malware emotet security セキュリティ エモテット ウイルス マルウェア

急拡大中!Emotetにまつわる4つの誤解

2019年11月頃から大流行しているマルウェア「Emotet」。取引先や知人を装ったメールが届いた方もいらっしゃると思います。今回はそんなEmotetについて概要を説明するとともに、この急拡大している中で誤った認識を持っている人も多いので、Emotetに関する誤解について解説したいと思います。

Emotetとは

Emotetは2014年頃から存在するバンキングトロジャンとよばれるマルウェアの一種です。バンキングトロジャンとは銀行を狙うマルウェアで、オンラインバンキングの認証情報などを盗み取ることを目的にしたものです。Emotetはメールの添付ファイルを使って拡散します。

2019年後半から急増

Emotetは古いマルウェアですが、これまで海外で広まることはあったものの、日本ではあまり話題になりませんでした。それが2019年にはいってから広がりを見せており、特に2019年の後半9月ごろから被害が増えてきており、2019年11月27日にJPCERT/CCが注意喚起を発表しています。

JPCERT/CC マルウエア Emotet の感染に関する注意喚起

トレンドマイクロのセキュリティブログによると、2019年9月以降急激に増加していることがわかります。

malware emotet security セキュリティ エモテット ウイルス マルウェア

参照元:トレンドマイクロセキュリティブログ「変化を続けるマルウェア「EMOTET」の被害が国内でも拡大」




Emotetの特徴

現在流行しているEmotetにはいくつか特徴があり、その特徴ゆえに、後述するいくつかの誤解が広まっています。

主な特徴

  • メールの添付ファイルにマクロ付きWordファイルが添付されている。
  • メールの送信者が取引先や知人など知っている人である
  • メールのタイトルがこれまでやり取りしたメールの返信になっている

これらはすべてではありませんが、知人から送られてくる、これまでやり取りしたメールの返信の形送られてくるなど、巧妙に細工されていることから誤って添付ファイルを開いてしまい、感染する端末が増えていると考えられています。

Emotetにまつわる4つの誤解

malware emotet security セキュリティ エモテット ウイルス マルウェア

先に記載したように非常に紛らわしい形で送られてくることが話題になったことにより、いくつかの誤解が広まっているように感じることが多くなってきたので、Emotetにまつわる4つの誤解について解説したいと思います。

1.偽装されたメールの送信者はEmotetに感染している。

Emotetと思われしメールの送信者欄に取引先のメールアドレスが記載されている場合に、そのメールアドレスを利用している人の端末がEmotetに感染していると誤解されている方が多いです。

しかし、必ずしも送信者がEmotetに感染しているとは言えません。可能としてはあるものの、そうでないケースの方が多いです。送信者欄をよく見ると、実際は違うメールアドレスから送られているものが多いのが実態です。

Emotetは感染したPC内に保存されているメールのアドレス帳の情報を窃取し、適当に組み合わせてメールをばらまいていきます。

なので、たまたま感染した端末の中にメールアドレスが保存されていた人のアドレスを騙って送信することもあることから、かならずしも送信者がEmotetに感染しているとは断言できません。

2.Emotetはメールをばらまくウイルスだ。

これだけEmotetが感染しているので、Emotetはウイルス感染させながらメールをばらまくウイルスだ、という認識をされている人が多いですが、必ずしもそうではありません。

Emotetの実態はダウンローダと呼ばれるマルウェアで、感染した端末上に様々な攻撃ツールをダウンロードさせる機能を持っています。ダウンロードしてくるツールの中に端末の情報を窃取したり、メールをばらまいたりする機能がありますが、なかにはランサムウェアをダウンロードしてきて、端末内のファイルを暗号化してしまうといったこともあります。

現時点(2019年12月現在)では直接的な被害は出てきておりませんが、これだけEmotetが広がったということは、攻撃者がコントロールできる端末が増えたということですので、二次的な攻撃として不正な攻撃の踏み台にされるなど、様々な被害が想定されます。

Emotetはメールをばらまくウイルスと言う認識よりはもっと最悪なケースが想定されるマルウェアと考えて対処する必要があります。




3.Emotetはマクロ付きWordファイルを送りつけてくる。

Emotetが流行し始めた頃は、マクロ付きWordファイルが届いたら注意しよう、と言われていたので、マクロ付きWordファイルさえ気をつけておけば良いという認識が広がりましたが、これも間違いではありませんが、それだけでは防ぐことは難しいです。

Emotetの攻撃は進化しており、最近ではメールにリンクが記載されており、そのリンクをクリックするとマクロ付きWordファイルがダウンロードされる、といった事例も見つかっています。

また、Wordだけでなくマクロ付きExcelも見つかっているそうです。マクロ付きWordファイルは日本ではあまり見ませんが、マクロ付きExcelは様々なところで使われていると思います。なので、マクロ付きExcelが増えてくると無意識にマクロを有効化してしまって感染するといった事例も増えると思いますので、注意が必要があります。

あと、Word2007以降ではマクロ付きWordファイルは拡張子がdocmとなっているので、見分けるのが簡単と思ってしまいますが、僕が見たEmotetのWordファイルは2003以前の形式で保存され、拡張子がdocになっているものがほとんどでした。なので、単純に拡張子だけでマクロ付きかどうかの判断は不可能と考えておいたほうが良いでしょう。

4.Emotetはこれまでやり取りしていたメールの返信として送られてくる。

これまでやり取りしていたメールの返信として送られてくる、というEmotetの特徴ですがこれは実態としては数が少ないと感じています。僕が見た中ではこのようなメールの内容を細かく窃取して巧妙に手を加えて送られたものは数少なく、「請求書」、「賞与」など日本の一般的な商習慣で使う件名を記載したものや、「助けて」、「メッセージ」など注意を引くタイトルなどのバラマキ型のメールが多いように感じています。

また、日本語だけではなくクリスマスシーズンを控えて、環境活動家のグレタ・トゥーンベリさんの名前が記載されたメールも出回っているようです。こちらはデモ参加の招待状と称して添付ファイルをクリックさせるようなトリックが使われています。

参照元:Emotet Malware Uses Greta Thunberg Demonstration Invites as Lure

最後に

マクロ付きのWordファイルなどはメールフィルタリングのソフトなどでかなりブロックできるようになってきていますが、URLが記載されたメールや件名など、攻撃の傾向が頻繁に変化してきており、しばらくはいたちごっこ状態が続くと予想されていて、収束する見込みはまだありません。

さらに怖いのがEmotetはダウンローダなので、今後Emotetに感染した端末を踏み台にしてさらなる攻撃が来ることも想定されます。

いよいよ来年は東京オリンピック・パラリンピックが開催されますが、Emotetに感染した端末がオリンピックを狙ったサイバーテロの攻撃に利用されるといったことも最悪のケースとして想定されます。

今回のEmotetは単なる流行しているウイルスだとたかをくくらないで、様々なセキュリティ関連機関から発信される情報に注意を払い、しっかりと対処していかないといけません。

Emotetに関する情報発信元