2019年11月の本ブログ記事でお伝えしたマルウェア「EMOTET(エモテット)」の国内での感染拡大ですが、その後もさらに激化が続いています。トレンドマイクロのクラウド型次世代セキュリティ技術基盤「Smart Protection Network(SPN)」の統計によれば、EMOTETの検出台数は2019年11月に入りいったん落ち着いたかのように見えましたが、12月にはまた8,000件を越える急増となりました。
図1:国内でのEMOTET検出台数推移
(不正Office文書ファイル含む)
トレンドマイクロの監視では、感染したEMOTETに対して指令を送る遠隔操作用サーバ(C&Cサーバ)は、12月20日前後からいったん休止し、2020年に入って1月13日から活動再開したことがわかっています。しかしEMOTET検出台数は1月中旬までの速報値で既に1,500件を越えており、活動再開後わずかの期間にも関わらず高い数値となっています。このことからは、国内利用者を狙うEMOTETの攻撃は高いレベルで継続していると言え、注意が必要です。
■日本を狙うEMOTETの動向変化
感染台数が急増した12月、攻撃メールの日本語件名では様々なバリエーションが見られました。まず、時期的な特徴のある件名として、会社におけるボーナス(賞与)の支給を意識した件名が確認されています。12月に賞与を支給する習慣は日本だけのものではありませんが、それでも日本も含め、攻撃対象の国の習慣を意識した上での攻撃ということができます。また、「◎●」や「☆★」、「■□」などの記号を入れる「デコレーション件名」や「男に会います。15歳の女の子。」、「会いたいです。16歳の女の子。」などの出会い系を意識したような件名も確認されています。ただし、2020年に入って活動再開以降には同種の件名は確認されておらず、サイバー犯罪者側の試行錯誤がうかがえます。
| ** 払 ** | ※払※ | 賞与 |
| == 賞与支払届 == | 11月の支払い | 賞与支 |
| ■ 賞与支払 ■ | 12.12月賞与関係会社請求について | 賞与支給に際しての社長メッセージ |
| ■□ 12月賞与 ■□ | 12月賞与 | 賞与支払 |
| □■ 賞与支払届 □■ | 19.12月賞与関係会社請求について | 賞与支払届 |
| ■□■ 賞与支給に際しての社長メッセージ ■□■ | 2019冬・業績賞与支給 | 請求書 |
| ▼▼ 賞与支払届 ▼▼ | KFCテーブル | 請求書の件です。 |
| ◆◆◆ 賞与支払 ◆◆◆ | お支払い | 請求書送付のお願い |
| ◎ 払届 ◎ | ご入金額の通知・ご請求書発行のお願い | 男に会います。15歳の女の子。 |
| ◎◎◎ 払 ◎◎◎ | ご入金額の通知・御請求書発行のお願い | 払 |
| ☆12月賞与☆ | メリークリスマス | 払届 |
| ☆届☆ | 会いたいです。16歳の女の子。 | 毎月の請求書 |
| ★ 賞与支払届 ★ | 会議開催通知 | 毎週の請求書 |
| ※件名によっては人名、日付、部署名などが追加される場合がある | ||
その他、2020年に入ってからの攻撃内容の変化としては、EMOTET本体を感染させるための不正マクロを含むOffice文書ファイルへの誘導方法があります。昨年国内で多く確認されていた不正マクロを含むOffice文書ファイルが添付されるパターンに加え、攻撃メールに添付ファイルが無く本文内のURLリンクから不正マクロを含むOffice文書ファイルがダウンロードされるパターンや、添付ファイルがPDF文書ファイルになっており文書内のURLリンクから不正マクロを含むOffice文書ファイルに誘導されるパターンなども確認されています。いずれも海外では既に見られていたパターンですが、日本でも同様の変化が現れたものと言えます。同時に、感染環境で窃取したメールに対する返信や転送形式による攻撃メールも継続して見られています。
図2:2020年1月に確認されたEMOTETのマルウェアスパムの例
2019年中に確認されたものと比較し、日本語に違和感がないものが多くなっている
図3:2020年1月に確認された「転送」形式のEMOTETマルウェアスパム例
図4:2020年1月に確認されたEMOTETを感染させる不正マクロを含んだWord文書ファイルの例
EMOTET感染に対するトレンドマイクロの対応事例の中では、法人組織のネットワークで「MS17-010」などの脆弱性を利用した感染拡大により内部サーバにまで侵害を受け、対応が長引いた事例も見られています。EMOTETは外部のサイバー犯罪者による遠隔操作が可能なボットであるため、侵入後の被害は一様ではありません。同様にメール件名や内容、添付ファイル、EMOTET本体ファイルなども、既存対策の検出を回避するために常に変化します。特定の条件だけを注意していても、有効とは言えません。特に法人組織においては、変化に対応可能な多層防御の対策を今一度見直してください。
■被害に遭わないためには
EMOTETの攻撃は典型的なメール経由によるマルウェア感染であるため、侵入経路となるメールとその添付ファイルなどについて正当性を判断し、不審なものは開かないようにする心がけが必要です。ただし、EMOTETでは返信や転送の形式で送ってくる巧妙な騙しの手口もあるため、メールだけでは不審に気づけない場合も多いものと思われます。
もし、正規のメールと誤解してOffice文書ファイルを開いてしまった場合でも、現在のOfficeの設定ではマクロ機能は標準で無効になっているため、有効化しなければ不正活動は開始されません。以下のような確認表示があった場合、いったん立ち止まり、けして「コンテンツの有効化」ボタンは押さないでください。いったんファイルを閉じてから、メールとファイルの正当性を再確認してください。
図5:Officeでの「コンテンツの有効化」表示の例
上記のような確認メッセージが表示されるため、マクロ機能が標準で無効になっているにもかかわらず、「コンテンツの有効化」ボタンを押してしまい、被害に遭うケースも少なくないものと考えられます。Officeのマクロ機能を悪用する攻撃はEMOTET 以外にも多く存在します。マクロ機能を使用する必要がない場合には「警告を表示せずにすべてのマクロを無効にする」の設定に変更することも検討してください。具体的な設定方法に関してはマイクロソフト社の情報を参照ください。
図6:Microsoft-Officeの「セキュリティセンター」での「マクロ設定」画面の例
■トレンドマイクロの対策
トレンドマイクロではEMOTET脅威の概要と対策をまとめた特設ページを用意しております。技術的対策の考え方とトレンドマイクロの具体的な対策については特設ページを参照ください。
本記事内で取り上げたマルウェアEMOTETについては「ファイルレピュテーション(FRS)」技術により順次検出対応しています。従来型の技術での検出を免れるために継続して登場する新たな亜種に対しても、機械学習型検索や振る舞い検知、サンドボックスなどの多層の対策技術により防護可能です。「E-Mail レピュテーション(ERS)」技術により本記事で取り上げたような不正メールのブロックに対応しています。また、「Web レピュテーション(WRS)」技術により、関連する不正サイトのブロックに対応しています。
※調査協力: Trend Micro Research(小林 恵子)
※本記事内の画像について、直接の危険や権利侵害に繋がりかねないと判断される部分には修正を施しています。
