United States Computer Emergency Readiness Team (US-CERT)は1月22日(米国時間)、「Increased Emotet Malware Activity|CISA」において、Emotetマルウェアによる標的型攻撃が増加していると伝えた。
Emotetは他のマルウェアのダウンローダーまたはドロッパーとして機能することが可能な洗練されたトロイの木馬。主に電子メールに添付する形で最初の感染を試み、ネットワーク内部ではユーザー情報をブルートフォース攻撃で取得し、共有ドライブに書き込みを行うことで増殖を試みる。
このようにEmotetが感染を拡大した場合、攻撃者はEmotetを経由して最終的に機密情報を窃取することに成功し、その結果、企業や組織は評判の低下や金銭的損失などを被る恐れがあるとされており注意が必要。
-
Increased Emotet Malware Activity|CISA
Emotetマルウェアに関しては、次のページにも関連する情報がまとまっている。
- Emotet Malware|CISA
- Advisory 2019-131a: Emotet malware campaign|Cyber.gov.au
- Protecting Against Malicious Code|CISA
US-CERTではEmotetマルウェアに感染しないプラクティスとして次の項目を取り上げている。
- 一般的にマルウェアに関連付けられることが多い電子メールの添付ファイル(.dllや.exeなど)をブロックする
- .zipファイルといったスキャンできない電子メールの添付ファイルをブロックする
- グループポリシーオブジェクトおよびファイアウォールルールを実装する
- ウィルス対策プログラムおよびパッチ管理プロセスを利用する
- メールゲートウェイでフィルタを実装し、ファイアウォールで不審なIPアドレスをブロックする
- 特権は最小限になるように設定および運用する
- ドメインベースのメッセージ認証、レポート、適合性検証システムを実装する
- ネットワークと機能をセグメント化および分離する
- 不必要な横方向の通信を制限する
Emotetは世界中で活動が活発化しており注意が必要。Emotetの活動が収束する強い理由は見つかっておらず、今後も攻撃に悪用される可能性が高いと見られる。
