今回は若手エンジニアではなく、ちょっとシニアなCXO (Chief Xatsuyo Officer/Chief Transformation Officer) 竹田が書いてます。 いつもの日記形式ではなく、時事ネタとなる Emotet について取り上げてみたいと思います。
なお、本記事のフォーカスはマルウェアの挙動や通信先ではなく、Emotet の感染の拡大の背景やその原因などについて記載します。
技術的な情報については、JPCERT/CC や IPA などのセキュリティ組織や国内外のセキュリティ関係者やリサーチャーが Twitter などで情報を公開されていますので、そちらを参照してください。
Emotet とは?
Emotet の攻撃は 2018年末頃から国内で攻撃が確認されており、既に1年半以上攻撃(一時期不正メールが止まっていた時期もあります)が続いています。
Emotet の感染を狙った攻撃は電子メール (以降、メール) が使用されます。メールに添付ファイルを開封することで、最終的に Emotet に感染します。(筆者は見たことはないですが、添付ファイルの代わりに不正ファイルへのリンクが記載されている事もあると言われています。)
なお、Emotet という名前は情報窃取を目的としたマルウェアの事を指す名前ですが、メール攻撃も含めて Emotet に一括りに説明される事が多いです。
Emotet の感染の流れ
では、なぜ Emotet がここまで騒がれるのかというと、その背景には Emotet の感染拡大方法にあると考えられます。
以下に Emotet の感染拡大の流れをまとめてみました。
この図を見てわかるように Emotet の感染拡大メカニズムの中核を担うのは感染 PC 内に保存されるメール情報(メールアドレス、メール本文、添付ファイルなど)です。
攻撃者はあらゆる手を使って受信者の関心が不正メールに向くように手を尽くしてきます。
- 感染 PC の保有者がいつも使用するメールアドレスへの詐称 (From 詐称)やなりすまし
- やり取りをしていたメールを装って送ってくる(返信型)
- やり取りに使用していた添付ファイルの悪用
など
また、最近ではパスワード ZIP を用いた攻撃も確認されているようです。
結果として、図のように直接組織間につながりがなくても (図の組織Aと組織Cように) 間接的に感染の影響範囲が広がっていくこの負の連鎖が続く流れ、いわゆる「サプライチェーンリスク」が Emotet の攻撃においても潜在しています。また、Emotet に感染することで、間接的に感染拡大の仕組みの一部に組み込まれて行ってしまっているという点を忘れてはいけない点だと思います。
Emotet への感染リスク
次に Emotet に感染した際のリスクの観点から考えてみましょう。Emotet を用いた攻撃では、感染時・感染後それぞれにおいて発生する事象、リスクが異なります。
以下に、感染時、感染後それぞれのタイミングで考えられる事象などについて以下に記載します。
対象情報 | Emotet 感染時のリスク | Emotet 感染後に発生する事象 |
---|---|---|
感染端末 | Emotet への感染 | 他のマルウェア (ランサムウェア等) への感染 |
アカウント情報 | アカウント情報の窃取 (端末内に保存・設定する) |
継続して窃取 2次利用 (不正アクセス、転売) |
メール情報 | メールアドレス、本文、添付ファイル (端末内に保存する) |
窃取されたメール情報の感染拡大への悪用 |
その他 | 組織内への感染拡大など (想定) | 偽装元詐称(From詐称)・なりすましへの対応 (リリースなど) |
現在どのフェーズなのかを捉え、影響・リスクを検討・整理することが重要です。
Emotet への完全な感染対策!?
Emotet の攻撃も含め、サイバー攻撃の対策に 100% ありません。また、感染拡大の部分でも説明した通り、Emotet の感染を狙った攻撃は誰もが受ける可能性があります。
攻撃を受ける・メールを開封したこと前提に対応を考えていく必要があります。
- 組織内への攻撃情報や関連メールに関する情報の共有・周知
- 問題が発生した際の連絡体制の周知・徹底
- 開封した人間を悪者にしない (誰しにも起きることとして捉える)
など
上記項目はあくまで一例ですが、普段から意識して行っていくことで組織内における情報の風通しが変わってくると思いますので、改めて見直してみてはいかがでしょうか。
なお、Emotet の技術的な感染対策等は、様々な情報がすでに世の中に出回っていますので詳細はここでは控えます。
さいごに
今回は現在も継続して攻撃が発生する Emotet について感染拡大に視点を絞って書いてみました。
インシデントへの対応の際には、「なぜ、問題になっているか」、「原因として何が考えられるのか」など状況を正しく把握することで自身・自組織における実際のリスクを適切に評価することができます。
また、事前に発生している事象・当事者として起きうるリスクなどを考慮・想定した対応を行っておくことで、実際にインシデントが発生した際に迅速にリスク評価・対策のフェーズに移ることができます。本記事がEmotet の事案における対応・対策の一助になっていただければ幸いです。
参考 URL
- マルウェア Emotet の感染拡大および新たな攻撃手法について
https://www.jpcert.or.jp/newsflash/2020090401.html - 「Emotet」と呼ばれるウイルスへの感染を狙うメールについて
https://www.ipa.go.jp/security/announce/20191202.html - 7月下旬以降相次ぐ不審メール注意喚起についてまとめてみた
https://piyolog.hatenadiary.jp/entry/2020/08/12/124753 - 流行マルウェア「EMOTET」の内部構造を紐解く
https://www.mbsd.jp/blog/20181225_2.html