検索
連載

Emotetのテイクダウンが発表も「安心」はまだ早い 今求められるセキュリティ対策半径300メートルのIT

このコラムでも度々取り上げたマルウェア「Emotet」のテイクダウンが発表されました。ひとまずEmotetの脅威は去ったといえそうですが、まだ安心はできません。新たな脅威に向けて組織は何をすれば良いのでしょうか。

PC用表示 関連情報
Share
Tweet
LINE
Hatena

 2021年1月27日、国外から朗報が飛び込んできました。欧州刑事警察機構(Europol)が、マルウェア「Emotet」が利用するbotネットをテイクダウン、つまり遠隔操作するコマンド&コントロール(C&C)サーバの管理権限を奪い、停止させたそうです。

 Emotetは、特に日本で猛威を振るっており、本コラムでも度々取り上げてきました。Europolは、全世界の組織と共同でbotネットのテイクダウンに取り組み、各国に設置されたEmotetサーバを無害化し、マルウェアに感染した端末が接続しようとするC&Cサーバを無害なシンクホールサーバに変更しました。2021年4月25日にはEmotetが自らをアンインストールするようにプログラムを変更する予定です。JPCERTコーディネーションセンター(JPCERT/CC)のブログ「マルウェアEmotetのテイクダウンと感染端末に対する通知」もぜひ参照してみてください。

 セキュリティベンダーのトレンドマイクロは同社のブログで、テイクダウンの効果が出ていると報じています。

 実際、トレンドマイクロが実施したEMOTETの調査の中でも、1月26日を境にこれまでのようなC&Cサーバからの指令は見られなくなり、無害化された検体へアップデートするための命令のみが観測されるようになりました。botネットに不正活動を実行させるための指令が送られていないため、既にEMOTETのbotネット全体が無害化したものと言えます。当然、EMOTETのbotネットから送信されていたスパムメールも見られなくなりました。


(「サイバー犯罪の根本解決:EUROPOLによるEMOTETテイクダウン」より)

Emotetは一段落? だがこれで終わりではない

 Emotetの感染拡大はストップするものの“これで安全”とは言い切れません。Emotet経由で感染する別のマルウェアに注意する必要があるでしょう。本コラムで2019年12月に取り上げた、セキュリティリサーチャーの辻 伸弘氏の発言をここで引用します。

 「Emotetの感染端末に別の攻撃者が来て別のマルウェアを注入する、といった攻撃が想定できる。つまり現在のEmotetの活動は“種まき”の段階という場合もある」(辻氏)――つまり、Emotetをきっかけに、その他強力なマルウェアへ連鎖する可能性があるのです。


「猛威を振るうEmotet……これは単なる「種まき」だ? 辻伸弘氏の危惧する近未来」より)

 Emotetは、感染させた端末に新たなマルウェアを混入できます。「いずれ無害化されるのであれば放置しよう」と考えず、他のマルウェアにも感染する可能性を考慮して早急に対処しましょう。既にマルウェアに感染している前提で考えた場合、アップデートで脆弱(ぜいじゃく)性を解決する他、感染したマルウェアを無害化する必要もあります。SMB(Server Message Block)の脆弱性など、関連する脆弱性もアップデートにより修正しましょう。

 Emotetに感染しているかどうかを確認するには、JPCERT/CCが提供する「EmoCheck」や同社のブログ「マルウエアEmotetへの対応FAQ」を活用しましょう。

外部からの“指摘”を見逃さず、組織のセキュリティ対策に生かす

 日本のセキュリティ関連組織も、Emotetのテイクダウンに関連した動きを予定しています。警視庁サイバー犯罪対策プロジェクトは、海外の捜査当局からの情報提供を基に、2021年2月下旬から順次、ISP(インターネットサービスプロバイダー)を通じてEmotetに感染する機器の利用者に、連絡や注意喚起を実施すると発表しました。総務省主導の脆弱性チェック「NOTICE(National Operation Towards IoT Clean Environment)」を利用して同年2月22日以降に注意喚起を実施する予定です。

 この取り組みに合わせて自組織のセキュリティをアップデートするために、私たちはどのように動けばいいのでしょうか。まずはこうした外部からの指摘が、セキュリティ担当者に届く組織の仕組みになっているかどうかを確認しましょう。組織によっては外部から提供された情報を、"迷惑メール"として処理しているところもあり、注意喚起が無駄になるケースも少なくありません。組織におけるISPの連絡先がアップデートされておらず、注意喚起が届いていないという可能性もあります。有効な宛先であることをいま一度確認しましょう。

 ずる賢い攻撃者であれば、注意喚起の同日を見計らって偽の注意喚起メールをばらまくことも想定されます。セキュリティ担当者は、あらかじめ警視庁や総務省、ICT-ISACなどが公開する注意喚起に関する資料に目を通しておくことを強くお勧めします。

進化するのは攻撃者も一緒 継続的なセキュリティ対策を

 Emotetの脅威は落ち着きを見せたものの、警戒すべきマルウェアは他にも存在します。もう一度私たちは(特にEmotetに感染してしまった組織は)気を引き締める必要があります。

 最後にセキュリティベンダーのFFRIのメッセージを引用しましょう。

 Emotetが終結したからと言ってサイバーセキュリティの手を緩めるわけにはいきません。Emotetの経験により、サイバー犯罪者は学習し、何度でも未知の脅威を作り出してきます。


(「Emotet(エモテット)のテイクダウンと注意点」より)

 今回のテイクダウンを通じて、恐らく攻撃者たちも同じ“失敗”を繰り返さぬよう、日進月歩で進化を続けているはずです。私たちも同様に学習し続けなければなりません。

著者紹介:宮田健(みやた・たけし)

『Q&Aで考えるセキュリティ入門「木曜日のフルット」と学ぼう!〈漫画キャラで学ぶ大人のビジネス教養シリーズ〉』

元@ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。自分の生活を変える新しいデジタルガジェットを求め、趣味と仕事を公私混同しつつ日々試行錯誤中。

2019年2月1日に2冊目の本『Q&Aで考えるセキュリティ入門 「木曜日のフルット」と学ぼう!〈漫画キャラで学ぶ大人のビジネス教養シリーズ〉』(エムディエヌコーポレーション)が発売。スマートフォンやPCにある大切なデータや個人情報を、インターネット上の「悪意ある攻撃」などから守るための基本知識をQ&Aのクイズ形式で楽しく学べる。


Copyright © ITmedia, Inc. All Rights Reserved.

ページトップに戻る