Emotetが復活して大流行!感染したらどうすれば良い?ウィルス対策ソフトで対応可能?

エンジニア小技

・Emotetとは?どんなコンピューターウィルスか知りたい

・Emotetに感染するとどうなるの?

・なぜEmotetが流行するの?

・トレンドマイクロ社のウィルスバスターでEmotetの感染は防げる?

・もしEmotetに感染したらどうすっれば良い?

こういった疑問に答えます。

スポンサーリンク

Emotetが復活して大流行!感染したらどうすれば良い?ウィルス対策ソフトで対応可能?

最近ヤフーニュースなどでも度々と取り上げられていますが、Emotetと言われるマルウェアが大流行しています。

マルウェアとは、Malicious(悪意のある)なsoftware(ソフトウェア)の略語で、不正かつ有害な動作を行う意図で作成された悪意のあるソフトウェアや悪質なコードの総称で、Emotetもそのマルウェアの一種です。

Emotetの基本的な攻撃手法は、不正なメールに添付された悪意のあるファイル(主にWordやExcelファイル)が添付されており、受信者が悪意のあるファイルと気付かずに「コンテンツの有効化」をクリックすることで悪意のあるアクションが発動し、Emotetに感染します。

不正なメールはメールのドメイン名が本来の取引先のドメインと異なるものの、請求書などのやり取りをする部門は一般的にITに詳しい人ではない人が多く、結果として被害が広がってしまいます。

2022年2月から3月にかけて、日本国内組織でのEmotetへの感染被害が大幅に拡大しています。情報セキュリティ安心相談窓口では、2022年3月1日~8日に、323件もの相談を受けています。これは、先月同時期(2月1日~8日)の、およそ7倍です。

引用元:Information-technology Promotion Agency, Japan(IPA)

Emotetに感染するとメールアドレスを搾取し、実在の相手の氏名、メールアドレス、メールの内容等の一部が、攻撃メールに流用され、「正規のメールへの返信を装う」攻撃が実施されます。

なぜEmotetが流行するのか?セキュリティ対策製品では防げないの?

ソフトバンクのブログにもありますが、Emotet自体が悪意のあるマルウェアではないため、アンチウィルスなどのウイルス対策ソフトでは検知され難いことが一つの特徴のようです。

Emotet自体には不正なコードが含まれていないためウイルス対策ソフトに検知されづらいことも、一般的なマルウェアよりも感染しやすくなっている原因

引用元:Softbank

『悪意のあるマルウェアではない』のになぜ被害にあうの?と疑問に思うかもしれませんが、Emotetは感染しながら、次々に悪意のあるソフトウェアを次々にモジュールとしてダウンロードして感染させます。

つまり、ウィルス対策ソフトで一つのEmotetに対処すれば良いわけでなく、関連する多くのモジュールに対応しなければなりません。

しかも、最近のEmotetは以前のEmotetと異なり、発動時にPowerShellやExcelマクロを実行してからマルウェアをダウンロードするのではなく、PowerShellやExcelマクロを呼び出さずに直接Microsoft社のコマンドラインユーティリティであるRegsvr32.exeを利用するような動きのものもあり、PowerShellやExcelマクロでの防御がしにくいものもあるようです。

以下のリンクはVirusTotalに報告されているEmotetの1つですが、regsvr32.exeを利用してEmotetに感染させようとしている様子が分かります。

VirusTotal
VirusTotal

VirusTotalはグーグル傘下でウイルス検査サービスを提供する企業で、ファイルやウェブサイトのマルウェア検査を行うウェブサイトを提供しており、ファイルをVirusTotalにアップロードしたりウェブサイトのURLを指定すれば、そのファイルやウェブサイトが「マルウェアを含むかどうか」検査できます。

最近のEmotetで利用されるにはマルウェアは多くのタイプの物があるため、regsvr32.exeだけを気を付けるだけでは全てのEmotetが防げるわけではありませんが、新しい脅威が出てきた際にはVirusTotalでマルウェアの振る舞いを確認することは、企業のセキュリティ担当者にとってもそのマルウェアの動向を知る上でも大事なアクションでしょう。

ウィルスバスターでEmotetを防げるの?

