【サイバー攻撃の最新事例】増加傾向のEmotet(エモテット)とは?注目されるEDR

サイバー攻撃の手法は日々進化しており、従来型のセキュリティ対策では検知できないケースも増えています。特に2020年はリモートワークの浸透などに後押しされる形で、Emotetに代表される新しいサイバー攻撃が増加しました。 ここでは2020年のサイバー攻撃事例から、これからの時代に必要となるセキュリティ対策について詳しく解説します。 

ランサムウェアや Emotet(エモテット)を始めとするサイバー攻撃が増加傾向

2020年は新型コロナウイルスの感染拡大に伴い、世界的にリモートワークの導入が急速に進むなど、ビジネス環境が大きく変化した年でした。 それに伴い、ランサムウェアやEmotetをはじめとするサイバー攻撃が増加し、さまざまな団体や企業が被害を受けました。 IPA(情報処理推進機構)では、2020年に発生したセキュリティ上の脅威を、社会的影響度などを考慮して投票される「10大脅威選考会」で、順位づけをしています。10大脅威選考会では、個人と組織それぞれに分けてランクづけをしており、結果は以下の通りです。

昨年順位個人順位組織組織の昨年順位
1位スマホ決済の不正利用1位ランサムウェアによる被害5位
7位ネット上の誹謗・中傷・デマ3位テレワーク等のニューノーマルな
働き方を狙った攻撃
NEW
3位クレジットカード情報の不正利用5位ビジネスメール詐欺による金銭被害3位
4位インターネットバンキングの不正利用6位内部不正による情報漏えい2位
10位インターネット上の
サービスからの個人情報の窃取
7位予期せぬIT基盤の
障害に伴う業務停止
6位
9位偽警告によるインターネット詐欺8位インターネット上の
サービスへの不正ログイン
16位
6位不正アプリによる
スマートフォン利用者への被害
9位不注意による情報漏えい等の被害7位
8位インターネット上の
サービスへの不正ログイン
10位脆弱性対策情報の
公開に伴う悪用増加
14位

 

参考:IPA「情報セキュリティ10大脅威 2021」より

 

個人に対するサイバー攻撃では、スマートフォンや電子決済サービスの普及により、スマホ決済アカウントに侵入され不正利用される被害が増加傾向にありました。 また、組織に対するサイバー攻撃では、ランサムウェアやフィッシングを特定の組織に対してのみ実施する「標的型攻撃」が増加し、その被害として社内の機密情報の窃盗が相次いで発生しました。 さらに企業に対してのサイバー攻撃では、リモートワークの世界的な普及に伴い、リモートデスクトップ(RDP)の脆弱性を突いたブルートフォース攻撃が顕著に増えた年でもありました。 下図の通り、2020年のブルートフォース攻撃による被害件数は、2019年に比べて約3.4倍に増加しました。ブルートフォース攻撃とは、総当たり攻撃とも呼ばれる暗号解読や認証情報取得の手法です。アカウントパスワードの文字列を変えて一文字ずつ入力し、特定するものです。 2020年は特にマルウェアやランサムウェアの被害が拡大した年ですが、その中でも最も注目されたのがEmotetというマルウェアです。 Emotetとはどのようなサイバー攻撃なのか、詳しく見ていきましょう。

Emotet(エモテット)とは

Emotetとは、2014年に初めて確認されたマルウェアに分類されるサイバー攻撃です。日本では2019年11月に一般社団法人JPCERTコーディネーションセンターが注意喚起を促し、その知名度を大きく高めました。さらに、IPAの「情報セキュリティ白書2020」でも紹介されるほど、2020年の被害は顕著なものでした。 2021年1月には欧州刑事警察機構(Europol)が大規模な対策を行い、その対策が成功したことでEmotetの被害件数は減少傾向にありました。しかし、2021年11月に活動再開が確認されてから再び日本国内での感染が増加しています。

Emotet(エモテット)の攻撃手法とは?

Emotetは主にメールを経由して感染することがわかっています。Emotetは基本的にメールに添付されたファイルに仕込まれており、添付ファイルにはウイルスに感染させるマクロの実行を促す文面が記載されています。受信者がその文面に気づかずファイルをクリックすることで、マクロが起動しEmotetに感染するのが主な手法です。 さらに、メールの文面が巧妙なものが多い点もEmotetの特徴です。Emotetに感染したパソコンから窃盗したアカウント情報やビジネスメールの文面を不正に利用して、正規メールを装う攻撃手法が代表的な例として挙げられます。

なぜ被害が増大したのか?

