2022年2月28日月曜日

巧妙化するスパムメールの陰で増加するEmotet(エモテット)攻撃とは?内容と対策

スパムメールの危険性がより高まる

攻撃者とセキュリティ部門が日々戦いを続けているスパムメール攻撃への対策ですが、近年、スパムメールから発生するサイバーテロ、情報漏えい事故が多発しています。スパムメールは昔からある攻撃手法でしたが、この数年の間に更に大きな進化を遂げ、組織の大小を問わず、大ダメージを与えるようになりました。本日は、その中でも「最近復活した危険な攻撃手法」である「Emotet(エモテット)攻撃」を取り上げてご説明したいと思います。

Emotet(エモテット)とは

Emotet攻撃の「Emotet」とは、マルウェア(ウイルス)の名前です。Emotetが 初めて発見されたのは、2014年の事です。Emotetが開発された当初、攻撃者の狙いは、銀行を利用するユーザーの認証情報を盗み出す事でした。Emotetはユーザーのコンピューター上で動作する、いわゆる「トロイの木馬」タイプのマルウェアです。被害者がインターネット上で銀行口座へのアクセス情報を始めとする認証情報を入力する際、Emotetがそれらの情報を盗み出す…というものでした。

Emotetの感染方法は、スパムメールに添付されていたWord文書が主流でした。添付されているWord文書にはマクロが組み込まれており、そのマクロを実行してしまうとEmotetのダウンロードが始まり、実行される仕組みです。主流と言いましたが、Word文書の添付だけでなく、ExcelデータやWebサイトのリンクを掲載しているパターンもありました。

Emotetを添付したメールを被害者に到達させる方法は、「メールの大量ばらまき」です。Emotetは、被害者のメールアカウントとパスワード、アドレス帳などの情報を抜き取ります。それらの情報を基にEmotet攻撃メールを作成し、被害者のアドレス帳に入っている宛先に送信します。メールの送り主が知り合いやビジネスパートナーであるため、送り先ではファイルを開く被害者が出てしまいます。ファイルを開いてしまったが最後、またEmotetが被害者のメールアカウントやアドレス帳の情報を抜き取り…と、負の連鎖が続いていきます。万が一職場のメールアカウントで感染してしまった場合には、取引先や顧客を巻き込んでしまう事になります。最悪の場合、感染元の企業は損害賠償を請求されたり、取引停止措置やブランドイメージが失われる危険性もあるのです。

 

実際のEmotet攻撃メール

Emotetは、2022年の今も猛威を振るっています。 IPA(情報処理推進機構)においても情報の更新がありましたが、被害の相談が再度増えている状況です。

一体、どのようなEメールが届くのでしょうか。2022年2月に弊社に届いた Emotet攻撃メールを見てみましょう。


 

「高橋さん」という方から弊社の社員宛てに「Fwd:」付きのメールが届いています。「Fwd:」は「転送」を意味する表現で、関係者へ情報の共有をしたい時などに使用します。

添付ファイルはZIPファイルですね。添付ファイル名にも、特に違和感はありません。

高橋さんは弊社社員が実際にやり取りをしたことがある方で、企業も確かに実在するメーカーです。一目見ただけでは、特におかしな点は無いように思えます。

しかし、このEメールをよく見ると、小さな違和感がいくつもあるのです。

 

巧妙化するスパムメール

Emotet攻撃のメールは、被害者のメールアカウントを乗っ取り、アドレス帳の情報を盗んで、ばらまき攻撃を行うものでした。ここで、差出人の名義をよく見てみましょう。

 

差出人部分を拡大し、詳細な確認を行いました。

 

その結果、差出人の中には、「会社A」の名前以外に、メールドメインは別の「会社B」のドメインが使われていることが分かりました。

また、高橋さんは弊社とのやり取りがある方ですが、会社Aの所属ではありません。また、メールドメインで使用されている会社Bとも一切関係のない方であり、メールアドレスの@手前に記載されているizumixx(一部伏せております)さんとの関わりもありませんでした。 

