このブログではあまり特定のマルウェアなどについての記事は書くことがありませんでした。
理由としてマルウェアの種類が多いことや、ランサムウェアなどの爆発的な危険性が大きいのを除いてはきちんとしたセキュリティなどを行っていれば防げるといったこともあり、「注意してください」と注意喚起はするものの、今までは現在の状況など詳しい情報は記載していませんでした。
これらの情報に関して、他のマルウェアなどのウィルス情報はセキュリティ関連のブログなどが記しており、当ブログはどちらかというと、全般的なマルウェアなどに感染しないようにする方法などといったことに比重をおいて情報発信しています。
しかし今回のマルウェアEmotet(エモテット)に関しては世界的に危険な状況にあり、すでに国内でもこのマルウェアに関する被害が多くなってきていますので、今回このEmotet(エモテット)について情報発信していきます。
1.Emotetというマルウェアについて
マルウェアEmotetは2014年にはじめて確認されたマルウェアであり、ちょっと古くから存在していたマルウェアです。当時はオンラインバンクの認証情報を盗むマルウェアでした。
しかし時が経つにつれて、このEmotetはマルウェアの役割が変化してきており、2017年にはすでに2014年当時のマルウェアよりも脅威になり、マルウェアの役割も大きく変わっております。
現在のEmotetは、他のマルウェアの感染・拡散を行うマルウェアの中心的な存在になり、このEmotetに感染すると、さまざまな悪質なマルウェアに次々と感染し重症になる危険なマルウェアとなっています。
A8.net無料会員募集!
マルウェアEmotetは2014年にはじめて確認されたマルウェアであり、ちょっと古くから存在していたマルウェアです。当時はオンラインバンクの認証情報を盗むマルウェアでした。
しかし時が経つにつれて、このEmotetはマルウェアの役割が変化してきており、2017年にはすでに2014年当時のマルウェアよりも脅威になり、マルウェアの役割も大きく変わっております。
現在のEmotetは、他のマルウェアの感染・拡散を行うマルウェアの中心的な存在になり、このEmotetに感染すると、さまざまな悪質なマルウェアに次々と感染し重症になる危険なマルウェアとなっています。
現在のEmotetは単体で感染するわけではなく、オンラインの認証情報を盗み出すトロイの木馬や現在でも非常に脅威となっているランサムウェア(身代金を要求するマルウェア)と一緒に感染します。つまり、Emotetに感染している=Emotet以外のマルウェアにも感染していることになります。また、このEmotetに感染しているとすでに何かの情報が盗まれている=情報流出となる非常に危険となっています。
2.現在のEmotetの特徴
現在のEmotetは非常に高い感染力があり、また感染後他のパソコンなどに拡散する力が非常に強力になります。そのため、ネットワーク上にある1台のパソコンにEmotetが感染されると、あっという間にネットワーク上のパソコンが感染させるといった危険性があります。また、このEmotetは感染されたパソコン内に保存されているメールアドレスを利用し、次々とそのアドレスにSPAMメールを送信して感染力を高くしています。同時に感染したパソコンでは別のマルウェアにも次々と感染してしまうといった具合になります。
またこのEmotet非常に怖いところは、感染したパソコンの状況によって常に形を変えアップデートを行っているということです。つまり、感染したパソコンごとにEmotetの形態が違ってしまうということです。
これはどういうことかと言うと、Emotetの不正マクロに感染すると攻撃者側のC&Cサーバ(隠れた情報を蓄積するサーバー)に情報を送ります。攻撃者はC&Cサーバ上で感染先の情報を確認し判定します。この情報というのはEmotetが解析されてしまうかどうかといった情報です。
解析される状況にあるようなパソコンには、解析されないようにEmotet本体のプログラムをインストールしません。逆に解析されないようなパソコンだと判定されると、最新のEmotet本体をダウンロードし、盗む情報の内容や環境に応じてEmotetの部品(モジュール)をダウンロードします。こうやって感染先にあわせて変化させる特徴を持っています。
3.Emotetの感染元は?