日本でも多くの企業で利用されているのがトレンドマイクロ社のエンドポイントセキュリティソフトのウイルスバスターでしょう。

トレンドマイクロ社のサイトに、世界の企業向けエンドポイントセキュリティソフトのマーケットシェアのIDCのレポートがあり、2020年ではシェアトップはトレンドマイクロ社とのことです。

IDCレポート Worldwide Corporate Endpoint Security Market Shares | トレンドマイクロ

そんな世界企業であるトレンドマイクロ社のサイトにもEmotetに関する注意喚起が掲載されていました。

マルウェア「EMOTET」の注意喚起 · Trend Micro for Home
2022年2月に、「EMOTET」(エモテット) と呼ばれる、ExcelやWordファイルなどのマクロ機能を悪用したマルウェアによる感染拡大が確認されています。弊社製品でスパムメールや不正ファイルの検出対応を順次しておりますが、不審なメールを受信した際はご注意ください。

製品での対応について
弊社にて確認されたスパムメールに関して、ウイルスバスター クラウドの機能で詐欺メールや迷惑メールとして検出するよう順次対応しております。

なお、ご利用の環境で検出されるようにするにはツールバーや拡張機能を導入して該当機能を有効にする必要があります。詳細につきましては関連リンクからご参照ください。


また、不正ファイルについても、製品のリアルタイムスキャン機能等で検出するよう順次対応しております。もし当該機能で検出されず、ファイルの真偽を確認したいといった場合はトレンドマイクロのサポート窓口までご相談ください。

引用元:トレンドマイクロ

この注意喚起からすると、『順次対応』と明記されていることから、ウィルスバスターは事後対応で感染リスクが高いと思われます。

というのも、トレンドマイクロ社のウィルス対策ソフトはパターンファイル(シグネチャ)を利用する従来型のアンチウィルス製品のため、新たなマルウェアへの対策には常にパターンファイルの更新をして対策をする必要があります。

パターンファイルは、どこかの誰かがコンピューターウィルスに感染した後に、そのウィルス(マルウェア)本体をトレンドマイクロ社が入手し・解析を行うことで、ウィルスを検出できるようにするパターンファイルを作成することが出来ます。

この更新版のパターンファイルがリリースされて初めてエンドユーザーはEmotetに対抗できるという後追いの対策になってしまいます。

Q&A | Trend Micro Business Support
このページでは、トレンドマイクロ製品で使用するウイルスパターンファイルの説明をしています。

考え方はコロナウィルスと同じで、様子を見ながらワクチンが順次提供されて、効果の有無を確認しつつ、効果が薄い場合には新たなワクチンを継続して開発提供していくことになります。

感染が発覚したらどうすれば良い?企業担当者が取るべき行動は?

もしEmotetに感染してしまった可能性がある場合には、次のアクションを検討・実施しましょう。

  1. 『EmoCheck』による感染の有無を確認
  2. 怪しいファイルを発見したらVirusTotalで確認
  3. 被疑端末の初期化の実施
  4. 専門家による診断

『EmoCheck』による感染の有無を確認

JPCERT/CCが提供しているツール『EmoCheck』を被疑端末で動かし、感染しているかどうかを確認しましょう。

Emotet感染確認ツール「EmoCheck」v2.1をJPCERT/CCが公開、2月に更新された挙動の変化に対応 旧バージョンで感染確認できなくても再チェックを
 一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)は3月4日、マルウェア「Emotet(エモテット)」の感染有無確認ツール「EmoCheck」のv2.1を公開した。2月にアップデートされたEmotetの挙動の変化に対応し、一部の機能ロジックを改善したとしている。

使い方はとても簡単で、こちらからダウンロードして実行すればすぐに感染強いてるかどうかの確認ができます。

Releases · JPCERTCC/EmoCheck
Emotet detection tool for Windows OS. Contribute to JPCERTCC/EmoCheck development by creating an account on GitHub.

