- 2024.01.18
- サイバーセキュリティ
特に気をつけてほしいサイバー攻撃(Emotet)
セキュリティに課題を抱える企業を対象に独自のセキュリティサービスを提供されている、株式会社CISO 代表取締役 那須慎二様によるセキュリティコラム第8回。今回は、特に気をつけてほしいサイバー攻撃(Emotet)についてご説明いただきます。
前回は、サイバー攻撃の手法の中でもランサムウェアについてご紹介いただきましたが、今回は、メール添付型のマルウェアであるEmotetについてご紹介いただきます。
感染すると社内外問わず影響を及ぼしてしまう可能性があり、「最恐マルウェア」とも言われるEmotet。日常的なツールであるメールを介することから、全ての方が知っておいて損はない内容です。
「Emotetとは」、「感染すると起こる恐ろしいこと」、「進化が組み込まれた設計とサイバービジネスへの利用」等をセキュリティプロフェッショナルの視点でご紹介いただきます。
セキュリティコラムシリーズの第8回です。
前回の記事は以下よりご確認いただけます。
特に気をつけてほしいサイバー攻撃(Emotet)【セキュリティコラム第8回】
Emotetとは、その手法
特に気をつけてほしいサイバー攻撃として、Emotet(エモテット)も挙げておきましょう。
Emotetは、メール添付型のマルウェア。攻撃方法としては、メールにマイクロソフトのWordやExcel、パスワードつきZIPファイル(通称:PPAP)等を添付し、送られてきます。
メール受信者が添付ファイルをダウンロードし、WordやExcelに備わっているマクロを有効にした瞬間に、自動実行プログラムが起動。Emotetウイルスに感染する、という手法です。
上記以外にも、URLが貼り付けられているメールであったり、ショートカットファイル(.lnk)が添付されているメールであったりと、攻撃手法がいくつか存在します。
感染するとどうなるのか
感染すると、主にOutlook内に保存されているメールアドレスやメール本文、Outlookのアドレス帳等が窃取され、その窃取されたアドレス情報やメール本文を利用してメールがばら撒かれます。
実際に取引のあったメール本文を引用したり、取引先の名前でメールが届くため、「あ、取引先の佐藤さんからのメールだ」などと勘違いし、開封してしまうとメールアドレスやメール本文が窃取されてしまう、ということ延々と続くわけです。
2022年の11月頃から徐々に感染数を増やし、2023年3月に爆発的に感染者数を増やしました。現在(2024年1月時点)は沈静化していますが、休止と開始を繰り返す特徴もあるので、いつ再開してもおかしくありません。
Emotetは「最恐マルウェア」とも言われています。一体何がこわいのかというと、「進化」と「永続化」という2つの特徴を持つ点です。
進化と永続化
まずは「進化」について。
元々Emotetは、銀行のインターネット口座のログインIDとパスワードを盗み取る「不正送金」が目的で作られたバンキングマルウェアでした。お金を奪い取ることを目的としたマルウェアが発祥なのです。
端末内部に潜伏して、ウイルス対策ソフトを無効化したり、入力情報を盗み読んだり、ネットワーク上にある他のPCへの侵入をしたりと、一つの動作を行うのではなく、Emotetが自らを「進化」させるマルウェアとして設計されていたようです。
初めは、ウイルス対策ソフトが検知しないようなマクロプログラムやPowershellを用いたプログラムからスタートするのですが、そこからネット上に用意されている攻撃用プログラムを徐々にダウンロード。
できることを増やしていき、最終的には社内ネットワークにある端末を軒並み奪ったり、重要情報が入っているサーバを見つけ、そこからデータを盗み取る等を行います。一度でもEmotetに侵入されてしまったら、あとは攻撃者のさじ加減次第で、お好みの攻撃ができるきっかけを作ってしまう、ということです。
マルウェアの王
データを暗号化して身代金を要求するもよし、ネットワーク上からネットバンキング端末を見つけ出し、不正送金に利用するもよし、データを軒並み盗み取るのもよし。