一見しただけでは「普通のメールかな?」と思ってしまいますが、実は、立派なEmotet攻撃メールなのです。添付されていたZIPファイルをうっかり開いていたら、どうなっていたでしょうか。

このように、元々やり取りされていたメールになりすまして、横入りを装う形でメールを送信する攻撃も横行しています。「Fwd:」だけでなく、メールに「RE:」をつけて返信を装い、大規模なばらまき攻撃が行われたこともあります。実際にやり取りをしているメールのスレッドに割り込むフリをしてEmotetのダウンロードに誘導するため、Emotetのばらまきメール攻撃であるとすぐに見破る事が非常に難しくなっています。

 

Emotetは感染すると何をするのか

Emotetは、感染するとコンピューターワームのように増殖、拡散を繰り返し、同一ネットワーク上に存在する他のコンピューターへ不正侵入を試みます。そして、以下のような行動をし、甚大な被害を与えます。

1.  情報を盗み取る

コンピューター内部に入り込んだEmotetは、自分で情報を窃取するモジュールをダウンロードします。例えば、スパイウェアです。スパイウェアはコンピューターに保存されているログインアカウントやパスワード、各種Webサービスで使用する認証情報を始めとする様々な情報を見つけると、攻撃者が作成した外部サーバーへ送信してしまいます。送信されたデータは攻撃者によって解析され、攻撃への流用や情報窃取に悪用されます。

2.自分が感染したというログ(記録)を消去する

Emotetが複数のマルウェアを用いて情報を窃取した後、自分がコンピュータ-に存在した痕跡を消すためにランサムウェアやワイパー型のマルウェアをダウンロードすることがあります。ランサムウェアは端末内のデータを暗号化し、ワイパー型マルウェアはデータそのものを破壊します。これらが動作してしまうとEmotetが行った活動のログ(記録)をチェック出来なくなるため、一体何の情報が漏えいしたのか、そもそもどこから感染したのかといった調査ができなくなってしまいます。しかも、業務で使用していた端末自体が一切利用できなくなるため、復旧作業がされるまで、業務の大部分が遂行できなくなってしまいます。

3.ワーム機能で、他の端末へ次々と伝染する

Emotetは、ワーム機能を持っています。ワーム機能とは、ネットワークを介して自分のコピーを拡散させる伝染機能のことです。ワーム機能を持ったプログラムは、ネットワーク内に侵入するとOS等が持つセキュリティ機能の隙を自分で探し、他の端末へ侵入を試みます。しかも、Emotetは端末に潜伏して活動を行いながらも、アップデートが行われていたという報告もあります。つまり、感染した端末に隠れながら、外から新たな攻撃手段を更新して成長し続けるマルウェアと言えます。OSやソフトウェアに新たに脆弱性が発見された場合、攻撃者からアップデートを受けたEmotetが組織内で爆発的に感染を広げ、組織の機能を停止に追い込む可能性もあるのです。

4.被害者のコンピューターを攻撃の踏み台に仕立て上げる

Emotetは、感染の際に窃取した情報を利用し、アドレス帳や受信・送信等、やり取りのある取り引き先へばらまきメール攻撃を開始します。送信先に一人でもEmotet攻撃に引っかかる被害者が出れば、感染端末は純粋に増加します。もしも大量の顧客とやり取りのあるメールアカウントがEmotet攻撃の被害に遭った場合は、顧客への注意喚起や補償対応が発生する場合がありますし、「セキュリティ対策がなっていない企業」として、ブランドイメージの低下にも直結します。Emotetは、感染したコンピューターを踏み台にして新しい被害者を探すという非常に悪質な仕組みなのです。

 

