Bizコンパス

人の心の弱いところを狙うマルウェア「Emotet」に要注意
2020.01.14

セキュリティ最前線第6回

人の心の弱いところを狙うマルウェア「Emotet」に要注意

著者 すずきひろのぶ (鈴木裕信)

 マルウェア「Emotet」(エモテット)が、国内で感染を急速に広げている。

 Emotetは、感染を広げるため、ユーザーが保管している過去のメールを利用し、悪質なコードを埋め込んだWordファイルを添付して送る。そのため受信者は、メールの返事だと勘違いし、開封し、さらにはメールに添付されている攻撃コードを含んだWordファイルをクリックしてしまい、結果として感染してしまう。このような巧妙な感染の戦略をとっている。

 Emotet は2014年に海外で発見されて以来、これまで欧米を中心に広がっていたマルウェアで、これまでPCに感染しオンライン銀行の情報を狙うマルウェア(Banking Trojan)として知られている。しかし正確には、攻撃目標となるPCに侵入し、外部のサーバーから情報を盗む別のマルウェアを取り込んでくるマルウェアである。そのため、ダウンローダーと呼ばれたり、インストーラーと呼ばれたりすることもある。

 それが昨年になって突然、日本国内で感染が広まった。前触れとして2019年5月1日に、公益財団法人東京都保健医療公社が被害にあったが、急激に増えたのは秋になってからである。それをうけてJPCERT/CCは11月27日づけでEmotet の感染に関する注意喚起を公開した。続いてIPAも2019年12月2日に情報を公開している。

 急激に感染が広まって来たのは、トレンドマイクロ社のセキュリティブログに掲載されている2019年11月28日づけ記事からも裏付けられる。同社が提供している国内でのEMOTET検出台数推移のグラフをみると、9月まで100件にも満たないものが、10月に突然1700件以上に跳ね上がっているのがわかる。

 JPCERT/CCではEmotetのFAQページを作って公開している。それだけ色々なところから質問を繰り返しうけているということの証だろう。尚、このFAQページはEmotetだけに特化した内容だけではなく、他のマルウェア感染が発生した際の対処にも使えるすぐれた内容になっているので、エンジニアの方は是非とも一度は目を通しておいてほしい。

最近のマルウェアは機能別モジュールに細分化されている

 今回はこのEmotetについて解説するが、Emotetを理解するために、まず近年のマルウェアの傾向を説明したい。

 近年ではマルウェアは多様なミッションをこなすために複雑な構成になっているものが多い。マルウェアは感染、探査、目的にあわせた実際の活動(具体的にはオンライン銀行の口座情報を盗んだり、企業や組織内の機密情報を流出させたり、あるいは顧客情報にあるクレジットカード番号を盗んだりと、その目的は色々である)といった段階により、利用するモジュールを変えることにより、その姿を変化させる。

 今日のマルウェアは、オールインワンの形で作られているソフトウェアではなく、活動状況にあわせて、外部から必要なマルウェアのモジュールをダウンロードして利用する。たとえば、侵入するフェーズ、侵入先のシステム及びネットワークを探査するフェーズ、実際の活動をするフェーズ、といったように異なる複数のフェーズから成り立っている。

 当然ながら、必要となるマルウェアのモジュールはフェーズにより異なるので、必要に応じて外部からダウンロードしている。その中でも最も重要なのが、外部から侵入する機能と、侵入後に、外部のサーバー(C&Cサーバー)と通信し必要なモジュールをダウンロードする機能を持ったマルウェアのモジュールだ。まずは侵入できなければ話は始まらないし、防御側もマルウェア対策ソフトウェアのような侵入させないように手をうって来るからだ。

 感染であるが、マルウェアは外部から感染(侵入)ずる方法の違いによって大きく次の3つに分類される。それは「(1) 自ら感染を広げる機能はないが、他のソフトウェアに寄生することで感染を広げるウイルス型のマルウェア」、「(2) 自ら自律的に感染を広げる機能があるワーム型マルウェア」、「(3)無害なように見せかけてユーザーに起動させ、侵入・感染を広げるトロイの木馬型マルウェア」である。Emotetはトロイの木馬型マルウェアに分類される。

関連キーワード

SHARE

関連記事

企業はサイバー攻撃を排除できない。でも、リスクの管理はできる

2019.12.25

セキュリティ対策に求められる新たな視点第9回

企業はサイバー攻撃を排除できない。でも、リスクの管理はできる

巧妙化する最近のフィッシングの傾向と効果的な対策

2019.10.09

今知っておきたいITセキュリティスキルワンランクアップ講座第16回

巧妙化する最近のフィッシングの傾向と効果的な対策

“お堅い会社”が「Box」を公式ツールに採用。何がどう変わった?

2019.09.11

働き方改革&生産性向上のカギはどこにある?第13回

“お堅い会社”が「Box」を公式ツールに採用。何がどう変わった?

終らないアラート対応に終焉を、ServiceNowとTenableが打ち出す脆弱性管理とは

2019.07.31

DXを加速させるITシステムの運用改革第9回

終らないアラート対応に終焉を、ServiceNowとTenableが打ち出す脆弱性管理とは

あらゆるリスクを無害化する、「最強のセキュリティ対策」とは

2019.04.24

セキュリティ対策に求められる新たな視点第4回

あらゆるリスクを無害化する、「最強のセキュリティ対策」とは

SD-LANソリューションを活用して高知工科大学が構築した「学内LAN」とは

2019.04.05

セキュリティ対策に求められる新たな視点 第3回

SD-LANソリューションを活用して高知工科大学が構築した「学内LAN」とは

聖域なきセキュリティ「ゼロトラスト・モデル」とは

2019.03.06

セキュリティ対策に求められる新たな視点第2回

聖域なきセキュリティ「ゼロトラスト・モデル」とは

Windows7の“Xデー”は、テレワーク導入の大チャンス

2019.02.27

テレワーク導入の“壁”を解決

Windows7の“Xデー”は、テレワーク導入の大チャンス

2019年のITトレンドは?企業の動向を知るキーワード

2018.12.12

ビジネススピードを加速するIT基盤第17回

2019年のITトレンドは?企業の動向を知るキーワード

3つの失敗例に学ぶ「脆弱性診断」を見極めるポイント

2018.11.28

セキュリティサービスを見きわめる方法

3つの失敗例に学ぶ「脆弱性診断」を見極めるポイント

セキュリティ対策の「As-is」「To-be」の考え方とは

2018.11.22

グローバルなIT基盤を最適化する仕組み

セキュリティ対策の「As-is」「To-be」の考え方とは