「Emotetを開いてしまって、取引先にウイルスメールをばら撒いて迷惑かけてしまった」というのは、マルウェアを拡散するための表面的な手段に過ぎず、本質的には、攻撃者にとってどのような攻撃でもできるきっかけを作ってしまった、という点にあるのです。
ドイツの情報セキュリティ庁(BSI)の幹部は、Emotetを「マルウェアの王」と呼んでおり、ことの本質を的確に表していると言えるでしょう。
EmotetとMaaS
次に「永続化」について。
Emotetは一度でも侵入に成功した端末に対し、自らを隠しながらずっと居座り続けます。
実は、ここまで増えている背景には、Emotetがサイバービジネスとして活用されている点も見逃してはいけません。
「Malware-as-a-Service」という言葉をご存知でしょうか。
SalesForceやGoogle Workspaceのように、クラウド上で提供される課金型のサービスのことを「SaaS(サース)」と言いますが、Emotetは、マルウェアを使った課金型のサービスとして、それを利用したい犯罪者に「MaaS(マース)」という名のサービスとして提供・活用されています。
具体的には、他の攻撃者がEmotetを活用してハッキングしたPC端末へのアクセス権を購入できるのです。この場合、ビジネスとしてサービスを提供しているわけですから、「いかに感染した端末数を維持・拡大するか」という点が重要になります。
端末の「永続化」に成功すれば、購入を希望する犯罪者にアクセス権を売ることができるため、事業として立派に収益化ができます(これをIAB:イニシャル・アクセス・ブローカーとも言います)。サービスを購入した犯罪者は、先に申し上げた通り、身代金ウイルスとして暗号化した上で金銭を要求する等、やりたいことができます。
そのため、一度でもEmotetを踏んでしまったら、乗っ取られてしまったことを前提に、対策を打つ必要があります。
JPCERT/CCが「 マルウエアEmotetへの対応FAQ 」内において、感染を確認した際の対策として
「4-3.感染端末が接続していた組織内ネットワーク内の全端末の調査」を挙げているのは、そういう理由によります。
今回まで様々なサイバー攻撃の手法や特徴をご紹介してきました。ご参考にしていただければ幸いです。
次回以降は、セキュリティエンジニアに必須となる、ネットワークに関する基礎知識をご紹介いたします。
セキュリティコラムトピック一覧
本コラム連載の掲載トピック一覧は以下のとおりです。ぜひご期待ください。
<掲載済>
【第1回】どうなる?2023年以降のサイバー攻撃情勢予測
【第2回】DXの発展とセキュリティリスク
【第3回】Web3.0の発展とセキュリティリスク
【第4回】Chat GPTの利用に伴うセキュリティリスク
【第5回】攻撃者の侵⼊経路
【第6回】具体的な攻撃シナリオ
【第7回】特に気をつけてほしいサイバー攻撃(ランサムウェア)
【第8回】特に気をつけてほしいサイバー攻撃(Emotet)(今回)
<掲載予定>
【第9回】セキュリティエンジニアに必須となる「ネットワーク」基礎知識その1
【第10回】セキュリティエンジニアに必須となる「ネットワーク」基礎知識その2
※内容は変更の可能性がございます。
筆者紹介
那須 慎二(なす しんじ)
株式会社CISO 代表取締役
国内大手情報機器メーカーにてインフラ系SE経験後、国内大手経営コンサルティングファームにて中堅・中小企業を対象とした経営コンサルティング、サイバーセキュリティ・情報セキュリティ体制構築コンサルティングを行う。
2018年7月に株式会社CISO 代表取締役に就任。人の心根を良くすることで「セキュリティ」のことを考える必要のない世界の実現を目指し、長年の知見に基づく独自のセキュリティサービス(特許取得 特許第7360101号)を提供している。
業界団体、公的団体、大手通信メーカー、大手保険会社、金融(銀行・信金)、DX関連など業界問わず幅広く講演・執筆多数。近著に「知識ゼロでもだいじょうぶ withコロナ時代のためのセキュリティの新常識(ソシム)」あり。
