頻発するEmotet感染インシデントを徹底解説: 不正メールの検知方法と推奨対策とは 〜Vol.1 Emotetの脅威〜

記事をシェアする:

2019年10月頃から本レポート作成時点(2020年12月)までの間、マルウェアEmotetへの感染を狙う不正メールのばらまきやマルウェア感染インシデントが日本国内において断続的に発生しています。本レポートでは、Tokyo SOCにおけるEmotet感染インシデントの検知状況とインシデント対応サービスIBM X-Force Incident Responseにおける対応事例を踏まえ、不正メールによるインシデント検知状況や推奨される対策をご紹介します。

[2020/1/28更新]EuropolによりEmotetがテイクダウンされ、感染後の外部サーバーへの通信が無害化されるようになりました。
World’s most dangerous malware EMOTET disrupted through global action | Europol

Emotet感染インシデントの検知・対応状況

図1は、Tokyo SOCで監視しているネットワーク・セキュリティー製品およびEDR製品のアラートをアナリストが分析した結果、マルウェアEmotetのダウンロードや活動を発見し、通知に至った件数の推移です。2020年2月～6月はEmotetの感染を試みる不正メール自体の検知も見受けられず通知件数も落ち着いていたものの、7月後半から再開した攻撃活動と共に件数が増加し、9月は一か月で通知件数が40件になりました。

昨年より本ブログでも紹介している通り[1]、以前はEmotetのダウンローダーとして動作するマクロを組み込んだWordファイルをメールに添付する形式が主流でしたが、2019年12月8日以降はメール本文にWordファイルをダウンロードするURLを記載する手法へと手口が変化しました。2020年7月以降もこのURL記載型を引き続き確認しています[2]。その後、9月頃からはWordファイルをパスワード付きでZIP圧縮したファイルを添付する手口に再び変化しています。

インシデント対応サービスX-Force Incident Responseにおいても、2019年10月頃からEmotet感染インシデントの対応依頼や関連するお問い合わせに数多く対応しています。ご相談の内容は以下のようなものです。

• Emotet感染に至ったことが確認されており、影響範囲の特定を行いたい
• 不審な添付ファイルを開いてしまったため感染有無の確認を行いたい
• なりすましメールを受信しているが、自社の感染によって引き起こされているものではないか確認したい

特に、2020年9月以降の対応依頼が非常に多くなっています。これはTokyo SOCにおける通知件数の推移と同様の傾向であり、パスワード付きZIPファイルを添付する手口が少なからず感染数増加の原因になっているものと考えられます。

Emotetの感染と活動の流れ

パスワード付きZIPファイルを添付するEmotetを例に、不正メール受信からマルウェア感染・活動の流れを説明します。概要は次の通りです。

1. ユーザーがメール本文に記載のパスワードで添付のZIPファイルを解凍し、Wordファイルを開く
2. ユーザーが「コンテンツの有効化」ボタンをクリックしてマクロの実行を許可する
3. マクロから悪意あるPowerShellスクリプトが実行され、Emotetがダウンロード・実行される
4. Emotetが外部C2サーバーと通信をしながら次のような活動を行う
   
   Emotetの活動の例
   • 端末内のメール情報や認証情報等の収集と外部送信
   • 近隣の端末への感染活動（横展開）
   • 他のマルウェアのダウンロードと実行
5. Emotet経由で感染した他のマルウェアが活動を開始する

この流れを図示すると図２の通りです。不正メールの受信やプレビュー、添付のWordファイルを開いてマクロの実行を許可する前まで（図中 ①まで）であればEmotet感染はありませんが、「コンテンツの有効化」ボタンを押しマクロの実行を許可するとEmotetの感染活動が開始されます（図中②以降）。

Vol.1では猛威を振るうEmotetの脅威について説明しましたが、Vol.2ではEmotetに感染しないための対策、そして万一、感染してしまった場合の対処に関して説明します。

 

【参考情報】

[1] Tokyo SOC Report:マルウェアEmotet (エモテット) への感染を目的としたメールの検知状況 【年末・年始期間の不正メールにご注意ください】
https://www.ibm.com/blogs/security/jp-ja/emotet-detection-status-201912/

[2]Tokyo SOC Report:マルウェアEmotetへの感染を目的としたURL記載型メールの検知状況
https://www.ibm.com/blogs/security/jp-ja/emotet-detection-status-202010/

 

【関連情報】

頻発するEmotet感染インシデントを徹底解説: 不正メールの検知方法と推奨対策とは 〜Vol.2 Emotetに感染しないためには〜

 

【著者情報】

2007年日本アイ・ビー・エム株式会社入社。Tokyo Security Operation Center(SOC)アナリストとして監視・分析業務や脅威情報発信を行う。2018年よりX-Force Incident Response 日本チームメンバーとしてセキュリティー・インシデント対応支援等に従事。CISSP、GREM、GCFA

2008年日本アイ・ビー・エム株式会社入社。TSDLにてミドルウェア製品エンジニアを経て、2015年よりTokyo Security Operation Center(SOC)にてセキュリティー・アナリスト業務に従事。現在は、MDR Cyber Threat ResponderとしてEDR製品の分析等を行う

2006年、ISSの執行役員最高情報セキュリティ責任者(CISO)に就任、技術本部長を兼任する。 2007年、日本IBMとの会社統合後、情報セキュリティーインシデント対応とISMSの推進を担当。2008年に起きた個人情報漏洩事件では、匿名P2P通信を逆探知し違法情報の拡散犯人検挙に貢献。これらの経験を活かし、現在、日本IBMのインシデント対応サービスである、X-Force Incident Responseを担当。自らもセキュリティー・インシデント対応として、現地調査や各種分析調査を担当する。