トレンドマイクロによれば、メールを主な感染経路とするマルウェア「EMOTET」の被害が、日本国内で拡大しているという。EMOTETは2014年から存在は確認されているマルウェアであるが、これまで明確に国内利用者を狙ったと言える攻撃は確認されていなかった。
しかし2019年に入り、日本も本格的な攻撃対象に入ってきたものと考えらる。実際、6月には東京都の医療関連組織におけるEMOTET感染による情報流出被害が公表されるなど、被害が表面化してきていた。
海外では一時、EMOTETのボットネットのC＆Cサーバが休止していたことが観測されていたが、8月末に活動を再開したことも確認されていた。
トレンドマイクロでは、国内にEMOTETを拡散するメールの活発化を9月後半から確認しており、10月には検出台数の急激な増加がみられた。JPCERT/CCも11月27日付で注意喚起を出しており、広範囲に被害が広まっているものと想像できる。

図1：国内でのEMOTET検出台数推移

■EMOTETの感染経路

EMOTETは登場当初から主にメール経由での拡散が確認されている。但し、長らくEMOTETを拡散させる日本語のマルウェアスパムはほとんど確認されておらず、海外の利用者を狙う脅威であるものと認識されていた。トレンドマイクロの「2019年第3四半期セキュリティラウンドアップ」レポートでも、世界的な脅威として休止していたEMOTETの活動が再開し、9月から増加傾向に転じたことを報告している。
しかし2019年に入り、2月には攻撃メールの件名と本文に日本語が含まれているものを確認した。その後4月には件名が完全に日本語の攻撃メールも確認されており、国内利用者も明確に攻撃対象に入ったことが伺える。

図2：件名と本文に日本語を含むEMOTETのマルウェアスパムの例（2019年2月確認）

図3：4月に確認されたEMOTETのマルウェアスパムで使用された日本語件名の例

図4：9月以降に確認されたEMOTETのマルウェアスパムで使用された日本語件名の例

EMOTETを拡散させる攻撃メールでは、上記のような不特定多数に対するばらまき型のものとは別に、感染環境から窃取したメールに対する返信の形でメール送信する手口がわかっている。この場合、実際にメールをやり取りしている相手からの返信に見えるため、被害に遭う可能性が高まる非常に巧妙な手口である。
いずれの場合も攻撃メールにはWordのDOC形式の文書ファイルが添付されている。このDOCファイルには不正マクロが含まれており、受信者が開いてしまうことによってEMOTETの感染に繋がる活動が開始される。

図5：EMOTETを感染させるDOC文書の例（2019年10月確認）

■EMOTETの不正活動と被害

EMOTETの侵入以降の不正活動について、以下にその概要を示す。
スパムメール送信の活動や、認証情報の窃取からネットワーク内での感染拡大まで行われる場合があることに注目すべきである。
特に法人組織では１台のPCが感染されることにより、自組織ネットワーク内での更なる感染拡大が発生するおそれがある。また、前出の返信型の攻撃メールなどの手口により、他者に対する攻撃の踏み台、つまり自分が加害者になってしまう可能性もある。

図6：EMOTETの活動概要図EMOTETは当初、ネットバンキングを狙うバンキングトロジャンとして認識されていた。その後、2017年前後からは主にバックドアやより広範な情報窃取型の活動に変化し、最近ではランサムウェアや他のバンキングトロジャンを感染させるためのダウンローダ活動を行うことも確認されている。
EMOTETはボットネットを構築し、外部からのバックドアコマンドによる遠隔操作を受け付けることが可能なため、背後にいるサイバー犯罪者の意図によってその方法は変化する。実際、EMOTETを利用するサイバー犯罪者は、感染端末へのアクセスを他のサイバー犯罪者に貸し出すサービスを行っているため、最終的な被害も変化していると推測される。
現在までに国内でEMOTETの感染と公表されている複数の法人の状況では、情報漏洩の被害が多く報告されている。但し、国内での検証でも、バンキングトロジャン/バックドアとして知られる「TRICKBOT」、ランサムウェアの「RYUK」、国内ネットバンキングを狙うバンキングトロジャンの「URSNIF」などに連鎖して感染する事例も確認しており、やはり最終的な被害は一様ではないようである。

■被害に遭わないためには

EMOTETの攻撃は典型的なメール経由によるマルウェア感染と言える。よって、まずは侵入経路となるメールとその添付ファイルについて正当性を判断し、不審なものは開かないようにする心がけが必要である。但し、EMOTETでは返信型のような巧妙な騙しの手口もあるため、メールだけでは不審に気づけない場合もある。

もし、正規のメールと誤解して添付のDOCファイルを開いてしまった場合でも、Wordのマクロ機能が有効化されなければ不正活動は開始されない。以下のようなコンテンツ有効化を確認する表示があった場合、いったん立ち止まり、決して「コンテンツの有効化」ボタンは押さないことだ。いったんファイルを閉じ、メールとファイルの正当性を再確認してみる必要がある。

現在のWordの設定ではマクロ機能は標準で無効になっているが、上記のような確認メッセージが表示されるため、「コンテンツの有効化」ボタンを押してしまうケースも少なくないものと考えれる。Officeのマクロ機能を悪用する攻撃はEMOTET 以外にも多く存在する。マクロ機能を使用する必要がない場合には「警告を表示せずにすべてのマクロを無効にする」の設定に変更することも検討すべきである。
具体的な設定方法に関してはマイクロソフト社の情報を参照するとよいであろう。

図7：Microsoft Officeの「セキュリティセンター」での「マクロ設定」画面の例

 

被害に逢わないためにも、普段から「疑わしきは近寄らず」という心掛けをしておくべきである。

【補足】IPAからも以下のように注意喚起がされています。
「Emotet」と呼ばれるウイルスへの感染を狙うメールについて
https://www.ipa.go.jp/security/announce/20191202.html

---

本記事は、トレンドマイクロ様の許諾により「トレンドマイクロ・セキュリティブログ」の内容を元に作成しております。
ソース：https://blog.trendmicro.co.jp/archives/22959