米国国土安全保障省が「これまでで最も破壊力がある」と表現したマルウェアの動きが、再び活発になっています。目新しい点は何もなく、Emotetは周期的にその活動が活発になる傾向があります。そして、IPの再利用が見つかりこれをブロックすると、騒ぎが沈静化するのです。この攻撃で注目すべきは、なぜ、Emotetが依然として広く利用されているのかといった点や、その標的と攻撃の規模にあります。これらすべての要因が原因となって、サイバーセキュリティインフラストラクチャセキュリティ庁(CISA)などの機関が、この脅威を警戒するよう注意を呼び掛けているのです。

過去数か月のあいだに、Emotetによるインシデントが劇的に増加しているのを、サイバーリーズンのチームは確認しています。直近では先週からEmotetの攻撃が活発化しており、それは、1日に約75万のメッセージが標的に送り付けられたところから始まりました。

EMOTETの概要

Emotetは、2014年の初頭に初めてその存在が確認されました。銀行の取引で使用する認証情報を盗み出すためのトロイの木馬として使用されていたのです。それ以降、すぐにEmotetは繰り返し使用されるようになり、またアップデートされています。バージョン1がリリースされたすぐあとに、送金やマルスパム、バンキングの機能が実装されたバージョン2へとアップデートが行われました。2015年1月にはさらに進化し、検知を逃れる機能を搭載するまでになっています。

その後もEmotetの機能はさらに大きな進化を続け、Emotetはモジュール型のマルウェアへと発展を遂げました。モジュール型の特性と分散機能の実用性の高さから、Emotetはしばしば標的の環境への足掛かりを得るために利用されました。

Emotetの主要な感染ベクターはフィッシング攻撃です。この攻撃では、悪意のあるリンクを埋め込んだメールや、マクロの仕込まれたMicrosoft Wordファイルを添付したメールで、マルウェアを拡散させるのです。展開されたEmotetは、標的のコンピューターや目的に応じ、さまざまなマルウェアのペイロードで攻撃を仕掛けることが可能です。ここ数年では特に利用されることの多いコモディティマルウェアの1つとなっています。

このようなかたちでEmotetが利用された事例を我々は過去において目撃してきましたが、同じインシデントでTrickBotとRyukが同時に展開され、その際にEmotetが利用されたようなケースでは、特に深刻な被害が生じています。TrickBotはモジュール型のトロイの木馬で、メールなどの認証情報やビットコインのウォレットを収集するのに使用されます。

一方、Ryukはランサムウェアの一種で、認証情報を窃取できるだけでなく、重要性の高いデータやサーバーを人質にして身代金を要求する機能があります。種類の異なるこれら2つのマルウェアを1つの攻撃で同時に展開された場合、攻撃受けた組織はその影響の大きさに突如として気付くことになるのです。重要性の高い個人情報やパスワード、メールファイル、ブラウザ内のデータ、レジストリキーなどの情報を盗まれてしまうおそれがあります。

EMOTETが広く利用される理由

攻撃者にとっての万能のツールとなったわけではないものの、Emotetは過去6年間にわたり広く利用されてきました。そしてそれには当然の理由があったのです。Emotetはそのモジュール構造ゆえに、標的の環境や盗み出す情報の内容に合わせて容易にカスタマイズができました。Emotetは標的の環境への足掛かりに利用されることが多く、攻撃者は積極的にこのツールを取り入れています。

今後は多くのケースで、破壊的な影響をもたらすランサムウェアの展開に、攻撃者がEmotetを利用することが予想されます。CISAによれば、Emotetの感染被害の対応で、連邦省庁、州・地方政府等ではインシデント1件につき、最大で100万ドルのコストが発生していると言います。

Emotetの影響を最大化するショットガンアプローチが利用された場合、感染は容易に拡大します。攻撃者が利用するのは、シンプルなフィッシングメールです。どこかの誰かがリンクをクリックするかファイルをダウンロードしてマルウェアに感染するだろうと考えて、数百万のアカウントにこのメールを送信するのです。これは、ウイルス感染の標的を探す場合に、コストを抑えながら高い効果を期待できる方法です。

