マルウェア「Emotet」の感染拡大の経緯
2021年1月に、世界各国の捜査機関の連携によってテイクダウン(壊滅)されたマルウェア「Emotet」だが、それから1年も経たない2021年11月に活動の再開が確認された。2022年2月からは活動が活発になり感染が拡大し、多くの企業で被害が発生している。この状況を受けて、情報処理推進機構(IPA)やJPCERTコーディネーションセンター(JPCERT/CC)、警視庁などが注意喚起を発表する事態となった。
-
Emotetに感染しメール送信に悪用される可能性のある.jpメールアドレス数の新規観測の推移(外部からの提供観測情報) 引用:JPCERT/CCのWebサイト
Emotetはメール経由の脅威の典型と言われており、Emotetメールの着信状況がそのままサイバー攻撃者の活動状況といえる。Vade Secure(以下、Vade)でもEmotetに感染させようとするメールを大量に確認しており、1日に100通以上の着信が確認されている企業もあることがわかっている。そのログをチェックすると、かなりの有名企業にも数多くのEmotetメールが着信していることがわかる。
-
アジアにおけるEmotetの急増を示すチャート:特に日本、インドに攻撃が集中していることがわかっている(Vade調べ)
Emotetには複数の特徴があり、非常に危険性の高いマルウェアである。Emotetはメールの添付ファイルやメール本文に記載されたURLリンクにアクセスすることで感染するケースが多い。しかし、感染により企業に侵入した後、サイバー攻撃者はさまざまなマルウェアを追加したり、サイバー攻撃を実施したりする。このため、さまざまな被害を受ける危険性がある。
例えば、ランサムウェアに感染させて業務に使用するファイルを暗号化して使えなくし、復号のために“身代金”を要求するケースがある。感染した企業は業務が停止してしまうため、大きな被害を受けることになる。この他にも、認証情報を窃取して重要な情報を盗み出したり、他者への攻撃の踏み台にしたりするのだ。
Emotetはまた、ソーシャルエンジニアリングに長けていることも大きな特徴である。Emotetのルーツはオンラインバンキングの認証情報を盗み出すバンキングマルウェアといわれているが、当時から件名や文面が巧妙で、だまされてしまうユーザーが少なくなかった。その巧妙さは、現在のEmotetにも受け継がれているのだ。
巧妙に感染を拡大するEmotet
通常、マルウェアメールは不自然な日本語が使われており、差出人や件名が意味不明の文字列になっているなど、人の目で見れば不正なメールであることが明らかだった。しかし、2020年に猛威をふるったEmotetは、感染したユーザーの環境からメール情報を盗み出し、ユーザーが過去にメールのやり取りをした相手に、やり取りしたメールの文面を使ってEmotet感染メールを送っていた。メールの差出人や文面に心当たりがあるため、だまされてしまうユーザーが多く、感染が拡大した。
このように、Emotetではまるで攻撃者がテーラーメイドしたような精巧な脅威メールが作り出される。身に覚えのある情報を含めて、人の心理をつくような手法をソーシャルエンジニアリングと表現することがある。
-
別の感染者のメール情報を悪用されたと考えられるEmotetメール 引用:JPCERT/CCのWebサイト
また、日本のビジネス習慣に合わせていることもEmotetの特徴だ。例えば、添付ファイルのファイル名が「2022-02-14_1033.zip」というようなものが観測されている。YYYYMMDDhhmm(西暦・月・日・時分)を連想させるファイル名だが、このような順番で表記するのは日本の特徴で、実際にこのようにファイル名を設定する企業も少なくないだろう。
さらにEmotetは、いわゆる「PPAP」を使ったメールも送信する。PPAPとは、「パスワード付きZip圧縮ファイルを送信し、後からパスワードをメールで送る、日本ならではのメール送信手法だ。Emotetもこの手法を採用しており、別送されたパスワードで添付ファイルを解凍するとWordやExcelファイルになる。これらのファイルにはマクロが設定されており、マクロを有効にする指示に従ってしまうとマクロが実行され、Emotetに感染することになる。
