これまでで最も悪質と言われるEmotet(エモテット)というトロイの木馬型のマルウェアが大きな問題になりました。世界8か国の捜査機関の約2年間におよぶ合同捜査の結果、2021年1月にテイクダウン(抑圧)されました。その模様はNHK特集で放送されました。この記事では、感染被害を拡大したEmotetの脅威や特徴と必要な対策について詳しく解説します。
目次
Emotet(エモテット)とは?
Emotet(エモテット)は、2014年に銀行の口座情報を盗む目的で登場したトロイの木馬型のマルウェアです。セキュリティソフトでの検出を回避し、悪意のある機能を強化する進化を続け、2019年以降、メールを主な感染ルートとして、感染被害が拡大しました。
- メールでの拡散:実在する人物や実際のやりとりのメールへの返信で侵入
- 認証情報の窃取:Webブラウザやメールに保存された認証情報を窃取
- モジュール化での機能追加:新しい機能を動的に拡張できる
- 他のマルウェアとの統合:TrickBotやQakBotなどのマルウェアと組み合わせることで、ランサムウェア攻撃や情報窃取など、攻撃の高度化
- 多機能性:他のマルウェアの拡散プラットフォームとして機能
- 自己拡散:SMB(Server Message Block)プロトコルによる、ネットワーク内で自己を拡散
関連資料:やさしく分かる!EMOTETの危険と自社を守る5つの対策
Emotetに感染すると
Emotetに感染すると、気がつかないうちに情報が盗まれたり、被害が拡大します。
- 情報窃取:感染したPCのWebブラウザやメールから認証情報や機密情報を入手します
- Emotetの拡散:自信のコードを埋め込んだWord、Excel、ショートカットリンク、パスワード付きZIPファイルなどをメールに添付し自動送信します
- ネットワーク内での拡散:SMB(Server Message Block)による脆弱性を利用しローカルネットワーク内で他のPCに拡散します
- データ損失:ランサムウェアが追加されデータが暗号化されたり消去されます
関連記事:メールによる情報漏洩の原因は誤送信とマルウェア感染だった!必要な対策を解説
Emotet 感染の主な被害事例
- 沖縄県病院事業局の職員を騙った不審メールに関するお詫びと注意喚起について
- 弊社を装った不審メールに関するご注意のお知らせ | HIS
- (注意喚起)理化学研究所の部署名や職員名を騙る不審メールについて | 理化学研究所
- 本学の教職員名を騙る不審メールにご注意ください【第3報】|SU News|札幌大学
- NTT西日本:マルウェア感染による情報流出に関するお詫び、 ならびに本件に伴い流出したデータを用いた不審メールに関する注意喚起について
Emotetの感染被害を防ぐにはメールでの複合的な対策が必要
主にメールで感染を拡大するEmotetは様々な種類のメールを送信します。Emotetが送信するメールの特徴を理解し、必要な対策を複合的に行うことが不可欠です。
Emotetメールの特徴
- 実在する人物からのメールにマクロが自動実行されるExcelファイルやWordファイルが添付されている
- パスワード付きZIPファイルを添付したメールが届く(PPAP)
- 新型コロナウイルスの感染被害報告
- 不正URLリンクをメール本文や添付ファイルに含む
- ショートカットファイル(拡張子.lnk)を添付したメール
Emotet 感染を狙うメールの受信防止
- なりすましメール対策:SFP、DKIM、DMARCなどのメール認証技術でなりすましメールを防止
- スパムメール対策:メール本文に不審な内容が含まれていないかチェックしスパムメールを防止
- 標的型攻撃メール対策:ビジネスメール詐欺の特徴を持つメールをスパム判定
- マルウェア対策:複数のエンジンによるマルウェア対策、サンドボックス
- 不正URLの確認対策:メール本文や添付ファイルのURL検査
- PPAPファイルの受信対応:受信したPPAPファイルをクラウドで解凍しマルウェア検査を実施
メール経由でのEmotet対策を実現するCloud Mail SECURITYSUITE
受信する全てのメールに対し、なりすましメールの受信防止、不正URLリンク付きのメール、パスワード付ZIPファイル、500MBのWordファイルが仕込まれているZIPファイル検知、Emotetの検出の複合的な対策が必要です。