我々は、Emotetによる攻撃で、頻繁にこの手法が使われるのを見てきました。組織にスパム攻撃を仕掛けることによってEmotetの感染力を高めながら一方で攻撃者自身は何も負担を負わずに済ませることができます。そのような事例が過去にいくつもあります。

攻撃を容易にするサービスとしてのマルウェア

Emotetの開発者は、サービスとしてのマルウェア(MaaS)のモデルでEmotetを販売するのを好んでいます。マルウェアを作成するしないに関わらず、MaaSを利用すればほぼ誰もが、攻撃を始めてデータを窃取できます。

マルウェアの開発者の多くは、サービスとしてのソフトウェアのビジネスのようにMaaSを扱っており、利用しやすいインターフェースを提供し、定期的に機能のアップデートを行っているのです。

また、Raccoon Infostealerの例に見られるように、多くの場合、迅速な「顧客」サービスを提供できるよう、レビューにて高い評価を獲得できるよう、専用のサポートチームすら設けています。

MaaSの登場によって、サイバー犯罪の領域に足を踏み入れる際の垣根が大幅に低くなり、テクノロジーに疎い個人でもすぐに成果を期待できるようになりました。そしてさらには、Emotetが容易にその拡散のスピードを速め、より多くの組織に影響を与えるうえで、手助けをしたのです。

今回の攻撃におけるEMOTETの標的

Emoteの活動が活発化するにつれて、米国の軍隊や連邦政府、州政府のドメインが標的にされるようになっています。数週間前に米国とイランのあいだで紛争が生じましたが、これを受けてサイバー攻撃に対する意識が高まっていたにもかかわらず、攻撃者は米国の政府機関で働く個人の複数のアカウントを侵害できていたのです。

政府の関係者を標的にする攻撃にEmotetが利用されたのはこれが初めてではありません。昨年には、ベルリン最高裁判所が、Emotetを使用した攻撃の標的になっており、攻撃者は機密情報を窃取することに成功しています。コモディティマルウェアの場合、通常は無差別の攻撃を仕掛けるか、企業や病院などの施設を標的にするのが常ですが、それが政府関係機関を標的にしているという事実は、注目すべき意外な展開であると言えましょう。

ただし、Emotetの場合は、政府関係機関に限らず、さまざまな種類の組織を標的にした攻撃で使用されてきました。この点に注意することが重要です。運に任せて大量の攻撃を仕掛ける手法では、人手による作業を最小にして最大の効果を狙っており、金銭目的の攻撃の場合は必ずしも特定の種類の組織だけを標的にするわけではないのです。

EMOTETの攻撃を防ぐための方法

Emotetの攻撃を防ぐうえで、以下の対策の実施をお勧めします。

  1. 組織のグループポリシーでマクロを無効にする。または、マクロを有効にしないよう、ユーザーに警告を出す。
  2. 一時フォルダからの実行ファイルの起動を組織のグループポリシーでブロックする。
  3. ウイルスに感染したすべてのユーザーを対象として、メールアカウントのパスワードとログイン認証情報を変更する。フィッシングメールにだまされないようにするためのベストプラクティスやヒントをユーザーに提供する。

まとめ

Emotetは出現してから長い時間が経っていますが、絶えず進化を続けることで今も、攻撃者が頼りになるツールとして真っ先に考える存在となっています。Emotetはモジュール型の特性を持ち、標的に感染してからさまざまな種類のマルウェアを展開できる能力があります。

そのため、その感染を許してしまった場合、数々の深刻な影響を受けるおそれがあります。まだこの脅威の攻撃を受けていないとしたら、問題の起きていない今の時間を有効に活用してセキュリティを強化し、EDRの導入など、絶えず監視のできる環境を整備することが重要です。

「次世代エンドポイント(EDR)のメリット」とは? Cybereasonの関連情報を公開中

CybereasonのEDR(Endpoint Detection and Response)プラットフォームが提供する7つのユニークな機能をご紹介するホワイトペーパーを公開しております。ぜひご活用ください。
https://www.cybereason.co.jp/product-documents/input/?post_id=1033

ホワイトペーパー:次世代エンドポイントのメリット