Tokyo SOC Report

マルウェアEmotet (エモテット) への感染を目的としたメールの検知状況【年末・年始期間の不正メールにご注意ください】

2019-12-26

カテゴリー Tokyo SOC Report | 不正情報詐取防止 | 検知状況

記事をシェアする:

2019年11月末に一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC) から注意喚起 ^[1]が発表されていますが、マルウェアEmotetへの感染を目的としたばらまき型の不審なメールが多く確認されています。

図1に、Emotetに感染する可能性がある添付ファイル付きメールのIBM Tokyo SOCにおける検知状況を示します。10月上旬は1日数件程度の検知に留まっていましたが、10月中旬以降は多い日に約800件のばらまき型メールを検知しています。この傾向は12月に入っても継続しています。また12月8日以降は、添付ファイルではなくメール本文にダウンロードURLを記載する手法も確認しています。

図1：マルウェアEmotetに感染する可能性がある添付ファイル付きメールの検知状況
（Tokyo SOC調べ、2019年10月1日～2019年12月13日）

期間中、Tokyo SOCで確認しているEmotetへの主な感染経路はメールです。その攻撃の一連の流れをご紹介します。

まず攻撃者はマクロを組み込んだWord文書を、メールに添付したり、メール本文にダウンロードURLを記載したりして送信します。このファイルはEmotet本体ではなく、ダウンローダーとして動作します。メール受信者が添付ファイルまたはダウンロードしたファイルを開封し、ダイアログで「コンテンツの有効化」をクリックすると、外部の不審なホストからEmotetがダウンロードされ感染に至ります。Emotetは、Trickbot等の追加のマルウェアをダウンロードするだけではなく、感染したクライアントのメールソフトから連絡先情報や過去のメールのやり取りを窃取し、外部のホストに送信します。これらの実際にやりとりされたメールや実在する連絡先情報を使用して、Emotetはさらに感染を広げているという特徴があります。さらに、この攻撃手法は特定の脆弱性を悪用するものではなく、実在する送信者になりすまして受信者を騙し、添付ファイルの開封やURLのクリックを誘導するといった特徴もあります。

次に、Tokyo SOCで監視をしているサンドボックス製品で検知したメールの例を示します。先ほどご紹介した通り、EmotetのダウンローダーとなるWord文書自体を添付ファイルとして送信してくるケース（図2）と、メール本文にダウンロードURLを記載し受信者にクリックさせることでWord文書を端末に転送するケース（図3）を確認しています。メールの件名がない、メール本文の日本語に多少違和感を覚える点がある等不審な箇所は見受けられるものの、過去にやり取りしていたメールを引用して返信を装う、実在すると思われる人物の署名を本文に記載して正規のメールを装うといった点に、受信者がファイルを開いてしまう確率をあげて感染端末を増やそうとしている攻撃者の意図が感じられます。またTokyo SOCでは、添付ファイル型のメールは日本語と英語の両方を確認していますが、12月に入ってから検知しているURL記載型ではその多くが日本語メールです。このため、攻撃者は日本の受信者に焦点を当ててメールを作成しEmotetに感染させようとしていると考えられます。なお、12月18日頃からは「メリークリスマス」と本文に記載されている、ホリデーシーズンに対応したメールも確認しています。

図2：Tokyo SOCで検知した不審なメールの例（添付ファイル型）

図3：Tokyo SOCで検知した不審なメールの例（URL記載型）

Tokyo SOCで検知したメールの添付ファイル名の例を図4に、本文に記載されたダウンロードURLの例を図5に示します。

添付ファイル名のパターンは非常に多岐にわたるものの、ファイル名がList、DOC、INFO、SCAN等で始まっている、メールの受信年月日が含まれている、invoice等請求書を想定させる等の共通点が見受けられます。また、12月に入ってからは日本語が含まれるファイル名も確認しています。こちらも傾向は変わらず「請求書送付のお願い_<数字>_2019_12.doc」等、請求書を想定させる文字列の後に受信年月日が含まれるファイル名を確認しています。

メール本文に記載されたダウンロードURLの例では、実在するサイトのドメイン名が使用されているケースが多く見受けられます。また、オープンソースのCMS（コンテンツマネジメントシステム）であるWordPressを使用しているサイトと推測できることから、攻撃者はパッチ未適用の脆弱なWordPressを稼働させているサーバーを見つけ、脆弱性を悪用してサイト改ざんを行いWord文書の配信元として悪用していると考えられます。

図4：マルウェアEmotetに感染する可能性があるメールの添付ファイル名の例

図5：マルウェアEmotetに感染する可能性があるメール本文に記載されたダウンロードURLの例

受信者が端末上でWord文書を開きマクロを実行すると、外部の不審なホストに接続されEmotetがダウンロードされます。Tokyo SOCで検知したEmotetのダウンロード先の例を図6に示します。本文に記載されたURLのパターンと同じく、WordPressを稼働させている実在するサイトが改ざんされ、マルウェアの配信元になってしまっているケースが多いと考えられます。

図6：マルウェアEmotetのダウンロード先の例

既に教育機関や医療機関等複数の組織でEmotet感染による被害が報告されています。このような被害に遭うと、感染時に組織内の機密情報が窃取されるだけではなく、今後窃取されたメールを利用した標的型攻撃を受ける可能性も考えられます。

このような被害に遭わないために、下記の通り組織内での情報共有や体制の確認とあわせて技術面での対策を行うことが有効です。

■ 組織内での情報共有やインシデント発生時の体制についての確認

メールの本文に記載されている日本語がおかしいもの、受信者が “undisclosed-recipients:;” と記載されているもの等不審なメールは開かないという基本的な対策を徹底するよう、組織内のユーザーに定期的に注意喚起を行うことが重要です。

また、万が一組織内で感染端末が見つかった場合に備えて、適切な組織への連絡フローや事後対応手順が明確になっているか等をご確認いただくことを推奨いたします。

■ 技術面での対策

ご紹介した通り攻撃手法が巧妙になっていることから、技術面での対策をあわせて実施することが有効です。

既に各IPS製品ではEmotetの不審な通信を捉えるシグネチャーや検知ロジックがありますが、このように数日おきに攻撃手法や通信のパターンが変化している状況では、下記のような多層防御による対策をご検討ください。

メールセキュリティーサービスを使用して不審なメールを遮断する
不審なファイルを開封してしまった場合に備えてクライアントにアンチウィルスソフトを導入する
感染してしまった場合に備えて、IPS製品で感染後に発生する通信を遮断する
Microsoft社のOffice製品において業務上マクロ機能を使用しない場合には「警告を表示せずにすべてのマクロを無効にする」という設定へ変更する ^[2]

また自社サイトがマルウェアの配信元にならないよう、外部公開しているWebサイトに改ざん可能な脆弱性が残っていないか改めてご確認ください。

なお、メール経由の攻撃では現在Emotetが注目されていますが、LokibotやAgent Tesla等の情報窃取系マルウェアへの感染を試みるものや、実在の組織を騙りアカウント情報の窃取を試みるフィッシングメールも多く検知しています。これらの攻撃への対策としても、ユーザーへの注意喚起とあわせ、技術面での対策を推奨いたします。

Tokyo SOCでは毎年、年末・年始期間にマルウェア感染を狙う悪意あるメールを検知しています。長期休暇が明けた直後等、多数のメールを確認しなければならない時には特に注意が必要です。不審なメールが多数のメールに紛れ込んでしまうことで、不用意にファイルを開いてしまうリスクが高まります。

本記事でご紹介した内容を、組織内でのインシデント発生リスクを下げる一助としてご活用いただければ幸いです。