日本国内では2019年から2020年にかけて、このような不正なメールが大量に送付される「ばらまき攻撃」が多発したことで、被害が増加しました。Emotetの被害が増加には、いくつかの要因が考えられます。詳しく見ていきましょう。

不正なコードがなく検知が難しい

Emotetはマクロや添付ファイル、URLなど一般的にビジネスでも利用されている正規の機能を利用してウイルスを感染させます。そのため、一般的なマルウェアに利用される不正なコードがなく、通常のセキュリティ対策ソフトでは検知が難しい傾向にあります。現在では検知できるツールも登場していますが、Emotetの亜種が登場した場合はそれらの検知ツールも機能しない危険があります。

巧妙な件名などの偽装

被害が拡大した理由に、送られるメールの内容が非常に巧妙な点も挙げられます。 特に、ビジネスメールを真似たものには件名に「Re:」などが記載されているものもあります。このような場合では、実際のビジネスメールと同様の件名のため、普段のやりとりに割り込む形で不正メールが表示されるため、本物のビジネスメールとの見分けが難しいでしょう。

UIで疑うことが難しい

Emotetによる攻撃で利用されるメール文面も、件名と同様に目視確認では疑うことが難しいものが増えています。 以下はIPAが2022年2月の発表で記載した、メール文面例です。 引用:IPA「Emotet(エモテット)」と呼ばれるウイルスへの感染を狙うメールについて」より このメールでは、請求書の修正に関する依頼内容が自然な文章で記載されており、添付ファイルの開封を促しています。このようなメールが正しい宛先や実際の取引先名で届くこともあり、目視で疑うことが難しいケースが増えています。

エンドポイント対策で注目されるEDR

Emotetへの対策として、端末内で不審な挙動があった際の検知およびブロックする仕組みが構築される、EDRも同時に注目が集まりました。 EDR(Endpoint Detection and Response)とは、監視対象に設定したネットワークに接続されている、パソコンやスマートフォンなどの端末の操作情報を監視し、不審な挙動を検知するシステムです。 近年注目を集めているエンドポイントセキュリティの一種で、ネットワークに接続されている端末は、どのような状況もサイバー攻撃を受ける可能性があることを念頭においた対策です。 EDRは従来のセキュリティシステムをすり抜けたEmotet攻撃を、最小限に抑える手段として機能します。

EPPとの違い

EDRと似た機能にEPPがあります。EPP(Endpoint Protection Platform)とは、監視対象としたネットワークに接続されている端末がマルウェアに感染しないことを目的としたセキュリティツールの総称です。従来型のセキュリティソフトのほとんどはEPPに分類されます。 EDRは先述した通り、サイバー攻撃による被害を最小限に止める目的で機能するため、未然に防ぐことを目的としたEPPとは機能や目的が異なります。そのため、昨今のサイバー攻撃には、EDRとEPPを併用して用いることが有効です。

境界防御モデルに限界、ゼロトラストセキュリティが主流に

Emotetは前述の通り、受信者が不正なメールだと判断ができずに添付ファイルを開封し、マクロを起動させることで感染します。このように、内部の操作によりサイバー攻撃の被害に遭うケースが増加したことで、従来型のセキュリティモデルである「境界防御モデル」だけでは脅威を防ぐことが難しい状況です。 そこで注目されているのが、ゼロトラストモデルと呼ばれるセキュリティの考え方です。詳しく見ていきましょう。

ゼロトラストモデルとは

ゼロトラストモデルとは、社内外に関わらず全てのアクセスを信頼しないことを前提にセキュリティ対策を行う考え方です。 従来の強化防御モデルでは、例えば社外からモバイルデバイスを使って社内システムにアクセスする場合、VPN接続に必要なIDとパスワードの認証のみがセキュリティポイントでした。一方ゼロトラストモデルの場合、IDとパスワードの認証以外に以下の点にも注意が払われます。

  • アクセスしたデバイスが社内で承認されているものか
  • デバイスに最新のセキュリティ対策ソフトがインストールされているか
  • デバイスがすでにマルウェアに感染していないか
  • デバイスが海外などからのアクセスではないか
  • 利用しているクラウドサービスに脆弱性がないか
  • 不審な挙動をしていないか

これらのセキュリティポイントを追加することで、正規のアカウントが窃盗された場合などでも検知しやすくなり、サイバー攻撃への防御力が高まります。

メリットとデメリットを解説

ゼロトラストモデルは、従来型の境界防御型モデルよりもシステムへアクセスするための認証や監視が厳重になるため、安全性が高まる点が大きなメリットです。近年のリモートワークの普及に伴い、他拠点から社内システムにアクセスする場合などには特に有効です。 一方で、セキュリティが強化されることにより、リアルタイムでアクセスを監視するなどの負担が増える点はデメリットと言えるでしょう。また、監視ポイントが増えることで、たとえ正しいユーザーが利用していた場合でも不正な挙動として検知・制御される機会が増え、社内全体として運用の手間が増えることも懸念点です。

(まとめ)巧妙な手口により脅威への対策は新たなステージへ

サイバー攻撃の手法は日々巧妙化しており、それらの脅威への対策も常にアップデートしていく必要があります。近年注目されているEmotetに代表されるように、外部からの侵入だけではなく、社内のスタッフが不正なデータを起動させてしまうケースも増えています。これらのサイバー攻撃に対応するためには、従来の境界防御型モデルではなく、ゼロトラストモデルの採用やEDRの導入などが求められるでしょう。