ただし、Emotetをはじめとするコンピュータウィルスは、実行後に再起動後も動きき続けられるように感染端末の内部にプログラムを登録した後に、自分自身を削除することで検出されないような動作をします。

EmoCheckって何も検出されなかったからと言っ、て絶対に安心という訳ではありません。

怪しいファイルを発見したらVirusTotalで確認

先ほどご紹介したVirusTotalを利用することで、怪しいファイル、hash、URLなどの確認が可能です。

VirusTotal
VirusTotal

以下は先程のリンクと同じですが、EmotetのhashをVirusTotalのSEARCHタブで検索した結果で、60社のベンダーのうち28社が怪しいファイルである認識しています。

経験上、10社以上セキュリティベンダー(企業)が怪しいと認識している場合には、怪しいものと判断して良いでしょう。

また、この検索結果は毎日変化します。

特にEmotetなど、急速に感染が拡大するファイルの場合にはこの結果は一気に悪化しますので、頻繁に確認しましょう。

被疑端末の初期化の実施

被疑端末は可能であれば端末のクリーンインストールを行いましょう。

前述の通り、Emotetの単純に一つのファイルのコンピュータウィルスではなく、悪意性の高いもの低いものとで複数のモジュールをダウンロードして感染させます。

悪意性の高いファイルに関してはセキュリティソフトで検知・ブロック出来たとしても、悪性の低いモジュールに感染している可能性が有ります。

ですので、誤ってEmotetのドキュメントファイルをクリックしマクロを実行してしまった場合には、迷わず端末の初期化を行いましょう。

専門家による診断(インシデントレスポンス)の実施

最近は多くの企業で、企業のコンピューターへの不正アクセスや情報漏洩が発生しています。

不正アクセス被害の森永製菓、約165万人の個人情報が流出の恐れ
 森永製菓は2022年3月22日、同年3月13日に判明した不正アクセスの被害に関連し、顧客164万8922人分の個人情報が漏洩した恐れがあると発表した。個人情報を含むサーバーが不正アクセスを受けていたことが分かった。

もし勤務先で同様の事象が発生してしまった場合には、すぐに専門家による診断を検討・実施しましょう。

その際に実施するのは、インシデントレスポンス(IR)です。

インシデントレスポンス(IR)は企業がサイバー攻撃に対応するための手段であり、インシデントレスポンスを実施することで企業への損害を最小限に抑えられる可能性が有ります。

既にインシデントが発生している場合には情報漏洩も同時に発生している可能性があるため、可能な限り迅速に対応を実施してくれるセキュリティ企業のインシデントレスポンス(IR)を利用して、一刻も早く状況の把握を行いましょう。

インシデントが発生した場合には、コンピューターの再起動を行うとログやデータが削除されてしまう可能性が有ります。

端末の再起動やクリーンインストールを最初に行うのではなく、怪しい端末には触れずネットワーク上から端末を即座に隔離するか、もしくは上位ネットワークの切断をしましょう。

まとめ

今回は最近Yahoo!ニュースなどでも見かけるEmotetについて寄稿してみました。

日本企業はITエンジニアの年収が米国などと比べて低い傾向にあるため、残念ながら優秀なエンジニアが不足しているケースが多くあります。

セキュリティ分野は特にその傾向が顕著です。

国内企業へのサイバー攻撃が急激に増加 不審な攻撃者による不正アクセス対策に「攻撃遮断くん」導入を呼びかけ
株式会社サイバーセキュリティクラウドのプレスリリース(2022年3月1日 16時30分)国内企業へのサイバー攻撃が急激に増加 不審な攻撃者による不正アクセス対策に導入を呼びかけ

逆に人材不足の分野は年収アップにも効果的なので、ITエンジニアの方はセキュリティ業界の転職もありでしょう。

その際は勿論外資企業がオススメですので、Emotetを自身のチャンスにするのも良い選択でしょう。

タイトルとURLをコピーしました