サービスに関する
お問い合わせ

緊急対応 専用窓口

セキュリティの緊急事態が発生したらご遠慮なくお問い合わせください。ご相談は無料です。

セキュリティの
学び場

SHIFT SECURITY セキュリティの学び場 ニュース解説 Emotetテイクダウンの流れからみる、その傾向と対策

Emotetテイクダウンの流れからみる、その傾向と対策

Emotetテイクダウンの流れからみる、その傾向と対策
目次
  • 今回の解説ニュース
  • Emotetが感染後に取る挙動について
  • 過去に行われたEmotetテイクダウンの流れ

こちらの記事は、セキュリティ専門家の松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」の放送内容を文字に起こしご紹介しています。

今回の解説ニュース

Emotet感染収まらず、理研はじめ各法人で注意喚起

Emotet感染の拡大が止まらず、各法人で報告と注意喚起が行われている。(記事はこちら)

【お届けするニュースはサイバーセキュリティ専門ニュースサイト「ScanNetSecurity」の提供でお送りしています。】

マルウェアのEmotetが引き続き猛威を振るっており、被害にあった各法人から注意喚起が行われています。過去に何度も注意喚起を行っているEmotetですが、その感染を広げる環境や対策について、過去の歴史も振り返りながら説明します。

Emotetの感染拡大が止まらず、被害者から報告と注意喚起が行われています。発表されている内容としては、メールの先頭に記載されている「送信者の氏名」と「メールアドレス」が一致していないこと、メール添付されているファイルの解凍パスワードがメール本文に記載されていること、WordやExcel等が添付されており、本文中に「コンテンツの有効化」ボタンをクリックするようにと指示があること、メール本文に意味のある内容がほぼ無く、添付ファイルを開封するよう誘っていること、あるいは過去に実際にやり取りされたメールの文章がそのまま貼り付けられていること、メール本文中にURLが記載されており、リンク先にPDF文書ファイルがあるように見えること、などが挙げられています。

Emotetが感染後に取る挙動について

現在のところ、Emotetの感染源はMicrosoft OfficeがインストールされたWindowsが対象とされていますが、今後はその範囲が広がる可能性もあります。

Emotetは主にメールの添付ファイルで、パスワード付きZIPに圧縮された状態で送信されてきます。メール本文に書かれているパスワードで展開されたWordやExcelのファイルを開いて、マクロが実行されることで感染を広げていきます。

Emotetが感染後に取る挙動について、もう少し細かく踏み込んで説明します。Emotetは感染した端末に、インターネットから別のマルウェアをダウンロードしようと試みます。このダウンロードされるマルウェアは常に更新することが可能であるため、別の脆弱性を突くようなツールや、場合によってはWindows以外のシステムを攻撃するマルウェアもダウンロードされる可能性があることになります。すでに、感染した組織内のメールサーバを乗っ取ってメールを配信するEmotetも確認されていますので、油断は禁物です。

Emotetの対策としては、一般的なマルウェア対策である、怪しいメールや添付ファイルは開かないこと、OSやソフトウェア、セキュリティ対策を最新バージョンへアップデートすることに加え、マクロ実行の無効化やパスワード付きZIPの拒否など、業務への影響も許容しながら強いセキュリティ対策を実施することが求められる状況であると言うことができます。

過去に行われたEmotetテイクダウンの流れ

Emotetの歴史を振り返り、過去に行われたテイクダウンの措置について説明します。

2021年1月末にEmotetの活動基盤がテイクダウン
2021年1月27日「Operation LadyBird」と呼ばれる、オランダ、ドイツ、アメリカ、イギリス、フランス、リトアニア、カナダ、ウクライナの国際的な共同作戦でEmotetの活動基盤はテイクダウンされました。具体的には、Emotetをコントロールしていたサーバは法執行機関によって差し押さえられ、Emotetを運用していたメンバーの一部は逮捕されました。その後、Emotetの感染端末は法執行機関が管理するサーバのみと通信を行うように変更されています。このような状況から、Emotetは無害化された、つまりテイクダウンされたと言われていました。
ところが2021年11月にEmotetの活動再開を確認
ところが、2021年11月14日から、Emotetが活動を再開したことが確認され始めました。当初はWordやExcelファイルがそのまま添付された英語のメールでしたが、現在は日本語のメールでパスワード付きZIPファイルのEmotetが確認されていることは、すでにご説明した通りです。
昨今の世界情勢にも似たような、対Emotetへの構図
かつて、国境を越えて複数の国が連携することで、我々はEmotetに打ち勝つことができました。異なる組織が同じ共同体として活動することは、Emotetを含めたいかなる困難にも勝ち得ることを証明した、誇るべき事例であると考えられます。残念ながら現在はEmotetに優勢な状況が続いていますが、Emotetを再びテイクダウンできるかどうかは、人類が同じ共同体として活動できるかにかかっています。なんだか、現在の世界情勢と重ね合わせることができそうですね。

今回は、改めてEmotetの歴史も振り返りながら、その傾向と対策についてお届けしました。我々もセキュリティで社会課題を解決する集団として、Emotetの無償フォレンジック調査を引き続き提供しています。不安を抱える皆様にとって何ができるかを常に考えて行動しておりますので、下記のリンクよりお願いします。

Voicyでニュース解説ラジオ配信中!

今日の10分セキュリティラジオにて毎週月・水・金にセキュリティの最新ニュースを取り上げ解説を行っています。隙間の時間の情報収集にぜひお役立てください!

この記事の著者 セキュラジチーム

話題になっているセキュリティニュースやセキュリティに関する疑問を専門家の解説と個性豊かなパーソナリティたちがお送りしています。1日10分で、気軽にセキュリティの知識を深めることができます。放送は月曜・水曜・金曜の朝7時15分。

\ 記事をシェアする /

サービスに関する
お問い合わせ