ITmedia NEWS > セキュリティ >
ニュース
» 2020年10月15日 08時10分 公開

この頃、セキュリティ界隈で:進化を続けるマルウェア「Emotet」 怪しく見えないメールも警戒を

姿形を変えていく、やっかいなマルウェア「Emotet」。その実態を紹介する。

[鈴木聖子,ITmedia]

 メールの添付ファイルを通じて感染するマルウェア「Emotet」の被害が止まらない。手口を変えて人をだまし、形を変えてセキュリティ対策をかわし続ける。「不審なメールは要注意」という従来の常識だけではもはや通用しない。怪しく見えないメールにも警戒が必要になったと専門家は指摘する。

 Emotetはトロイの木馬型と呼ばれる高度なマルウェアで、狙った相手をだましてメールの添付ファイルやリンクをクリックさせる手口で感染する。いったん侵入を許せば、パスワード総当たりのブルートフォース攻撃を仕掛けるなどの方法で社内の認証を突破し、ネットワーク全体に感染を広げるワームのような性質をもつ。

 日本を含む各国が何度も警戒を呼び掛けているにもかかわらず、収束する気配はなく、米国土安全保障省のサイバーセキュリティ機関CISAは改めて対策の徹底を促した

photo CISAによる警告

 セキュリティ企業のCheck Point Softwareがこのほどまとめた2020年9月版のマルウェアランキングでは、Emotetが3カ月連続でトップに立ち、世界の組織の14%に影響を及ぼしていた。

photo Emotetはトップマルウェア

 被害が後を絶たない理由は、Emotetが継続的に手口を進化させ、アップデートを繰り返して姿形を変え続けていることにある。

 例えば不正な添付ファイルがウイルス対策ソフトに検出されるようになると、パスワードで保護された「.zip」などのアーカイブファイルを添付する手口に切り替えて、検出を免れるようになった。

 被害者をだましてマクロを有効にさせる手口も巧妙化している。.zipファイルを添付する手口の場合、メールの本文に記載されたパスワードをユーザーが入力すると悪質なマクロが展開され、Emotetがダウンロードされる仕組みだった。

 また、「このファイルはAndroidで作成されたものなので、操作を完了できません」という通知を出す手口もある。ユーザーがだまされて「コンテンツの有効化」ボタンをクリックすると、マクロが有効になってEmotetに感染する。

 Palo Alto Networksが9月に報告した「スレッド乗っ取り」の手口では、Emotetに感染したコンピュータからOutlookに届いたばかりのメールを盗み、正規の返信に見せかけて不正なファイルを添付したメールを送り付けることで感染を広げようとしていた。返信を装うメールはそれまでやり取りしていた相手の名で届くので、受け取った側が不正を見抜くのは難しい。

 「電子メールの添付ファイルを開く際は、たとえその添付ファイルが予想されていたもので、知っている相手から届いたように見えたとしても、慎重を期す必要がある」とCISAは警告する。

 Emotetは新しいマルウェアではなく、初めて発見されたのは2014年だった。最初は主に欧州で銀行口座情報を盗む目的で使われていたが、やがて世界各国に感染を広げ、日本語などの言語にも対応して、2020年に入ると新型コロナウイルス感染拡大に便乗するようになった。

 CISAによれば、2月以降はいったん活動を休止していたが、7月になって再浮上。8月に入るとEmotetのダウンロード件数の1000%増加が報告された。これを受けてウイルス対策ソフトウェア各社が検出態勢を強化した結果、いったんはダウンロード件数が減少したという。

 しかしEmotet側もすぐに対抗して進化を続けた。セキュリティ企業のIntezerが9月に分析したマルウェアのうち、40%はEmotetが占めていたという。「このマルウェアは、文字列やAPIのインポートなど、識別可能な特性を頻繁に変更して、多くの検出技術で識別できないようにする。これはEmotetにとってうまくいっているようだ。2014年から活動を続けているにもかかわらず、このマルウェアの新しい亜種は、大半の定義ファイルベースの検出をかわし続けている」(Intezer)。

 Emotet以外にも「Qbot」や「Valak」など、同じような手口で組織や個人から情報を盗もうとするマルウェアは次々に浮上する。Check Point Softwareも指摘する通り、「メールを開く際は、たとえ信頼できる相手からのメールに見えたとしても注意する必要がある」という認識の徹底が求められている。

Copyright © ITmedia, Inc. All Rights Reserved.