かつて猛威を振るったマルウェアのEmotet（エモテット）が2021年11月頃から活動を再び活発化させており、世界中で被害報告が相次いでいます。Emotetはランサムウェア攻撃の入り口になることも多く、多方面から注意喚起されています。
そこで今回はEmotetとはどんなマルウェアで、どのように対策をすればいいのかを解説します。

Emotetの概要

悪意のある不正なソフトウェアの総称である「マルウェア」のうち、感染したデバイスを乗っ取って外部からコントロールできるようにする機能をもったものを「ボット」と呼びます。そして、Emotetはボット型のマルウェアです。

ボット型のマルウェアの特徴は、乗っ取ったデバイスでさまざまな攻撃を実行できることにあります。つまり、複数の目的（サイバー攻撃）を1つのボットで実行可能なのです。
また、複数のPCに感染したボット同士をネットワークで連携させる「ボットネット」が構成されてしまうこともあります。また、ボットネットに接続している複数のボットをコントロールするサーバを「C&Cサーバ（Command and Control Server）」や「C2サーバ」と呼びます。

とても面倒なことに、Emotetには見つかりにくいという特徴があります。Emotetそのものに含まれる不正なコードはとても少ないため、基本的に以下のような挙動を示します。

1. 他のマルウェアをダウンロードする
2. 他のデバイスにも感染を拡大させようとする

1は感染したデバイスに勝手に他のツールをダウンロードして、さらに規模の大きな攻撃に利用するというものです。ランサムウェア、スパイウェア（感染したデバイスからクレデンシャルなどの機密情報を盗むツール）、キーロガー（キーボードから入力した情報を記録してパスワードなどの情報を盗むツール）などのダウンロードが観測されています。
ダウンロードするツールによっては、DDoS攻撃などの踏み台に利用される可能性もあります。

2は感染したデバイスの接続しているネットワーク内で感染を広めようとするほか、Outlookなどのメールアプリを通して顧客や取引先企業にEmotetをばら撒くために利用されることもあります。

つまり、Emotetに感染するということは、自社のデータやシステムに被害を与えるだけではなく、他社へのサイバー攻撃の手段を提供してしまう可能性もあるということなのです。

感染経路は主にメールだがWebサイトを利用することもある

Emotetはメールによって感染することでも知られていますが、そのメールには主に次のような情報が含まれています。

●メール本文にURLを記載
●URLが記載されたPDFファイルをメールに添付
●マクロ付きのWordやExcel形式のファイルを添付
●パスワード付きzipファイルを添付

記載されているURLにアクセスすると、スパイウェアやランサムウェアをダウンロードします。過去にはインターネットバンキングのログイン情報などをはじめとする情報を搾取するスパイウェア「Trickbot」が、Emotetによってダウンロードされるケースが多数観測されました。さらにTrickbotは感染後Ryukなどのランサムウェアをダウンロードすることでも知られています。なお、不思議なことにTrickbot自身もEmotetをダウンロードするような動きをすることもあり、感染拡大のためにマルウェア同士が連携することもよくあるようです。
もちろん、これら以外の経路で感染する可能性もあり、今後も次々と新しい方法が編み出されるでしょう。

Emotetは世界各国で被害を拡大させていますが、日本企業向けには日本語でEmotetに感染させるメールが送ることで感染を狙うケースが主流です。以前は「ちょっと不自然な日本語」を使ったメールも多かったのですが、最近では「見積書」「請求書」といった名前の添付ファイルも多いようです。また、取引先企業のメールアドレスから、「この前の飲み会の写真です」という本文で「写真」という名前のzipファイルが添付されていたケースもありました。
なお、最近はコロナ禍の影響で、感染症対策用資料としてPDFファイルダウンロードさせる、予約なしでワクチンが接種できる会場についての案内するWebサイトのURLを記載するといった内容もあるようです。

またEmotetでの報告はあまり多くありませんが、メールを使用せず、偽のWebサイトからマルウェアを直接ダウンロードさせるケースも確認されています。

社会情勢の不安はサイバー攻撃を加速させる

サイバー攻撃に利用されるマルウェアは次々と新種や亜種が登場しており、Emotetの亜種も多数存在します。こうした攻撃者の背後には国際的なテロリストグループや国家がいると言われており、社会情勢で不安が増すとサイバー攻撃も増える傾向にあると言われています。また、オリンピックやワールドカップなどの国際的なイベントが開催されるタイミングでも、サイバー攻撃が数多く観測されます。

最近のブラックマーケットではサイバー攻撃を仕掛けるツール、脆弱性のあるシステムのリスト、狙いやすいメールアドレスのリスト、クラウドサービスとしてランサムウェアを提供する「RaaS(Ransomware as a Service)」なども流通しています。高い技術力と巧妙な手口でありながら、それほどITスキルが高くない人でもサイバー攻撃が可能になるため、ますます被害は拡大していくことは間違いないでしょう。

Emotetの感染を防ぐには多層防御が重要

メールやWebサイトへのアクセスなど、ユーザーの操作による感染がメインであるEmotetは、エンドポイントセキュリティが重要です。前述したようにEmotetそのものに含まれる不正コードは少なく、ダウンロードさせる他のツールをメモリ上で動作させるなどの見つかりにくい工夫がされています。そのため、従来型のシグネチャベースのアンチウィルスソフトでは対応できないケースが多く見受けられます。

そのため近年注目されているのは、既存のアンチウィルスソフトのような「侵入させない仕組み」だけでなく「侵入されたときに被害を最小限に抑える仕組み」を組み合わせた「多層防御」のセキュリティソリューションです。

こうした多層防御のサービスは、さまざまなベンダーが提供しています。
たとえばWEBROOT社の脅威インテリジェンスを活用したクラウドベースのセキュリティソリューション「MR-EP」では、アンチウィルス機能はもちろん、感染後の振る舞いを検知し、感染したファイルを自動で修復する機能を持っています。
また、エンドポイントセキュリティソリューション「VMware Carbon Black Cloud Endpoint Security Platform」では、次世代型のアンチウィルス機能に加え、脅威の振る舞いを検知した際には自動で隔離・駆除を実行し、回復を支援します。また有償オプションとしてMDR(Managed Detection and Response)サービスを提供しているため、自社がサイバー攻撃の対象となった際に心強いサポートが期待できます。

セキュリティソリューションの導入は企業にとって言うまでもなく重要です。しかしセキュリティ対策においては、従業員ひとりひとりが高い意識を持つことが何より大切です。確認せずにURLをクリックしない、心当たりがない添付ファイルは開かないなど、普段からセキュリティ教育を実施することをお勧めします。

まとめ

・Emotetはボット型のマルウェア
・ランサムウェア攻撃の入り口になることも多い
・Emotetの被害を最小限に抑えるには、多層防御が有効