【最怖マルウェア】Emotetがパワーアップして再流行中

こんにちは。アイシーティーリンクの吉野です。
マルウェアとして悪名高い「Emotet」ですが、しばらく沈静化していたのに冬眠から覚めるように活動し始めました。しかもパワーアップして。

Emotetと聞くと「あぁ、ウイルス付なりすましメールを無差別にバラまくヤツですね」と言われる事がありますが、それはあくまでも表の顔。Emotet本体は他のマルウェアを感染させる為のプラットフォームなのです。Emotetに感染してしまうと外部との通信が自由に出来るようになり、様々な別のマルウェアを送り込んだり活動出来る様になってしまいます。当たり前ですが外から攻撃（穴あけ）などすれば一瞬で対策されてしまいますので、警備が弱い内側から外に穴を空ける様に攻めるのが攻撃のセオリーです。

穴さえ空いちゃえばこっちのものです

Emotetに感染してしまうと、感染したPCの過去メールやアドレス帳から連絡先をランダムに抜き出し、それらをFromとToに設定して今度は自分が外に向けてばら撒き始めます。Fromが自分ではないのでなりすましメールとなり、攻撃者がわかりにくくなるのが特徴です。言い換えると取引先の全く関係のない人のメールアドレスを騙ってマルウェアをバラまく事になり、非常に迷惑な事となります。最初は被害者なのですが、感染すると攻撃者となる姿はゾンビに噛まれるとゾンビ化して他人を噛み始める様子によく似ています。

噛まれたら最後です

過去にお客様とやり取りしたメールなどからアドレスを無差別に抜き出し、しかもそのメールの内容の一部を引用してメール本文を自動生成するなど、受信者の気を引く為に様々な工夫を凝らしています。面倒なやつです。

無差別メール送信が止まったからと安心出来る訳ではなく、前出の通りEmotetに感染すると外部のサーバーと密かに通信を開始して検出できないような新しいマルウェアを送り込んで来ます。時には外部のサーバーから攻撃の指示を受けて他者を攻撃する踏み台にもなります。非常に厄介ですね。

それを黙って対策しない訳にもいかないので、情報システム部門などはこのEmotet対策を色々と打ち出しています。メールサーバーでの検疫を強化し、ZIPで固めた物でもちゃんと解凍して中身を精査する様にするとかです。攻撃者はこれに負けない様にZIPファイルにパスワードを掛けて検疫をすり抜けるよう対抗したりしていますが、パスワードが付いてると解凍面倒なので開封率が落ちるんですよね。とにかく騙し合い、イタチごっこです。とうとう疲れ果てた情報システム部門は、添付ファイルのあるメールは全部受信拒否するとかの強硬手段を取る会社も現れました。

このパスワード付きZIPは検疫をすり抜けられるものの、開封率が下がるので攻撃には適さないと感じた攻撃者が新たに考え出した攻撃が新Emotetです。これは3月7日から活動が観測され、9日にIPAからも注意喚起が出ています。
簡単に言うと「パスワード付ZIPはやめ、解凍するとサイズが巨大になるZIPファイルを添付する」という方法です。

メールの検疫はZIPファイルも一旦解凍して中身を検査するのですが、ファイルサイズが巨大である場合は解凍せずにスルーするという動作の盲点を突いています。ZIPで圧縮した物は数百KBなのですが、解凍すると膨らんで500MBを超えるサイズになるという仕組みです。これによりメールサーバーは検疫を諦めてメールを素通ししてしまいます。そうやって着信・開封率を上げるという狙いです。ほんとズル賢いですね・・・。

IPAのサイトより

とにかく、メール受信者が出来る最大の防御としては「不審な添付ファイルは開かない」事ですので、しっかりと情報を入手して新たな攻撃手法にも対応できる基礎IT能力を身につけて欲しいと思います。

どんなに添付メールの受信を禁止しても、今度はメール本文にリンクが仕込まれたメールが届くようになります。添付ではなくリンクをクリックさせてマルウェアを自分でダウンロードさせちゃう方法です。もうこうなるとただのメール本文ですので防ぎようがありません。うっかりリンクをクリックしてしまっても、そのサイトにアクセスしようとする挙動を検知してブロックする「出口対策」が必要となります。このお話はまた今度で。

新Emotet、本当に厄介なやつです。みなさん、お気をつけください！

それではまた。