Emotet攻撃から自分の身と組織を守るために

では、どのようにすればEmotet攻撃から自分の身と組織を守れるのでしょうか。

受信側のメールサーバーの機能を使えば、添付ファイル付きのEメールを完全に拒否するように設定することは可能です。しかし、添付ファイルは今や多くの業務に不可欠なものであるため、この設定を受け入れることが出来る組織は少ないでしょう。

もう一つの選択肢は、Emotetを始めとする危険な添付ファイルやメッセージを検出して隔離するメールセキュリティ製品を導入することです。メールセキュリティ製品の機能を用いれば、怪しいと判断されたメッセージをまずは隔離しておき、管理者が中身を確認して検証した後で受信者に送信することができます。

 

また、なりすましメッセージに関しては、DNSサーバーが持つSender Policy Framework(SPF)を使用すればある程度のブロックが望めます。ただし、これは攻撃者が公開メールサーバーを使用していて、公開されているソースから来たように見えるメッセージを送信する場合にのみ止めることができる機能です。Emotetは被害者のアドレス帳をスキャンし、被害者のアカウントを悪用してメールを送信するため、必ずしもSPFで止められる訳ではありません。  

上記の理由から、組織は電子メールに対するセキュリティ製品を導入する必要があると考えられます。メールセキュリティ製品は、オンプレミスのサーバーでも、クラウドサーバーでも運用できます。理想は、メールサーバーへ到達する前にメールセキュリティ製品を通すことです。コンピュータそのものに到達していなくても、組織の資産であるメールサーバーへウイルスの添付されたメッセージが到達している状況は、良い状況とは言えません。

併せて、悪意のあるマクロを含むドキュメントを始めとする添付ファイルを識別できるAIを持った製品であることが求められます。過去の事件から想定される判断基準を有するAIを通し、危険な添付ファイルと判断されたものは隔離し、管理者レビューへ移行します。メールサーバーの手前でこのような手順を踏むことで、従業員は安心して業務を遂行できます。

メッセージを隔離しておくメリットは他にもあります。隔離されたメッセージ数や隔離される頻度を見ることで、自分の組織が標的型攻撃のターゲットになっている可能性をチェックすることが出来ます。役員に送られているメッセージが大量に隔離されているなら、その組織がスピアフィッシング攻撃の標的になっている可能性があります。情報セキュリティ管理者は、状況を見ながら従業員に対して、従業員を狙ったフィッシングメールが増加していることを通知し、注意喚起を促すことが出来ます。メールセキュリティ製品と従業員へのセキュリティトレーニングを併用すれば、組織はEmotetや他の電子メールベースの攻撃に対して、より安全に対処することができます。

Emotet攻撃対策は、通常のトレーニングよりも優れたサイバーセキュリティ技能を必要とする攻撃です。ランサムウェアとクレデンシャル(認証情報)の盗難は、大企業にとって壊滅的なデータ損失と信頼の失墜につながるリスクがあります。SpamTitanのようなメールセキュリティ製品を使用することで、悪意のある添付ファイルを使用する最新のフィッシング攻撃から組織を守ることができます。

 

SpamTitanの機能

メールセキュリティ製品の中で、SpamTitanはメールサーバーへ到達する前にブロックすることができるスパムメールフィルタリング製品です。アプライアンス、クラウド両方に対応しています。

添付ファイルに仕込まれたウイルス検証、拡張子ごとのフィルタが可能であり、スパムメールの検疫レベルは管理者が調整できます。

OS不要、ISOイメージ・VMwareイメージの2パターンでインストールが可能で、全てのメールに対して検疫機能を有しており、インストールは30分以内に完了します。本年、フィッシング詐欺を狙うURLに対して更に深い検証を行うフィッシング詐欺対策機能も追加されました。

 

SpamTitanは、30日間の無料トライアルが可能です。



 


参考URL:Emotet Malware Still Active and a Major Security Threat to Organizations(TitanHQ)

 

以上で、このブログを終了させて頂きます。

ここまでお読みいただき、ありがとうございました。