Emotetが拡大している状況は、マルウェアの動向をリアルタイムに確認することができる
any.runサイト でも見られ、Emotetは今現在も世界規模で感染の広がりを見せています。このコラムを書いている2021年1月5日現在、Emotetが「月ランク/週ランク/グローバルランク」のすべてにおいてワースト1になっています。
DRSのコラムでも、2020年1月に「進化するマルウェア「Emotet(エモテット)」の脅威」として注意喚起を行いましたが、一年を経過してもなおEmotetの感染拡大が続いています。
Emotetの感染有無を確認できるツールとして「EmoCheck(エモチェック)」が、2020年2月にJPCERT/CCよりリリースされています。
2. Emotet の感染有無を確認するためにはどうすればよいですか? (2020.2.3 追加情報)
JPCERT/CC マルウエアEmotetへの対応FAQ
このEmoCheckを定期的に利用することで、Emotet感染有無を常に確認することができるようになります。そのため、EmoCheckをバックグラウンドで実行させるためのバッチファイルを作成して、タスクスケジューラーで自動実行させるような取り組みを実施している企業も少なくないでしょう。
しかしながら、JPCERT/CCより「2020年12月21日以降のEmotetについては、EmoCheckでは検知できない」との情報(2020.12.23 追加情報)が新たに発表されました。
JPCERT/CCによりますと、2020年12月21日以降のEmotetはexe形式ではなくdll形式になっており、これまでとは感染・発症のプロセスが大きく異なることが原因で、現行のEmoCheckでは検知できなくなってしまったため、Emotetの早期対策の実施が難しい状況になっています。
Emotetの新たな感染・発症のプロセスについては、以下の太字の部分となります。
まずメール添付されたWordを開くとマクロの実行有無が確認されますが、マクロを実行すると、WMIからcmdが実行されてメッセージウィンドウが表示されます。そしてその裏側でPowershellも実行され、この時に外部サイトからEmotet本体がダウンロードされます。このダウンロードされる本体ファイルが、これまではexe形式だったのが、dll形式に変わっています。
新しいEmotetは、dll形式を利用するようになったため、EmoCheckでの検知が行えなくなってしまいましたが、感染・発症後のメール送信を実行したり、別のマルウェアに感染させたりするなどのプロセスについては、従来と変化はないものと考えられています。
Emotetは元来、ファイルレスマルウェア攻撃という手法により、従来のアンチウイルス製品では検知しにくい攻撃手法で感染を広げてきました。この攻撃は、オペレーティングシステムに組み込まれているツールを悪用することで攻撃を実施します。
そのため、ファイルレスマルウェアは実行可能ファイルを使用しないので、アンチウイルスソフトが検知するシグネチャが存在しません。この特徴が、ファイルレスマルウェア攻撃を非常に危険なものにしています。そして今現在もなお、感染・発症のプロセスを進化させることで、さらに検知しにくくなっており、注意が必要です。
ここで、一般にEmotet感染被害を防ぐ方法として推奨されている方法についてまとめてみます。
1) Wordファイルのマクロ自動実行を無効化しましょう。
なお、マクロを実行する場合には、受信したメールに添付されたWord文書ファイル等が信頼できるものと判断できない限り、行わないようにしましょう(2021年1月5日現在、EmotetはWordファイルのマクロより感染・発症することが確認されており、他のファイル形式では確認されていません)。
2) Windows OS、アプリケーションを常時最新の状態にしましょう。
また、以下はEmotetに感染していないことを確認する方法です。
3) メールのログで、以下を確認しましょう。
(ア) なりすましメール(HeaderFromとEnvelopFromが異なるメール)が、大量に送信されていないか?
(イ) 外部宛の送信メールが、通常よりも大幅に増えていないか?
(ウ) Word ファイルを添付したメールが、大量に送信されていないか?
4) ネットワークトラフィックのログで、Emotetが使用するポート番号(20/TCP, 22/TCP, 80/TCP, 443/TCP, 446/TCP, 447/TCP, 449/TCP,465/TCP, 7080/TCP, 8080/TCP, 8090/TCP等)にアクセスしていないか確認しましょう。
また2020年12月21日以降のEmotetに関しては、「Windows OS の自動起動設定に、Emotetが存在する可能性の高いフォルダに含まれるdllファイルが設定されていないか」を確認することも、有効な手段だと考えられます。
しかし、ここに挙げたEmotet対策方法の1)と2)では、残念ながら万全ではないことは明らかです。
Emotetは情報の搾取に加え、感染者が過去にメールのやり取りをしたことがある実在の相手の氏名、メールアドレス、さらにメールの内容等の一部を流用し、あたかも返信メールであるかのように装うため、信頼できるメールであると認識してしまう可能性が非常に高いからです。
また、Windows OSやアプリケーションの最新化によって、Emotetの感染・発症のプロセスの一部を防ぐことは可能だと考えられますが、Emotetには様々な攻撃パターンが存在するため、これも確実な手段とは言えません。
近年のウイルスはEmotetに限らず非常に高性能化が進んでおり、その傾向は今後も続くものと予想されます。
今回のコラムではEmotetを取り上げてご紹介しましたが、もし、Emotet以外にも新たな高性能ウイルスが出現してしまった場合は、どうしたら良いのでしょうか?
Emotet対策と同じようなアプローチ、つまりウイルスの感染・発症のプロセスを分析し、それに応じた対策を講じる対応では、運用が煩雑になりとても追いつかないと予想されます。
現在、ウイルス対策製品として、AI・機械学習型を含むさまざまな製品が登場していますが、Emotetを確実に検知・防御できる製品は存在していません(当社調べ)。
DRSでは、これまでの「脅威を検知する」というアプローチとは異なる「AppGuard(アップガード)」を紹介しています。
AppGuardは、ウイルスの感染・発症プロセスにおける「Windows OSを害するために必要となる挙動」に着目してアプローチすることで、Emotetに限らず、マルウェアがどのような特性を持っていたとしても、ウイルスの活性化を阻止して感染・発症プロセスを失敗させます。たとえ信頼できないメールを開いてしまったとしても、安心して業務を継続することができるようになります。
「AppGuard」の詳細につきましては、こちらのコラムをご参照ください。
ウイルスを「検知しない」セキュリティ製品 AppGuardとは
