はじめに
まだ以下の記事をお読みいただいていない方は、本稿より先にそちらをお読みください。
マルウェアとは | レンタルサーバーのSpeever
Emotet(エモテット)とは
Emotet(エモテット)とはマルウェアの一種です。2014年にその存在が確認されて以降、さまざまに形を変えつつも、2022年3月現在も、その感染力の高さと、被害の大きさから、最も危険なマルウェアの1つと目されています。
Emotet(エモテット)の特徴
巧妙な「なりすましメール」で拡散する
Emotet(エモテット)には、主に攻撃者から送られるメールの添付ファイルを開くなどすることで感染しますが、このメールの多くが「一見すると、取引先から送付されたかのように見える」巧妙な「なりすまし」であることが知られています。
感染した端末のデータを窃取する。
上記の「なりすまし」に利用されるのが、感染した端末内のメール本文やアドレス帳などの窃取されたデータです。
窃取されたデータを元に、どのように拡散されるかは、いくつかのパターンがあります。
パターンA
A社の職員がEmotet(エモテット)に感染。攻撃者は端末のメールの内容やアドレス帳の情報からB社の情報を窃取する。
次に攻撃者はB社に対して「あたかもA社がB社へ送付したかのような」なりすましメールを送り、マルウェアの拡散を試みる。
パターンB
A社の職員がEmotet(エモテット)に感染。攻撃者は端末のメールの内容やアドレス帳の情報からB社とC社の情報を窃取する。
次に攻撃者はB社に対して「あたかもC社がB社へ送付したかのような」なりすましメールを送り、マルウェアの拡散を試みる。
(B社からの視点では、Emotet(エモテット)の感染源がA社であることが判断できないことが特徴です)
いずれのケースでも、Emotet(エモテット)に感染することで、さらなるEmotet(エモテット)の拡散に加担することになります。
ランサムウェアに感染する
Emotet(エモテット)から別のランサムウェアが端末に感染し、端末のデータを破壊して、Emotet(エモテット)の追跡調査を不可能にさせてしまうことがあります。
社内ネットワークを通じても拡散する
Emotet(エモテット)はすでに述べたなりすましメールによって社外ネットワークへ拡散しますが、社内ネットワークの他の端末へは、自己増殖するワームが侵入を試みます。
Emotet(エモテット)の対策
一般的なマルウェア対策の多くはEmotet(エモテット)にも有効ですが、攻撃メールの巧妙さから、「怪しいメールの添付ファイルは開かない」というセオリーが通じにくいのがEmotet(エモテット)の特徴です。
脱PPAP
Emotet(エモテット)の攻撃メールには、感染源となるファイルが「パスワード付きzipファイル」として添付されていることがあります(一見すると、いわゆるPPAPのように見える)。
この状態のファイルは暗号化されているため、メールをスキャンしてウィルスの有無を調査するセキュリティ対策では対応できないことがあります。
信頼する取引先とのファイルのやり取りは、PPAPを利用するのではなく、クラウドストレージなどを用意しましょう。
