Emotetの猛威再び…。

Emotetの猛威再び、攻撃メールを見破るポイントは差出人や署名にあり
https://xtech.nikkei.com/atcl/nxt/column/18/00001/04576/

※ ともかく、「無闇に、安易にクリックするな!」これに尽きる…。

※ 「添付ファイルは、まず開くな!」

※ 「一拍、呼吸を置いて、よく考えよう。」

『2019年秋に大きな被害をもたらしたマルウエア「Emotet(エモテット)」が再び猛威を振るい始めた。セキュリティー組織やセキュリティーベンダーは相次いで注意を呼びかけている。Emotetは「進化」を続け、今では差出人の詐称や添付ファイルの暗号化などの危険な仕掛けを幾つも備えている。

関連記事:Emotetが「感染爆発」の兆し、トレンドマイクロかたる悪質な引っかけの手口
 最新のEmotetによるサイバー攻撃の特徴は何か、どうすれば被害を防げるのか――。トレンドマイクロは2020年9月9日、サイバー攻撃の脅威動向「2020年上半期セキュリティラウンドアップ」について説明会を開いた。そこからEmotetの最新動向が分かった。

バックドアへの「アクセス権」が売られる
 「企業ネットワークへのアクセス権を販売する動きが見られる」。同社の岡本勝之セキュリティエバンジェリストは2020年上半期のサイバー犯罪の動向をこう説明する。攻撃者は何らかの方法で企業ネットワークに侵入してバックドアを構築し、そのバックドアを使う「権利」を販売したりレンタルしたりしているという。

 「既に英国企業のネットワークにアクセスする権利が販売された事例がある」(岡本セキュリティエバンジェリスト)。同社はバックドアの販売/レンタルを「アクセス・アズ・ア・サービス(AaaS)」と名付けた。

ネットワークへのアクセス権を販売する書き込み例
(出所:トレンドマイクロ)
[画像のクリックで拡大表示]
 岡本セキュリティエバンジェリストは「AaaSとEmotetは関係がある」と話す。攻撃者は、不特定多数に向けて同じ文面のなりすましメールを送り、マルウエアに感染させたりフィッシングサイトに誘導したりする「ばらまき型メール」でEmotetを拡散させている。メール受信者が誤って添付ファイルを実行するなどでEmotetに感染するとパソコンに保存されたメール内容やメールアドレスを盗まれ、その情報はネット上の指令サーバー(C&Cサーバー)に送られる。

 最近のEmotetを使った攻撃では、情報を盗むだけでなく他のマルウエアやトロイの木馬ウイルスに感染させて企業のネットワークにバックドアを構築するケースがある。「他の犯罪者が侵入するという危険性がある」と岡本セキュリティエバンジェリストは警鐘を鳴らす。Emotetの感染を検知できなければ、Emotetを仕掛けた攻撃者だけでなくAaaSでアクセス権を購入した別の攻撃者にも不正アクセスを許してしまうというわけだ。

 トレンドマイクロの調査によれば、Emotetを使った攻撃はたびたび活動を休止する傾向がある。2019年10月から攻撃が活発になったEmotetは2020年になっても猛威を振るった。2020年も新型コロナウイルスの感染拡大に便乗した攻撃が増えると思われたが、実際は2月上旬から7月中旬にかけてC&Cサーバーが休止したという。

日本におけるEmotetの検出数の推移
(出所:トレンドマイクロ)
[画像のクリックで拡大表示]
 しかし2020年8月に活動を再開。「日本国内では8月からEmotetの検出数が急増している」(岡本セキュリティエバンジェリスト)と注意を促す。

差出人に「さん」がつく
 攻撃者はEmotetに感染したメール受信者から不正にアドレス帳やメールアドレス、メールの内容などを盗み取る。盗んだ情報を基に別の感染者から攻撃メールを送信する際、メールの文面などをそのままコピーするため、サイバー攻撃を受けていると見抜くのがかなり難しい。「トレンドマイクロのアンケートをそのまま利用したメールもあった」(同)という。人の隙につけいる悪知恵にたけている。

 ただし盗んだアドレス帳の表記をそのまま使うため、差出人や署名がおかしな攻撃メールが散見されるという。例えば同社が観測した攻撃メールでは差出人や署名が「営業部 大久保さん」となっていた。明らかにおかしい。

 これはEmotetに感染した人がアドレス帳に「営業部 大久保さん」と登録し、それを盗んだ攻撃者がそのまま流用したためと思われる。機械的に攻撃メールを作成するため、そこまで気が回らなかったのであろう。岡本セキュリティエバンジェリストは「差出人や署名に違和感を覚えるメールを受け取ったらEmotet攻撃と疑ったほうがよい」とする。

差出人や署名がおかしなメールの例
(出所:トレンドマイクロ)
[画像のクリックで拡大表示]
 防ぐ手立てについて岡本セキュリティエバンジェリストは「マクロを有効にしないこと」と強調する。Emotetは攻撃メールに添付されたMicrosoft Officeファイルを開き、マクロを実行してしまうと感染するからだ。マクロを実行しなければ感染はしない。情報システム部門やセキュリティー部門は従業員に安易に添付ファイルを開かないことやマクロを有効にしないことを改めて周知徹底したい。』