お役立ち資料
お問い合わせ
コラム
2020.01.14 セキュリティ

進化するマルウェア「Emotet(エモテット)」の脅威

2021年2月17日追記
Emotetの後続情報は、こちらの記事をご確認ください。

最恐のマルウェアEmotetの無害化に成功

----------------------------------------------------------------
2019年11月28日の記者会見で、菅義偉官房長官は「国内でマルウェア『Emotet(エモテット)』の感染被害が発生しており、注意喚起を行っている。」と語りました。
その後も、数々の国内感染事例が報告され、さながら2017年5月に発生したランサムウェア「WannaCry(ワナクライ)」の騒動に近い状況となっています。

本日は、Emotetの攻撃の全容と、このEmotetをブロックする仕組みをご紹介したいと思います。

目次

Emotetへの注意喚起
Emotetに感染するとどうなるか
Emotet 攻撃の全容
Emotet 感染拡大を防ぐのが難しいのはなぜ
AppGuardがEmotetをブロックする仕組み

Emotetへの注意喚起

Emotetは、2014年頃からオンラインバンキングを狙うトロイの木馬として利用されており、犯罪組織はヨーロッパの金融機関を狙って、窃取した口座情報で大きな収益を得てきました。

2017年後半からは、銀行側のセキュリティ対策強化が進んだことで、他の収益源としてマルウェア拡散に目を付け、ビジネスモデルを変化させたといわれています。感染は、主にメールから始まります。

Emotetに感染するとどうなるか

パスワード総当り攻撃で内部拡散

同じネットワーク上にある別の端末に対してパスワード総当たり攻撃によるログインを試み、内部感染が拡大していきます。また、組織内のアクセスポリシーによっては、ログイン失敗の繰り返しでアカウントのロックアウトが多発します。

メール本文とアドレス帳の窃取で外部拡散

外部拡散するために、侵入した端末内に保存されているメールデータの窃取を行います。実際のやり取りのメール件名を使ったなりすましメールが、取引先に対して貴方名義で送信され、Emotetへの感染を誘導してしまう可能性があります。

別のマルウェアに感染

攻撃者が用意したC&Cサーバー※を通じて自身をアップデートするだけでなく、それを踏み台として、別のマルウェアが注入される危険もあります。海外では「Emotet感染後に、ランサムウェアに感染した」という報告も確認されています。

現在のEmotetの活動は 種まき の段階であり、次に来るのは 刈り取り 、つまりEmotetをきっかけに、その他強力なマルウェアへ連鎖する可能性があるともいわれています。

※C&Cサーバー(command and control server):外部から侵入して乗っ取ったコンピュータ(ボット)を利用したサイバー攻撃で、踏み台のコンピュータを制御したり命令を出したりする役割を担うサーバーコンピュータのこと。

Emotet 攻撃の全容

Emotetは、主にメールに添付された Word 形式のファイルにより感染します。ここで特徴的なのは、EmotetがC&Cサーバーと通信を行うことで、一般的なウイルス対策製品の検知を逃れ、未知の脅威へと進化していくことです。

Emotet 感染拡大を防ぐのが難しいのはなぜ

Emotetは、なぜ検知されず、感染力が強いのでしょうか? その答えは2つ、

第一に、窃取した情報を悪用した高度ななりすましメールにより、感染誘導メールを開封してしまう危険性が高い点があげられます。
従来の誘導メールは、身に覚えのない送信者名や、不自然な日本語から、ある程度、各自の注意で防ぐことができましたが、
Emotetの場合は、過去にメールのやり取りがあった人物名件名でメールが届くため、見破るのが大変難しくなっています。

第二に、従来のセキュリティ製品への対抗策が組み込まれ、侵入後も日々アップデートを繰り返すためです。

チェックルーチンを内部に持たない

一般的なマルウェアは検出回避のために、侵入環境を調査するチェックルーチン(解析環境やサンドボックスがある場合は活動しない等)を内部に保持しています。ところが、EmotetはこれをC&Cサーバー上で行います。

  • ウイルス対策製品が検知する手掛かりが少ない。
  • そもそもサンドボックス内では動作せず、検知できない。

難読化

Emotetは、Wordファイルに埋め込まれた不正なマクロを実行することで、複数のコマンドプロンプトを経由してPowerShellを起動させます。このマクロ自体が、人間が理解しにくいコードに加工されています。

  • マクロが難読化されている。          
  • 複数のURLからEmotet本体機能を収集。          

Windowsの正規ツールを悪用(ファイルレスマルウェア)

ファイルレスマルウェア攻撃は、標的のPCにソフトウェアをインストールする従来のマルウェア攻撃とは異なり、代わりに、Windowsに組み込まれているツールをハイジャックして攻撃に使用します。つまり、従来型のマルウェアを使用していないので、シグネチャがありません。

Emotetは、Windowsの正規ツールであるコマンドプロンプトやPowerShellを利用し、C&Cサーバーからモジュールをメモリにダウンロードして実行します。

  • 悪意のあるコマンド実行と正当なコマンド実行がみわけにくい。
  • シグネチャがないので、検出が困難。

ポリモーフィック型

ポリモーフィック型マルウェアは、自己複製を行う際にプログラムのコードを変化させ、検出を回避します。Emotetは、C&Cサーバーとの通信により頻繁にアップデートされるため、パターンマッチングによる検出が困難です。

  • C&Cサーバーとの通信により、日々進化。          

プロセスハロウィング技術

正規exeファイルのプロセスの中身をくり貫き、マルウェアコードをインジェクションさせるので、検出が困難です。

「AppGuard」が「Emotet」をブロックする仕組み

この進化するマルウェア「Emotet」を防ぐセキュリティ製品、「AppGuard」をご紹介します。

従来の「脅威を検知する」というアプローチとは異なり、「AppGuard」は下図のとおり、感染プロセスにおいて「Emotetを活性化させるために必要となる挙動に着目してアプローチ」します。よって、Emotetに限らず、マルウェアがどのような特性を持っていても、活性化できずに攻撃を失敗させることができます。

「AppGuard」の詳細につきましては、こちらのコラムをご参照ください。

ウイルスを「検知しない」セキュリティ製品 AppGuardとは

セキュリティAppGuard

エンドポイントセキュリティ製品「AppGuard(アップガード)」のリーフレットです。

page top