情報セキュリティ白書 ダントツ人気コンテンツの「国内のセキュリティインシデント」 その7　Emotet（エモテット）のばらまき型メール ➁

　前回に続いて、Emotetのばらまき型メールについてです。今回はウイルスの巧妙さ、感染被害の影響などについて紹介します。

　もともと、Emotetはインターネットバンキングなどのサービスに使われている認証情報を窃取するために使われていたそうです。しかし、 現在では以下のような機能を持つモジュールをダウンロードさせるといわれています。

　　1) ネットワークを経由して別の端末へ感染を拡大
　　2) メールアカウント情報の窃取
　　3) Outlook のアドレス帳の窃取
　　4) Outlook のメールデータの窃取
　　5) ウェブブラウザに保存されたアカウント資格情報の窃取
　　6) Emotetのばらまき型メール送信

Emotetのばらまき型メールが2019年後半に流行した理由の１つには、上記2)-6)の機能による感染拡大が考えられます。2)-4)の機能によって感染者からメールに関する情報を窃取し、6)の機能を使い、Emotetに感染した端末を含むメール送信専用のボットネット※ から、新たに入手した宛先にEmotetのばらまき型メールを送りまくる、というサイクルを繰り返したのです。下図は感染拡大イメージです。

※プログラムを使い、乗っ取った多数のコンピュータで構成されるネットワークのこと

図3：Emotetの感染拡大のイメージ（白書P33）

　また、セキュリティベンダーによればEmotetは別のウイルスをダウンロードする機能を有しており、「TrickBot」と呼ばれるウイルスをダウンロードすることがあるといいます。この「TrickBot」はインターネットバンキングの情報を窃取するウイルスとして知られていますが、別の機能も持っています。機密性の高い情報を窃取したり、組織内のネットワークに感染を拡大し、サーバー等の情報を収集したりします。更に、「TrickBot」は収集した情報を基に標的とする資産を定め、「Ryuk」と呼ばれるランサムェアに感染させる可能性も指摘されています 。
海外の事例では、米国フロリダ州レイクシティ市で、同市のシステムに接続された端末がEmotetに感染し、さらには「Ryuk」がインストールされ、行政システムの全ファイルが暗号化された といいます。

このようにEmotetに感染すると、その後「TrickBot」さらには「Ryuk」に感染し、組織内のデータの窃取や暗号化等の被害が発生する可能性があります。Emotetへの感染被害がEmotetの感染拡大につながってしまうことや、別のウイルスに感染し、甚大な被害をもたらす可能性があることを十分に認識し、感染被害に遭わないように対策をとる必要があります。

■ Emotetに感染しないための対策
　ウイルスに感染させる確率を上げるため、新型コロナウイルスを題材とするなど、文面を時事にあわせて変え、様々な工夫を凝らし、手口を変化させながら攻撃を続けているEmotetのばらまき型メール。今後も手口が変化する可能性がありますが、対策は一般的なウイルス対策と同様です。ここでは組織・企業に求められる内容を記載します。

・ セキュリティソフトの導入
・ 不用意にメール文面や添付ファイル内の指示に従わない
・ OSやソフトウェアのバージョンを常に最新の状態に保つ
・ WordやExcelファイルを開いたときにマクロを有効化しない
・ 不審メールを受信した際の報告窓口の設置
・ 利用者の訓練と教育
・ 注意喚起情報の共有
・ 不審メールを確保する仕組みの確立
・ 特定のファイル形式の実行許可・禁止設定

■ Emotet に感染した後の対応　　　
　一般的なウイルス感染と同様の対処として、①感染端末のネットワークからの隔離、②セキュリティソフトによる組織内の全端末のフルスキャンなどが挙げられます。また、Emotetの場合、メール情報を窃取して新たなばらまき型メールを送り付けるため、関係者への注意喚起も必要であると、JPCERT/CC(ジェイピーサートシーシー)は説明しています 。

　次回は「標的型攻撃」 について取り上げます。

「情報セキュリティ白書2020」は以下のURLからご覧になれます。
https://www.ipa.go.jp/publish/wp-security/sec-2020.html