Emotet


JPCERT/CCは、感染拡大中のマルウエア Emotet (エモーテット)が急増中であるため、注意喚起している。
マルウェア Emotet の感染拡大および新たな攻撃手法について(JPCERT/CC、2020.09.04)
感染経路は従来通りで、添付ファイルまたはリンクからダウンロードされるファイルを実行すると、マクロやコンテンツの有効化を促す内容が表示され、マクロを有効化による感染被害が増加しているという。

「Emotet」と呼ばれるウイルスへの感染を狙うメールについて(IPA、2020.09.02)
IPAも注意喚起している。

 

EmotetはFireEyeブログ(2019.12.04)によると、登場は2014年という。ただ、昨今のEmotetはモジュール型(部品)となっているという。

Emotetに一度感染してしまうと、感染した端末(PC等)で利用しているメールのアカウントや送受信したメールの情報が窃取され、マルウェア付きスパムメールの送信に再利用されてしまう被害が起きてしまう。

偽メールを介して広がる危険なファイルから身を守るために(Kaspersky、2019.12.26)
そしてEmotetはバージョンアップを繰り返しており、別のマルウェア「TrickBot」やランサムウェア「Ryuk」を配布する機能を持つ危険なマルウェアとしても報告されているという。

 

TricBot(F-Secure、2020.03.09)とは、銀行の口座情報を窃取し、不正アクセスや不正送金を行うトロイの木馬型ウイルス。
スパムメールや広告に記載されたURLをクリックすしたり、メールに添付されたファイルを開くと、PowerShellを利用してマルウェアをダウンロードをしPC内に組み込まれる。そして、システムにバックドアをインストールして、リモートでアクセスし、ボットネットの一部として使用されることもあるという。

Ryuk(MBSD、2019.12.11)は、標的型ランサムウェアであり、2017年2月に出現した「Hermes」(エルメス)というランサムウェアのコードを改変した亜種、攻撃対象の企業ごとにカスタマイズされて開発されているという。そのため、攻撃で使用された検体ごとに挙動が異なる。

Hermesランサムウェア(Cylance、2018.05.15)は、国家が主導して作成されたと疑われている。Hermesは、データを暗号化し、詳細な身代金受け渡し手順を表示し、デスクトップの壁紙を変更するというランサムウエア(身代金ウイルス)。

FireEye「APT38:新たな攻撃グループの台頭」レポートによると、ランサムウエアHermesは攻撃目的達成に利用されるマルウエアとなっている。

 

つまり、Emotetへの被害は受けやすい手口のため、気をつけなくてはならない。また、業務上でOffice文書のマクロは利用しているケースが高いため、悪質なファイルを開けば、感染する可能性が高いため、十分な注意が必要となる。Emotetの最近の手口からは、他のランサムウエア(身代金ウイルス)と連携し攻撃を高めていく。そのため、感染後にファイルが暗号化され取り返しのつかない問題に発展していく。

・身に覚えのないメール(過去に取引していた相手でも、しばらく取引していない場合は疑っていみる)の本文中のURLはクリックしない。
また、よくわからない添付ファイルは開かない。
・ランサムウエアによってファイルが暗号化されても救済できるよう、バックアップを取っておく。
・添付ファイルを開いた際に、勝手にプログラムが実行されないよう、マクロは無効化していく。
・サンドボックス対応のセキュリティソフト(KasperskyやF-Secureとか)を利用し、定義ファイル(定義データベース)を常に更新しておく。
・Windows updateで常に最新にしておく。
・企業であれば、Webフィルタを採用し、悪質サイトへの接続を防いでみる。(標的型攻撃と対となると防いでくれないかもしれないけど)

 

ただ、身の覚えのないメールでなくても、
「EMOTET」がトレンドマイクロのアンケートメールを偽装(Trendmicro、2020.09.04)
というのもあったりするため、マクロは無効化していく設定が望ましい、ということになる。


Twitterでフォローしよう

おすすめの記事