Emotetの感染元は外部からのなりすましメールで、その中のOfficeファイルの不正マクロから感染します。このなりすましメールは以前のなりすましとは違い、「返信型」といったメールを使用します、。この「返信型」はそのパソコン内で以前にメールのやりとりしたアドレスで「返信」や「転送」といったメールを使うので、実在し現在でも使用しているアドレスからのため、信用してして添付ファイルやURLをクリックし感染させます。
そのため「会議の開催日時の連絡」といった極普通のメールの内容や「Re:日時の確認」といった内容のメールなどさまざまで、特にメールの内容には本文中に「Re~~~~~~」といった以前に自分が送った本文が掲載されていたりしますので騙されてクリックしてしまうようです。
4.Emotetに感染しないための対策方法
まずは一番大事なのはセキュリティソフトを常に最新の状態にすることです。また、OSのセキュリティパッチを適用することによって感染を防ぐことができます。
また、方法としてPower Shellの起動をあらかじめブロックしておくといった方法も非常に有効になります。PowerShellのブロック方法はここでは省略しますが、管理者権限でPowerShell自体の起動をブロックすることでかなり効果があります。
これはEmotetの実行時、PowerShellが利用されことからこの方法が有効になります。Emotetはメールに添付されたファイルを開く→マクロの実行→コマンドプロンプトの実行→PowerShellの実行、といった順番で起動されるため、PowerShellの実行をブロックすることで攻撃者側のC&Cサーバへの情報送信をブロックさせることができます。
5.Emotetの被害例
直近では2020年2月4日川本製作所で、従業員のパソコンがマルウェア「Emotet」に感染したことにより、個人情報が流出しました。
また、2020年1月24日マイパール長野で外部メールアドレスが流出した可能性があると明らかにしております。
昨年は2019年11月1日公立大学法人・首都大学東京で教員のPC端末が感染し、メールソフト内の本文やメールアドレスが流出した可能性があると明らかにしております。これら以外でも数々の企業や団体が被害にあっており、海外では2018年2月米ペンシルバニア州アレンタウン市で約100万ドル(約1億円)もの大きな被害額が出ています。このように国内・国外問わず感染が拡大しています。
6.Emotetに感染しているか確認するツール
一般社団法人JPCERT コーディネーションセンターで「Emotet」に感染しているかどうかを確認できるWindows向けツール「EmoCheck」をリリースして無料公開しています。JPCERT/CCの公式ブログ“JPCERT/CC Eyes”のEmotet対応FAQで公開されており、無料で配布されています。
https://blogs.jpcert.or.jp/ja/2019/12/emotetfaq.html
Windows 7以降のOSで動作を確認しているとのことで、動作はコマンドラインツールになっております。一度チェックしていてください。
2.現在のEmotetの特徴
現在のEmotetは非常に高い感染力があり、また感染後他のパソコンなどに拡散する力が非常に強力になります。そのため、ネットワーク上にある1台のパソコンにEmotetが感染されると、あっという間にネットワーク上のパソコンが感染させるといった危険性があります。また、このEmotetは感染されたパソコン内に保存されているメールアドレスを利用し、次々とそのアドレスにSPAMメールを送信して感染力を高くしています。同時に感染したパソコンでは別のマルウェアにも次々と感染してしまうといった具合になります。
またこのEmotet非常に怖いところは、感染したパソコンの状況によって常に形を変えアップデートを行っているということです。つまり、感染したパソコンごとにEmotetの形態が違ってしまうということです。
これはどういうことかと言うと、Emotetの不正マクロに感染すると攻撃者側のC&Cサーバ(隠れた情報を蓄積するサーバー)に情報を送ります。攻撃者はC&Cサーバ上で感染先の情報を確認し判定します。この情報というのはEmotetが解析されてしまうかどうかといった情報です。
解析される状況にあるようなパソコンには、解析されないようにEmotet本体のプログラムをインストールしません。逆に解析されないようなパソコンだと判定されると、最新のEmotet本体をダウンロードし、盗む情報の内容や環境に応じてEmotetの部品(モジュール)をダウンロードします。こうやって感染先にあわせて変化させる特徴を持っています。
3.Emotetの感染元は?