Cloud Mail SECURITYSUITE(CMSS)のメール受信対策は次のとおりです。
- なりすまし対策:実在する組織や個人を装いマルウェア添付や不正なWebサイトへ誘導するメールの受信を防ぎます
- フィッシング対策:正規のサイトに似せて作られた詐欺目的のWebサイトへ誘導するメールを防ぎます
- スパム対策:受信者の許諾を得ずに一方的に送られてくるメールの受信を防ぎます
- マルウェア対策:メールの添付ファイル経由でのマルウェアを取り除きます
- PPAP受信対策:パスワード暗号化されたZIPファイルをクラウドで解凍しマルウェアが含まれていないか確認します
- サンドボックス:添付ファイルに未知のマルウェアが含まれていないかサンドボックス(砂場)で検証し防ぎます
CMSSは、Microsoft 365、Google Workspaceに対応しており、月額200円から低コストでEmotet 対策を含む必要なメールセキュリティをオールインワンで提供します。
参考資料:3分でわかる「Cloud Mail SECURITYSUITE」
Microsoft 365 におけるEmotet対策の課題
Microsoft 365 には、ウイルス対策、スパム対策を提供するExchange Online Protection(EOP)が含まれています。Defender for Office 365を追加することで、未知のファイル検査、メール本文のリンク検査、フィッシング詐欺対策を導入できます。しかし、サンドボックスの導入には、Microsoft 365 の上位プランの導入が必要です。また、受信したパスワード付きZIPファイルの検査には対応していません。
| ユーザー 月額料金 |
アンチウイルス アンチスパム |
未知の添付 ファイルの検査 |
メール本文のリンク、添付ファイルのリンクの検査 | フィッシング 詐欺対策 |
サンドボックス | |
| ExchangeOnline Protection (EOP) |
標準機能 | ✓ | ||||
| Defender for Office 365 プラン1 |
220円 | ✓ | ✓ | ✓ | ✓ | |
| Defender for Office 365 プラン2 |
630円 | ✓ | ✓ | ✓ | ✓ | |
| Microsoft 365 A5/E5/F5/G5 セキュリティ |
7,130円 (E5の場合) |
✓ | ✓ | ✓ | ✓ |
参考資料:「クラウドなら安全」は誤解、Microsoft 365やG Suiteのメールに潜むリスクとは
Microsoft 365 のEmotet 対策を月額200円から実現するCMSS
Cloud Mail SECURITYSUITE(CMSS)は、Microsoft 365やGoogle Workspaceに対応したEmotetの対策ソリューションです。Microsoft 365 連携設定、Google Workspace 連携設定で、Emotetの受信対策を導入できます。
参考資料
3社4製品のMicrosoft 365 メールセキュリティを統合したレオパレス21様
Microsoft 365 のメールセキュリティを3社4製品で対策していたレオパレス21様は、取引先からのPPAPファイルの受信禁止の通知をきっかけに、CMSSの導入による脱PPAPとメールセキュリティのクラウド化を推進しました。従来のメールセキュリティ対策をオールインワンで導入しコストを抑えながら運用負荷を軽減できました。詳しくは、レオパレス21様の導入事例をご覧ください。
断続的に続くEmotet(エモテット)の脅威への備え
Emotetは何度も活動停止と再開を繰り返してきました。直近では、2023年3月7日から活動が再開されたことを情報処理振興機構(IPA)が観測し、Microsoft OneNote形式のファイルを悪用した攻撃やZIPファイルを解凍すると500MBを超えるWordファイルが展開されるケースが報告されています。
Emotetは常に進化しています。エポックと呼ばれる個別のボットネット上で運用されているEmotetのボットネットでは、モジュールをアップデートする活動が見られています。Emotetによる新たな攻撃に対処できるように必要な対策の導入と冷静な対応が求められます。