2022年3月 9日 15:10

他人事ではありません「マルウェアEmotetの感染再拡大の脅威」

2022_emotet_01.jpg

昨年末ごろから活動の再開が報告されていたマルウェア Emotet(エモテット)が、特に20222月以降、国内でも多くの企業において被害が急増しています。KDLにもEmotetが関わると考えられるインシデントに関するお問い合わせを多くいただいており、状況の深刻さを肌で感じています。

そこで、KDLのセキュリティチームより、改めて対策と対応に関する情報を共有いたします。長引くコロナ禍や世界情勢の影響に追い打ちをかけられないよう、今一度、セキュリティ対策を見直し、社員への周知の徹底をお願いします。

Emotet感染の再拡大

Emotetは、主にメールでの添付ファイルを介してPCに侵入するマルウェア(悪質なソフトウェア)です。2021年1月ごろに国際的な殲滅作戦によって活動が停滞していましたが、2021年末ごろから再び活動が増加してきていることが報告されており、2022年2月10日以降、一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)から「Emotet」の感染の拡大に関する注意喚起が発表されています。

◎マルウェアEmotetの感染再拡大に関する注意喚起(一般社団法人 JPCERT コーディネーションセンター)
※ 更新されますので定期的にチェックしてください

2022年現在のEmotetの特徴に関する当社の観察と、対応の概要を示します。

  1. マクロ付きのExcelファイルに加え、最近では暗号化zip形式のファイルを使っている例が多くなっています。zipファイルは暗号化されているため、メールシステムのセキュリティチェックをすり抜けてユーザーが受信してしまう可能性があります。
    この暗号化zip形式でのファイルのやりとりを避け、機密性の高い情報のやりとりは「ファイル共有サービス」や「ファイル転送サービス」などを代替手段を検討することを強くお勧めします
  2. 侵入者が感染させたPCを用いて、過去にメールのやりとりがあった相手に対し、感染を拡大するためのメールを社内外問わず送信している事例が観測されています
    これは、感染の懸念が生じた時点で、できるだけ速やかにネットワークから切り離すべきことを示しています。
  3. Emotetが送信したメールを受信した場合、送信者のメールアドレスの信憑性が非常に高い状態でメールが送られてきます。正当なルートで悪意のあるメールが送られてくるため、SPFやDKIMなどのチェックをパスし、スパムフィルタも回避できることも多くあります。これはつまり、従来のメールアドレスのチェックによる見分け方が通用しないということです。添付ファイル全般を疑い、送信者に電話で確認するなどメール以外でのコミュニケーションをとることも対策となります。
    ※SPF(Sender Policy Framework)・・・送信元のドメインが詐称されていないかを検査するための仕組みのこと
    ※DKIM(DomainKeys Identified Mail)・・・電子署名方式による送信ドメイン認証の仕組みのこと
  4. メール本文も、請求や受発注、サポート、ワクチン接種関連、企業の活動や行政の制度に関係するような緊急性の高い話題が用いられるなど、巧妙な内容が観測されています。従来のような、見分ける力を強化することには限界があります。社員からの報告や相談をを受け取り、警戒情報を共有できるように、社内コミュニケーションを強化してください。
  5. レンタルサーバなど安価で便利なサービスをお使いの場合には特に注意が必要です。メールの検疫や防御の仕組みが弱いために被害を受けやすい状況になっている可能性があります。Microsoft 365や、Google Workspaceなど、受信メールの検疫や保護の機能が強固なプラットフォームへの切り替えをお勧めします。

上記は、当社の過去のEmotet関連ブログの内容から更新された情報です。

◎【緊急対談】いまさら聞けないITシリーズ第二回:マルウェアEmotetの脅威
◎開いて大丈夫?標的型攻撃メールの見分け方と対応方法を徹底解説!

会社として事前にすべき対策は?

2022_emotet_02.jpg

本件に関するJPCERTコーディネーションセンターのお知らせは、同じウェブページで随時追加されていますので、最新の更新情報を確認するようにしてください。

その上で、組織として以下の基本的な対策を確認して実施してください。これらは、 Emotetだけではなく、他のマルウェアに対しても重要な対策になります。

  • 組織内への注意喚起の実施
  • Officeファイルのマクロの自動実行の無効化(Officeソフトの[オプション]-[トラストセンター]の[マクロの設定]で「警告を表示してすべてのマクロを無効にする」を選択しておく)
  • メールセキュリティ製品の導入によるマルウェア付きメールの検知
  • メールの監査ログの有効化
  • OSに定期的にパッチを適用(SMBの脆弱性を突く感染拡大に対する対策)
    ※SMB・・・Windowsのネットワークで利用されるマイクロソフト独自の通信プロトコル
  • 定期的なオフラインバックアップの取得(標的型ランサムウエア攻撃に対する対策)