Emotetの感染元は外部からのなりすましメールで、その中のOfficeファイルの不正マクロから感染します。このなりすましメールは以前のなりすましとは違い、「返信型」といったメールを使用します、。この「返信型」はそのパソコン内で以前にメールのやりとりしたアドレスで「返信」や「転送」といったメールを使うので、実在し現在でも使用しているアドレスからのため、信用してして添付ファイルやURLをクリックし感染させます。
そのため「会議の開催日時の連絡」といった極普通のメールの内容や「Re:日時の確認」といった内容のメールなどさまざまで、特にメールの内容には本文中に「Re~~~~~~」といった以前に自分が送った本文が掲載されていたりしますので騙されてクリックしてしまうようです。
4.Emotetに感染しないための対策方法
まずは一番大事なのはセキュリティソフトを常に最新の状態にすることです。また、OSのセキュリティパッチを適用することによって感染を防ぐことができます。
また、方法としてPower Shellの起動をあらかじめブロックしておくといった方法も非常に有効になります。PowerShellのブロック方法はここでは省略しますが、管理者権限でPowerShell自体の起動をブロックすることでかなり効果があります。
これはEmotetの実行時、PowerShellが利用されことからこの方法が有効になります。Emotetはメールに添付されたファイルを開く→マクロの実行→コマンドプロンプトの実行→PowerShellの実行、といった順番で起動されるため、PowerShellの実行をブロックすることで攻撃者側のC&Cサーバへの情報送信をブロックさせることができます。
5.Emotetの被害例
直近では2020年2月4日川本製作所で、従業員のパソコンがマルウェア「Emotet」に感染したことにより、個人情報が流出しました。
また、2020年1月24日マイパール長野で外部メールアドレスが流出した可能性があると明らかにしております。
昨年は2019年11月1日公立大学法人・首都大学東京で教員のPC端末が感染し、メールソフト内の本文やメールアドレスが流出した可能性があると明らかにしております。これら以外でも数々の企業や団体が被害にあっており、海外では2018年2月米ペンシルバニア州アレンタウン市で約100万ドル(約1億円)もの大きな被害額が出ています。このように国内・国外問わず感染が拡大しています。
6.Emotetに感染しているか確認するツール
一般社団法人JPCERT コーディネーションセンターで「Emotet」に感染しているかどうかを確認できるWindows向けツール「EmoCheck」をリリースして無料公開しています。JPCERT/CCの公式ブログ“JPCERT/CC Eyes”のEmotet対応FAQで公開されており、無料で配布されています。
https://blogs.jpcert.or.jp/ja/2019/12/emotetfaq.html
Windows 7以降のOSで動作を確認しているとのことで、動作はコマンドラインツールになっております。一度チェックしていてください。
A8.net無料会員募集!
![[商品価格に関しましては、リンクが作成された時点と現時点で情報が変更されている場合がございます。]](https://hbb.afl.rakuten.co.jp/hgb/33d66e47.69743159.33d66e48.f37c3978/?me_id=1409719&item_id=10000254&pc=https%3A%2F%2Fthumbnail.image.rakuten.co.jp%2F%400_mall%2Fbestlife-store%2Fcabinet%2F09572204%2Fwhitepc_rtx3070_bwn.jpg%3F_ex%3D300x300&s=300x300&t=picttext "[商品価格に関しましては、リンクが作成された時点と現時点で情報が変更されている場合がございます。]")
![[商品価格に関しましては、リンクが作成された時点と現時点で情報が変更されている場合がございます。]](https://hbb.afl.rakuten.co.jp/hgb/33d67014.35368b22.33d67015.77fb54da/?me_id=1407733&item_id=10000637&pc=https%3A%2F%2Fthumbnail.image.rakuten.co.jp%2F%400_gold%2Fdospara-r%2Fimg%2Fitem%2Fdospara-r_12058.jpg%3F_ex%3D300x300&s=300x300&t=picttext "[商品価格に関しましては、リンクが作成された時点と現時点で情報が変更されている場合がございます。]")
コメント