「Emotet」って何? 感染拡大している理由は? 対策は? 副編集長に語らせた:ヤマーとマツの、ねえこれ知ってる?(1/5 ページ)
送信者を偽って、マクロファイルを添付したメールを送りつける「Emotet」が感染拡大している。Emotetとは何か、どう注意したら良いのか、ITmedia NEWS副編集長が解説する。
経歴だけは長いベテラン記者・編集者の松尾(マツ)と、幾つものテック系編集部を渡り歩いてきた山川(ヤマー)が、ネット用語、テクノロジー用語で知らないことをお互い聞きあったり調べたりしながら成長していくコーナー。交代で執筆します。
今回は、感染拡大が続くEmotetについて、ITmedia NEWS副編集長の井上輝一氏を呼んで解説してもらいました。
ヤマー ITmedia NEWSでも連日報道してますが、「Emotet」の感染力すごくないですか? 3月に入って、NTT西日本や沖縄県、日本気象協会、東北海道いすゞ自動車などがEmotetの感染を報告しています。
マツ いやー、またこの名前を目にするとは。僕が編集担当した記事で出てきたのは2020年なので。
正直、まだ続いていたのか、と。さらにさかのぼると、2019年にも記事が出ています。この記事が、それまでの経緯をかなり詳しくまとめた記事で、これによると、Emotet自体は2014年から存在が確認されている。非常に長い歴史を持つマルウェアなんですよね。
ヤマー なるほど、2〜3年前にも感染爆発を起こしていたと。いったんは収束したものの、また猛威を奮っていると……。人間もリアルウイルスと戦っている最中に……。
マツ ネットを介したやりとりに依存するようになったからこそ増えているのかも、という感じがしますが、今回はこのEmotetに関する話をしようというわけですね。
ヤマー ですね。なんでまたこんなに感染が増えているの? どう対策すれば良いの? をITmedia NEWS副編集長のキーチ氏に聞こうかと!
マツ 召喚獣のように呼び出している気がするw
キーチ はい、なんだかセキュリティ専門家のような扱いになっているような気もしますが、セキュリティ系情報のウォッチャーとしてEmotetの基礎部分を、お二人の質問に合わせてご紹介していきますね。
「Emotet」とは何か
ヤマー では、早速。また2022年に入ってから感染爆発を起こしているようですね。Emotetの感染、なんでこんなに広まってるんですか?
キーチ なぜ増えている? の前に、なぜ対策が必要か、をおさらいしておきたいのですが。
いわゆるチェーンメールみたいな迷惑メールとはわけが違うわけですよね。「このメールを受け取ったら何人に送りなさい」みたいな一時期流行ったやつ。
マツ はい。必ずしも全然知らない人、組織からのメールではないというわけですね。
ヤマー チェンメ……。Emotet自体は、メールに添付されたExcelマクロファイルを媒介に感染するマルウェアという認識です。
キーチ そうですね。おおまかには「送信者に成り済ましたメール」を送り付け、メールを送った標的にExcelなどのマクロファイルを開かせます。マクロファイルを開いたPCは、C2サーバという攻撃用サーバにアクセスし、マルウェアに感染したPCを制御下に置く、という挙動をします。
マツ ファイル自体はMicrosoft Office形式が多いんですか?
キーチ ファイルはOfficeファイルの他、21年11月に再流行が始まってからはPDF閲覧ソフトを偽装する手口もあると、IPAは報告しています。
そして感染PCからさらにメールを送り……、と感染PCを増やしていくのが特徴で、そうして制御下に置かれてしまうと他のマルウェアも送り込まれてしまうわけです。例えばランサムウェアなど。
ヤマー あ、なるほど。Emotetに感染することで、ランサムウェアとか他のマルウェアが入り込む下地を作ってしまうんですね。
キーチ ですね。「単に感染を広げるマルウェア」ではなく、「他のマルウェアが侵入するためのマルウェア、しかも感染が広がりやすい」と認識するのがいいかと。
ヤマー 結構えげつないですね。昨今、ランサムウェアの被害かなり増えてますけど。その裏には、Emotetがレールを敷いてたケースも少なくないってことですね。
キーチ 十分あり得る話です。
マツ Emotetって、Windowsマシンに感染するものですよね。
キーチ 従来通りであればその認識で問題ありません。この再流行後にMacやLinuxを狙ったものがないかは私が調べた限りでは確認できていないです。
ヤマー こうしてみると、Emotetは本番マルウェアを送り込むための尖兵みたいな扱いに見えますが、Emotet自体も情報を盗んだりとセキュリティリスクの原因にもなりますよね。
キーチ そうですね。Emotetは感染を広げるに当たって、感染PCからメールの送受信先や本文などの情報を抜き取るので、その時点で十分に情報漏えいといえます。
マツ そこから得た情報で送られた成り済ましメールは、信頼できる相手から送信されたように見えてしまう。信用してしまいますよね。
ヤマー これ、Thunderbirdみたいなローカルにメールデータを貯めるタイプだけでなく、Gmailみたいなオンラインのメールサービスからもメールデータを引っこ抜くんですか?
キーチ GmailをThunderbirdなどローカルにデータを落としていなければ相対的に危険性は低いはずです。Gmailなどは疑わしいメールを弾く機能もあるので、それで安全性が高まる面もありますが。
ヤマー なるほど、フィルタリング機能が強力なメールサービスを使うと感染リスクはある程度減ると。
マツ 最終的には、Officeのマクロに実行許可を与えてしまう「コンテンツの有効化」をクリックしなければOKとされていますが。
キーチ ですね。対策については後でもあらためて触れられれば。
で、なぜ再流行、しかも過去に例を見ないほどに広まっているかですが。
Copyright © ITmedia, Inc. All Rights Reserved.