迫真情報セキュリティ部～Emotetの裏技～

この記事は、名古屋文理大学ゆるゆるカレンダー用です。

NBUゆるゆるかれんだー Advent Calendar 2019 - Adventar

Emotetについて

　Emotetは、この記事執筆日（12月04日）の2日前にIPA（情報処理推進機構）のセキュリティセンターから「Emotetと呼ばれるウイルスへの感染を狙うメールについて」という記事が出たほか、朝のニュースでも報道しているところがあるほどに話題となっているコンピュータウイルスです。　　　「Emotet」とは、どのようなウイルスなのか、簡単に説明していきたいと思います。

　そもそもコンピュータウイルスとは？という方は、同アドベントカレンダー用に作成した下記の記事をご覧ください。

コンピュータウイルスについて : アドベントカレンダー用

　「Emotet」とは、マルウェアのプラットフォームともいえるマルウェアです。Emotetは、単体で感染することがほとんどなく、トロイの木馬や身代金を要求するランサムウェアと一緒に感染することが多いマルウェアです。つまり、Emotetに感染するということは、あらゆるマルウェアに感染するリスクを含むことになります。

Emotetの感染経路

図1 参照:JPCERT コンディションセンター　https://www.jpcert.or.jp/at/2019/at190044.html

 図1は、JPCERTコンディションセンターから参照したEmotet感染につながる添付ファイル付きのメールの例です。主な感染経路として、ソーシャルエンジニアリングや標的型攻撃を狙ったメールも確認されていて、wordやExcelのマクロなどから感染する場合が多いです。

影響

 Emotetのに感染した場合、下記の影響が発生する可能性があります。（JPCERTCC参照)

・端末やブラウザに保存されたパスワード等の認証情報が窃取される

・窃取されたパスワードを悪用されSMBによりネットワーク内に感染が広がる（端末に保存されているメールアドレスなどに感染メールを送信する）

・メールアカウントとパスワードが窃取される

・メール本文とアドレス帳の情報が窃取される

・窃取されたメールアカウントや本文などが悪用され、Emotetの感染を広げるメールが送信される

これらの影響から、アドレス帳の情報やメール本文の情報を盗まれることにより、実際に送ったメールのReメールを送られ、さらに被害が拡大する場合があります。

感染しないために

　感染しないためには、

・組織内への注意喚起の実施を徹底する。

ソーシャルエンジニアリングを狙ったメールが多いため、例え、見知った人物からのメールであろうと、むやみに開くべきではないと徹底すべきです。

・Wordマクロの自動実行の無効化

このマルウェアはマクロから感染するので、自動実行は大変危険です。

・OSに定期的にパッチを適用

SMBの脆弱性をついた感染拡大を防ぐための対策です。