「Emotet」テイクダウンから復活 ~ 動向やテイクダウン前との違いは
こちらのnoteは、セキュリティ専門家松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」11月29日の放送内容を一部抜粋しご紹介します
今回のトピック!
・ニュース解説
・なぜ「新種のマルウェアの発見」ではなく「終息されたものの再開」なのか
・復活したEmotetへの対策は一般的なマルウェア対策と同様
ニュース解説
今年の年初に停止措置がされたマルウェアのEmotetが活動を再開させたということです。マルウェアの内容は過去と大きく変わっていないということなので、改めてEmotetをおさらいして対策について説明します。
11月中旬からEmotetを拡散させるメールやマルウェアの検体、マルウェアをコントロールするC&Cサーバなどの活動再開が確認されています。C&Cサーバとはコマンド&コントロールサーバの略で、マルウェアに感染した端末に対して、遠隔から指示を出して操作するために使用されるサーバです。端末がどのような環境にあっても操作できるように、指示の内容はWebやDNSなど一般的な通信に隠されて行われています。
活動を再開したEmotetの拡散手法は以前と同様で、WordもしくはExcelのマクロ機能を悪用して、ファイルを開いた端末にEmotet本体がダウンロードされ実行されます。Emotetの対策としては、一般的なマルウェア対策と同様となりますので、詳細は後半の項で説明します。
なぜ「新種のマルウェアの発見」ではなく「終息されたものの再開」なのか
今回のマルウェアがEmotetであると断定したことは、マルウェアのふるまいから判断したと考えられます。そして、Emotetが過去に残した実績や歴史が、Emotetの拡散に攻撃者がこだわる意図であると推測されます。
Emotetに感染する過程を改めておさらいすると、最初のきっかけは「暗号化ZIPを含むメールの添付ファイル」か「メール本文や添付ファイル内のURLからダウンロード」の2パターンに分けられます。いずれの場合も、端末内に展開されたWordやExcelのマクロ機能を悪用して、Emotet本体がダウンロードされ実行されます。そして、以前のEmotetが猛威を振るった原因の一つである「以前に送信したメールの返信メール」に添付されることも確認されています。
また、欧米各国の組織が連携することにより、今年の年初にEmotetの攻撃基盤は停止されました。Emotetが活動を再開するにあたり、別のマルウェアであるTrickbotからEmotetがダウンロードされていることが確認されています。Trickbotは以前、Emotetがダウンロードする側のマルウェアでしたが、今回は逆パターンでEmotetの活動再開を助けたことになります。つまり、各国が連携することで停止に追い込まれたマルウェアが、攻撃者が連携することで活動を再開したことになります。皮肉な話ですが、セキュリティが鼬ごっこと言われる要因の一つです。
その他のトピック
復活したEmotetへの対策は一般的なマルウェア対策と同様
Emotetの対策は、一般的なマルウェア対策と同様となります。すでにご存じの方もいらっしゃると思いますが、これを機に改めておさらいしましょう。(全文はこちら)