マルウエア Emotet の感染に関する注意喚起 IV.対策 一般社団法人 JPCERT コーディネーションセンター

重要なのはこれらの事前の対策を徹底することです。急いでください。社内の体制、ならびに社外の相談先(当社のようなサイバーセキュリティ対応企業)を活用し、徹底してください。感染が疑われた際に早めに相談や連絡を上げることができる体制づくりも重要です。緊急連絡先の周知と共に、攻撃メールの訓練を実施する際、連絡や相談のスピードを上げることを目標とすることは有効な手段です。

感染した場合の対応は?

Emotet には、端末からの情報窃取、データの破壊活動、侵入したネットワーク内で攻撃や感染を拡大する横展開の活動、そして社内外への感染拡大の活動があることが知られています。Emotet に感染した端末は、一度感染するとリモートから別の攻撃的なツールを自らダウンロードし、ランサムウエア感染などの被害に繋がることもあります。

また、これは感染を広げるメールが配信される恐れがあるため、取引先や顧客を直接的に危険にさらすことになります。感染した端末のメール本文を利用したメールは見分けるのが困難です。さらに、感染を広げるメールの配信元として攻撃者に利用され、外部に大量の不審メールを送信することになります。

感染の懸念が生じた場合、初動対応として当該PCを、有線LAN・無線LANを問わず、すべてのネットワークからもれなく遮断することを徹底してください。遮断する方法を周知することが必要な場合もあるでしょう。その上で調査を行うことができます。

Emotet の感染を確認した場合は次のように対処してください。

  • 感染端末の隔離、証拠保全、および被害範囲の調査
  • 感染した端末が利用していたメールアカウントなどのパスワード変更
  • 感染端末が接続していた組織内ネットワーク内の全端末の調査
  • ネットワークトラフィックログの監視
  • 他のマルウェアの感染有無の確認
  • 被害を受ける (攻撃者に窃取されたメールアドレス) 可能性のある関係者への注意喚起
  • 感染した端末の初期化

マルウエアEmotetへの対応FAQ(一般社団法人 JPCERT コーディネーションセンター)「4. Emotet の感染を確認した場合どのように対処すればよいですか? 」)

調査できる状態になった段階で、Emotet感染有無を調べることができるツール「Emocheck」を使うことも有効でしょう。GitHubのJPCERT/CCページからダウンロードできます。

◎Emotet 感染有無確認ツール EmoCheck(一般社団法人 JPCERT コーディネーションセンター)

以下もご参照のうえ、対処してください。

◎マルウエアEmotetへの対応FAQ(一般社団法人 JPCERT コーディネーションセンター)

KDLのセキュリティサービス

なお、KDLではEmotetのようなマルウェア対策として以下のサービスを提供しています。
セキュリティ対策強化の一助にぜひご活用ください。

セキュリティインシデントが発生した場合の調査またはその事前契約

  • デジタルフォレンジック調査
    サーバー・PC・USB端末など様々な電子機器を対象にデジタルフォレンジックの調査を行いマルウェア感染や情報漏洩など、お客様のニーズに合わせて調査・解析します。
  • デジタルフォレンジック事前契約
    セキュリティインシデントが発生した場合、システム構成や影響範囲の把握、調査員の稼働確保が事前にできているので、より早急な調査報告が可能となります。

セキュリティ教育サービス

  • セキュリティアドバイザリーサービス
    セキュリティインシデントが発生していない平時の情報セキュリティについて、「ちょっと困った、相談したい」時のために、すぐに聞ける人をそばにおくことができるサービスです。
  • SaaS型標的型メール訓練サービス「Selphish(セルフィッシュ)」
    自社で実施していただける標的型攻撃メール訓練ASPサービスです。無料のお試し利用もご用意しています。また、契約社には付帯保険サービス(会社規模によって保険加入ができない場合もあります)があるのもいざというときに安心です。
  • マニュアル型標的型メール訓練サービス
    KDLが契約社に対して実施する標的型攻撃メール訓練サービスです。標的型メールを理解し意識啓発するために、実際同様の標的型メールを受信し疑似体験していただきます。

資料請求・見積依頼・お問い合わせはこちらのフォームよりご依頼ください。

Selphishのお問い合わせはこちらから

本件に関するお問い合わせ

お問い合わせフォームより、お気軽にお問い合わせください。

ページの先頭に戻る