Emotetが活動再開 対策する前にチェックすべき“組織の仕組み”とは？：半径300メートルのIT

複数のセキュリティベンダーがマルウェアEmotetの活動再開を報じています。今回も新たな攻撃手法を駆使しているらしく十分な警戒が必要ですが、対策を講じる前にあらためてチェックしておくべき項目を紹介しましょう。

[宮田健，ITmedia]

　数カ月ぶりにマルウェア「Emotet」によるサイバー攻撃が観測されました。各セキュリティベンダーも現時点で判明している情報を積極的に公開しています。

　特にJPCERTコーディネーションセンター（JPCERT/CC）や情報処理推進機構（IPA）では、継続的に更新されているEmotetに関するページがさらに追記されています。新たな感染手法も確認されていますので、まずは「Emotetはまだ終わっていない」ということを認識しておきましょう。

（左）Emotetの感染再拡大に関する注意喚起（出典：JPCERT/CCのWebサイト）（右）Emotet（エモテット）と呼ばれるウイルスへの感染を狙うメールについて（出典：IPAのWebサイト）

進化を続けるマルウェアEmotet　検出回避を狙う新たな手口

　Emotetに関しての説明はもはや不要かと思いますが、念のためこの概要について少しだけ触れたいと思います。Emotetは主に電子メールの添付ファイル経由で感染を拡大させます。その感染手法はさまざまで、パスワード付きZIPファイルを利用してマルウェアチェックをすり抜けようとしたり、「Microsoft Office」（Office）文書のマクロを悪用して新たなマルウェアを呼び込もうとしたりします。

　その他、Emotetは感染端末内の電子メールでのやりとり記録やアドレス帳を盗みだして送信元になりすまし、電子メールのやりとりの中に入り込んで相手を信頼させてマルウェア感染に誘導するといった手法もあり、この点では「情報漏えい」を引き起こすという特徴もあります。

　マルウェア攻撃の世界は日進月歩で、インターネットから取得したOffice文書のマクロがデフォルト無効化されたら、それをすり抜けるように「.iso」や「.rar」などのファイル形式を利用して、インターネットから入手されたというフラグを回避するようになっています。そして満を持して、Emotetの送信が再開されたというのが最新の状況です。

　マルウェアに対抗する手段として「サンドボックス」が有効といわれています。これは隔離された環境を作り出し、その中で実際にファイルを実行させて挙動をチェックすることでマルウェアかどうかを判定するいう対策です。見た目で判断するのではなく、実際に動かしてしまえば、その判定も確実になりますので、これは一定の効果がある手法とも言えます。

　しかしこのサンドボックスもサイバー攻撃者側に攻略されているので注意が必要です。最近はマルウェア自身でサンドボックス内で実行されているのかどうかを判断し、もしサンドボックス内であれば静かにしているという“対策”が講じられています。

　2023年3月に復活したEmotetは添付されたZIPファイルを展開すると、500MBを超える「Microsoft Word」文書が含まれていることが確認されています。トレンドマイクロのレポートによると、このWord文書にも不正なVBAマクロが仕込まれており、これを開くことで最終的なマルウェア本体であるDLLファイルがダウンロードされ、実行されるとしています。これはサンドボックスのファイル容量制限を超えることで、スキャンの対象外となるよう狙ったものと考えられます。

トレンドマイクロもEmotetに関するレポートを公開している（出典：トレンドマイクロのWebサイト）

Emotetの活動再開にいつ気付いたか？

　本コラムが公開されるタイミングでは、Emotetが活動を再開して約1週間が経過しています。このタイミングでぜひ気にしてほしいのは“皆さんの組織がいつEmotetの再来に気が付いたか”という点です。

　経営者でこれを読んでいる方がいれば、Emotetに関する報告がいつ上がってきたか、もしくは上がってきていないかどうかを確認してほしいと思います。もちろんこのコラムを読んで知ったということでも構いません。その場合は筆者としてはありがたいですが、少し時間が空きすぎかもしれませんね……。

　Emotetへの感染を狙ったと思わしき不審な電子メールが組織の受信フォルダに入っていた場合、それが実際にEmotetかどうかというのはさておき、「従業員からシステム管理者に連絡が入ったかどうか」「システム管理者がセキュリティ機構を通じてこのメールに気が付いたかどうか」「この事態が経営者の耳にしっかり入っていたかどうか」といったポイントをチェックすることは非常に重要です。もしどこかで連絡が途絶えてしまえば、組織全体のセキュリティ対策は向上しないでしょう。

　Emotetは当初、テレビニュースなどで多く報道されましたが、最初にIPAが公開した注意喚起は2019年12月と、ITの世界においてははるか昔のことです。2021年5月には同マルウェアの「テイクダウン」に関するニュースも大きく報道されたため、読者の中には何となく“終わったこと”という認識を持っている方がいるかもしれません。

　ただ、Emotetの活動が再開したからといって専用の“Emotet対策”を講じる必要はありません。IPAが推奨するように、一般的なマルウェア対策がそのままEmotetでも有効です。恐らく多くの企業ではランサムウェア対策が進んでいるかと思いますので、その延長線上でEmotetも対策できるはずです。その意味では、日々セキュリティ対策を十分に講じている組織であれば、何も新しいことをする必要はないはずです。

　もし余裕があればこのタイミングで、社内の連絡体制が十分に整備されているかどうかは振り返っておくとよいでしょう。被害発生後の報告がきちんと上がったかどうかを見るというよりは、不審な電子メールを検知したときに「何か変なのが来たぞ！」というレベルでもいいので従業員からアラートが上がり、それが適切に報告ルートに乗ったかどうかを確認してください。

　セキュリティ専任者がいない組織であれば、付き合いのある（サポート契約のある）ベンダーからの注意喚起やアラートをきっかけとした問い合わせができているかを確認するとよいでしょう。その意味で“Emotetの活動再開をどのタイミングで知ったか”というのは、今後新たなマルウェアが登場した際に、組織としていつ対策が始められるかの指標として、重要になると思います。

　経営者はEmotetの活動再開が、現場からどうレポートされていたかを振り返ってみてください。理想は「Emotetの活動が再開されましたが、ウチは○○といった対策を導入しているので検知ができます／大丈夫です」という報告です。そこに至らなかった組織は、どこで情報が止まっているのか、対策が止まっているのかを振り返るきっかけにしていただければと思います。

　今後もEmotetをはじめ、既知のマルウェアによる攻撃は終わらないでしょう。対策も引き続き、気を引き締めていかねばなりません。特にEmotetに関しては今後数週間は注目が必要です。セキュリティ担当者だけでなく経営者や現場の従業員を含め、全員参加でウォッチしていきましょう。

著者紹介：宮田健（みやた・たけし）

元＠ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。自分の生活を変える新しいデジタルガジェットを求め、趣味と仕事を公私混同しつつ日々試行錯誤中。

2019年2月1日に2冊目の本『Q＆Aで考えるセキュリティ入門　「木曜日のフルット」と学ぼう！〈漫画キャラで学ぶ大人のビジネス教養シリーズ〉』（エムディエヌコーポレーション）が発売。スマートフォンやPCにある大切なデータや個人情報を、インターネット上の「悪意ある攻撃」などから守るための基本知識をQ＆Aのクイズ形式で楽しく学べる。