エモテットに注意!セキュリティソフトで検知されない巧妙なマルウェア
Emotet(エモテット)というマルウェアをご存知でしょうか?日本でも去年から今年にかけて被害が報告されているマルウェアです。
お客様の会社からマルウェア感染しているかもという相談を受け、確認したところボットネットから送信されたEmotetのメールだと判明しました。 ※そのメールを受信し開きましたがマルウェアEmotetに感染することはまぬがれていました。
Emotetはとても巧妙なマルウェアで、そして感染すると非常に厄介。またその後別の企業がこのEmotetに感染したというニュースも見かけています。
Emotetの感染させるとても巧妙な手口、感染した場合の被害、感染した場合の相談窓口などについてお伝えします。
エモテットはとても巧妙で厄介なマルウェア
エモテットはメールの添付ファイルを開いて実行してしまうことで感染します。
そのコンサル先の会社A社では普段から、「怪しいメールは開かない」「添付ファイルはクリックしない」などマルウェアに感染しないよう注意されてメール運用をされていました。
エモテットはそのように意識高く持っている方たちでも、つい添付ファイルをクリックしてしまう、とても巧妙な手口なのです。
エモテットの巧妙な手口
①取引先からのメールに偽装する
メールの発信元が普段からやり取りしている取引先B社の従業員名となっていて偽装しています。
この取引先B社がエモテット(Emotet)に感染してしまっていて、エモテットにより、その取引先B社から窃取した連絡先にマルウェア付きメールをボットネットから取引先B社からのように偽装してメール送信されたようです。
②偽装メールの体裁が巧妙
メール本文に「○○様」と受取人の名前が入っており、かつ、取引先との間で使われる「業界用語」が比較的自然な文言で入っています。
また文末にはその取引先従業員の名前と正しいメールアドレスが記載されています。
メールのタイトルは「RE:受取人の名前および会社名」
※メールタイトルや本文は他にも様々なバリエーションがあるようです。
③セキュリティソフトが検知できずスルー
メール受信時にセキュリティソフトで検知されませんでした。また、事後にウィルススキャンを行いましたがやはり検知されなかったそうです。
エモテットに仕込まれているマルウェアはマクロウィルスですが、マクロウィルスはセキュリティソフトで検知されにくいものだそうです。
参考
日経テック:マクロウイルスは対策ソフトをどうしてすり抜けるのか、自作マクロで検出率を調査
④エクセルファイルが添付
※ワードファイルなどいろいろなパターンあり
本文に「確認ください」と書かれていてエクセルファイルが添付されています。それをダブルクリックして開いてしまったそうです。
ただそのファイルを開いてしまいましたが、エクセル上でマクロ実行許可の確認機能が働いて、マクロウィルスが実行される前にそのファイルを閉じられたようで、エモテットに感染しないで済みました。
このA社では他の従業員にもB社からのメール(B社の複数の従業員名)として偽装したマルウェアが添付されたメールが届いていました。
エモテットに感染するとどうなる?
情報を盗み取られる
連絡先の名前とメールアドレスや、認証情報などが盗み取られて外部サーバー(感染しているボットネット)に送信されます。
ランサムウェアなどに感染する恐れ
エモテットはランサムウェアなどその他のマルウェア感染やサイバー攻撃のための侵入口として機能します。
社内ネットワーク内のその他の端末にエモテットが伝染する
得意先など社外にエモテットが添付されたメールがばらまかれる
今回B社から怪しいメールが届いているという問合せが多数B社に寄せられたそうです。コンサルしているA社もその一社です。
- ①B社の従業員のPCがエモテットに感染し、
- ②B社の取引先の名前とメールアドレスが盗み取られて外部サーバー(ボットネット)に送信され
- ③B社従業員を偽装したエモテットのメールが取引各社に送信された
下記のイラスト図がわかりやすいかと思います。
参考
JPSERT CC:マルウエア Emotet
の感染活動について
エモテットの検出・確認方法
一般のセキュリティソフトではエモテットの検知は難しいようです。
一般社団法人JPCERTコーディネーションセンターというところがエモテットを検出する感染チェックツール「EmoCheck(エモチェック)」を公開されています。
今回、このチェックツールをすべてのパソコンで実行し検知されないことを確認しました。
参考
サイバーセキュリティ.com:JPCERTがEmotet感染チェックツール「EmoCheck」をリリース
JPCERT CC:Emotet
の感染有無を確認するためにはどうすればよいですか?、
※エモテットに感染しているかどうかを検出するツールで、マルウェア・エモテットを駆除するものではありません。
エモテットに感染した場合の相談窓口
社内にシステムやセキュリティの専門家がいない場合は下記に相談されるとよいかもしれません。
IPA(独立行政法人情報処理推進機構)
経済産業省が所管する日本のIT国家戦略を技術面・人材面から支えるために設立された独立行政法人です。
「情報セキュリティ安心相談窓口」が設けられていて、IPAが国民に向けて開設している、一般的な情報セキュリティ(主にウイルスや不正アクセス)に関する技術的な相談に対してアドバイスを提供する窓口です。
エモテットが復活
一時期猛威をふるっていたエモテットですが昨年国際的な捜査などにより制圧されたと言われていました。が、日本国内でも2021年11月から感染が報告されています。クライアントA社でのインシデントは2022年1月末のことで、その後も複数の企業や組織がエモテットに感染したという報道がされています。
参考になれば幸いです。
ホームページでお困りならAMSにお任せください。
- 制作会社の選び方がわからない。
- どの制作会社も費用が高額で手が付けられない。
- 今のホームページが簡単に更新できなくて困っている。
などホームページでお困りではありませんか?
弊社AMSでは効果のある高品質なホームページを格安で制作いたします。
まずは料金やプラン内容、制作実績などを下記の画像をクリックしてご覧ください。
