Emotetは、メールに添付された悪性Wordファイルのマクロを実行することで感染する。そのため、実在の組織や人物からのメールに添付されているファイルにおいても安易にマクロを有効化することのないようにしなければならない。Wordの設定を確認し、マクロが自動実行されないようにするとともに、セキュリティの警告として出るコンテンツの有効化を安易に許可しないようにする必要がある。Emotetが用いる感染手法は、Wordファイルのマクロによるものが主流と思われるが、他のOffice製品におけるマクロの設定もあわせて確認すること。

■Emotet感染の事後対応

ラックで確認している範囲においても、Emotetはそれ自体で感染端末内からメール情報やアカウント情報などを窃取する動きの他に、Trickbotなど別のマルウェアをダウンロードし、結果として別の被害(内部での横展開、ボット化、スパム配信等)に発展するケースがある。そのため、Emotet以外のマルウェアが検出された場合にも、その入り口としてEmotetが動作し、メール情報等が漏えいした可能性を考慮する必要がある。

Emotetへの感染が確認された後は、自組織内での対応に加えて対外的な対応も必要となる。自組織内の端末からメール情報が漏えいした場合、攻撃者はその情報を新たな攻撃対象の情報源として使用する可能性がある。自組織内でEmotet感染が確認された場合には、社内への注意喚起だけではなく、Emotetに感染するまでメールのやりとりをしていた取引先や関係者に対しても、同様のメールが届く可能性を踏まえて対外的な対応を行なうこと。

■Emotetに有効な対策

EmotetはIPSやサンドボックス製品で関連通信や添付ファイルそのものの検知が可能だが、ウイルス対策製品を導入している環境にも関わらず、JSOCでの通信検知、サイバー救急センターへの被害相談が後を絶たない状況をみても、マルウェアの高度化によって既存のウイルス対策製品での防御には限界があることが見て取れる。

ラックがマネージドサービスを提供しているEDR製品(CrowdStrike Falcon/Microsoft Defender ATP)でも、Emotetの検知、防御が可能であることを確認しており、EDRの導入は有効な対策の1つとなる。さらにEDRは、感染の検知・防御だけでなく、万が一の際の迅速な一次対処や原因調査を可能にするため、Emotetのような一般的なマルウェアへの対策だけではなく、高度な標的型攻撃への対策としても有効となる。
 

関連リンク

LAC WATCH