Yahoo!ニュース

Emotetが5ヶ月ぶりに活動を再開。日本でも感染端末からのメール送信が確認される。

大元隆志CISOアドバイザー
活動再開したEmotetが利用する新しいテンプレート。

日本国内でも猛威を奮ったマルウェアの「Emotet」が7月13日から活動を再開していたことが確認された。日本国内への攻撃も確認されており、国内でも週明けから被害が拡がる恐れがある。

Emotetは今年の2月以降活動を停止していたが、活動が確認されたのは5ヶ月ぶり。

既に世界中で活動が観測されており、日本も活動対象に含まれていることが確認されている。

■新しいテンプレートを利用

現在確認されている活動再開後のEmotetには、Wordのファイルが添付されており、このWordファイルのマクロを有効にすると、PowerShellが実行され、悪意のあるサイトに接続し、Emotetの実行可能ファイルがダウンロードされる。

このWordファイルは以下の内容となっており、昨年利用されていたテンプレートとは異なっている。

■Emotetに感染するとどうなるか?

Emotetに感染すると、C&Cサーバへ通信を行い、自身のEmotetのアップデートや、会社内の他のパソコンへの感染拡大行動や、様々な認証情報の盗難といった活動が行われる。Emotetの特徴的な動作としてメールの返信機能を利用してスパムメールを送信する「ラテラルフィッシング」を実行する。

 参考:企業を狙う「横方向」のサイバー攻撃。ラテラルフィッシングメール攻撃の脅威

ラテラルフィッシングとは、感染したパソコンの本人のメールアドレスから、関係者に対してメールが送信されるため、開封率が高くなるといった特性がある。また、正規のドメインとメールアドレスから送信されているため、単純なスパムメール検出ツールのセキュリティを突破出来てしまう。

この「ラテラルフィッシング」によって、2019年にEmotetは世界中で猛威を奮っていた。

■Emotetに感染しないために

マルウェア対策ツールによる対応が進むと予想されるが、それでも昨年に多くの日本企業がEmotetの被害にあっていた。こういった事実を踏まえて考えると、ツールまかせにするだけでなく、従業員一人一人が、このようなメールを利用するサイバー攻撃の存在を認識したうえで、防御力を上げていくことが求められる。

従業員一人一人が心がけるべき対処法を記載する。

 1)  送信者で「怪しい」「怪しくない」を判断しない

   Emotetの特徴としては知人を装ってメールが送信されてくるため、送信者だけを見て「怪しい」と気付くことは難しいケースも有り得る。送信者だけで「怪しい」「怪しくない」を判断し、添付ファイルを安易に実行すると、サイバー攻撃者の思うつぼとなり得る。

 2)  心当たりのない添付ファイルは開かない

   知人から唐突に添付ファイルが送られてきたら、添付ファイルをクリックする前に、まず送信者に添付ファイルを送信したかを確認すると良いだろう。

 3)  「コンテンツの有効化」はクリックしない

   安全と思われる人物からのメールであり、添付ファイルも自然な文脈で送られてきた。これは大丈夫と思って添付ファイルを開いても、「コンテンツの有効化」を求めるメッセージが表示されても、クリックしないように心がけよう。

   

「コンテンツの有効化」をクリックする前に、送信者に確認しよう
「コンテンツの有効化」をクリックする前に、送信者に確認しよう

   この「コンテンツの有効化」をクリックするとマクロ等が実行されるので、悪意のある添付ファイルだとマルウェアに感染するリスクが大きく上昇する。コンテンツの閲覧のみであれば、このボタンをクリックしなくても内容は確認出来るため、もし「コンテンツの有効化」をクリックしなければ正常に表示されないような添付ファイルなら、クリックする前に送信者にクリックの必要性を確認することを推奨する。

CISOアドバイザー

通信事業者用スパムメール対策、VoIP脆弱性診断等の経験を経て、現在は企業セキュリティの現状課題分析から対策ソリューションの検討、セキュリティトレーニング等企業経営におけるセキュリティ業務を幅広く支援。 ITやセキュリティの知識が無い人にセキュリティのリスクを解りやすく伝えます。 受賞歴:アカマイ社 ゼロトラストセキュリティアワード、マカフィー社 CASBパートナーオブ・ザ・イヤー等。所有資格:CISM、CISA、CDPSE、AWS SA Pro、CCSK、個人情報保護監査人、シニアモバイルシステムコンサルタント。書籍:『ビッグデータ・アナリティクス時代の日本企業の挑戦』など著書多数。

大元隆志の最近の記事