Emotetテイクダウンの流れからみる、その傾向と対策
こちらのnoteは、セキュリティ専門家松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」3月25日の放送内容を一部抜粋しご紹介します
・今回の解説ニュース
・Emotetが感染後に取る挙動について
・過去に行われたEmotetテイクダウンの流れ
今回の解説ニュース
マルウェアのEmotetが引き続き猛威を振るっており、被害にあった各法人から注意喚起が行われています。過去に何度も注意喚起を行っているEmotetですが、その感染を広げる環境や対策について、過去の歴史も振り返りながら説明します。
Emotetの感染拡大が止まらず、被害者から報告と注意喚起が行われています。発表されている内容としては、メールの先頭に記載されている「送信者の氏名」と「メールアドレス」が一致していないこと、メール添付されているファイルの解凍パスワードがメール本文に記載されていること、WordやExcel等が添付されており、本文中に「コンテンツの有効化」ボタンをクリックするようにと指示があること、メール本文に意味のある内容がほぼ無く、添付ファイルを開封するよう誘っていること、あるいは過去に実際にやり取りされたメールの文章がそのまま貼り付けられていること、メール本文中にURLが記載されており、リンク先にPDF文書ファイルがあるように見えること、などが挙げられています。
Emotetが感染後に取る挙動について
現在のところ、Emotetの感染源はMicrosoft OfficeがインストールされたWindowsが対象とされていますが、今後はその範囲が広がる可能性もあります。
Emotetは主にメールの添付ファイルで、パスワード付きZIPに圧縮された状態で送信されてきます。メール本文に書かれているパスワードで展開されたWordやExcelのファイルを開いて、マクロが実行されることで感染を広げていきます。
Emotetが感染後に取る挙動について、もう少し細かく踏み込んで説明します。Emotetは感染した端末に、インターネットから別のマルウェアをダウンロードしようと試みます。このダウンロードされるマルウェアは常に更新することが可能であるため、別の脆弱性を突くようなツールや、場合によってはWindows以外のシステムを攻撃するマルウェアもダウンロードされる可能性があることになります。すでに、感染した組織内のメールサーバを乗っ取ってメールを配信するEmotetも確認されていますので、油断は禁物です。
Emotetの対策としては、一般的なマルウェア対策である、怪しいメールや添付ファイルは開かないこと、OSやソフトウェア、セキュリティ対策を最新バージョンへアップデートすることに加え、マクロ実行の無効化やパスワード付きZIPの拒否など、業務への影響も許容しながら強いセキュリティ対策を実施することが求められる状況であると言うことができます。
その他のトピック
過去に行われたEmotetテイクダウンの流れ(全文はこちら)