1. ホーム
  2. ニュース
  3. 注意喚起:テイクダウンされたマルウェア「Emotet」(エモテット)が活動再開

注意喚起:テイクダウンされたマルウェア「Emotet」(エモテット)が活動再開

セキュリティ 2021.12.28

マルウェア「Emotet」(エモテット)は2017年から存在が確認されており、2021年1月にはテイクダウン(無害化)が成功したと発表されました。
しかし2021年11月15日以降、テイクダウンされていたはずのEmotetの活動再開が日本を含む世界各国にて確認されています。
今回はこの活動再開したEmotetについて紹介いたします。

このニュースはこちらよりPDFファイルにてご覧いただくことができます。


1.概要
 マルウェア「EMOTET」(エモテット)は2017年から存在が確認されているマルウェアです。外部にあるコマンド&コントロール(C&C)サーバ(※1)から命令を受けて感染した端末にて不正活動を行いボットに分類されます。世界各国にて猛威を振るっていましたが、国際的な共同作戦が実施された結果、2021年1月にはテイクダウン(無害化)が成功したとEUROPOL(欧州刑事警察機構)により発表されました。
 しかし、2021年11月15日以降、テイクダウンされていたはずのEmotetの活動再開が日本を含む世界各国にて確認されています。今回はこの活動再開したEmotetについて活動再開の経緯や前回の感染拡大時との違いなどについてご紹介いたします。

※1:マルウェアに感染し攻撃者に乗っ取られた機器を「ボット」、ボットに対して攻撃の指示を出すサーバを「コマンド&コントロール(C&C)サーバ」と呼びます。


2.「Emotet」活動再開までの経緯

 Emotetの初観測からこの度の活動再開までの時系列の概要については下記表1のとおりです。

【表1】Emotet初観測から活動再開までの時系列

さらに、一度テイクダウンされたEmotetが活動再開し、被害を拡大させている背景には以下のような要因があります。

● 作成方法やノウハウの流用・継承
 2021年1月のテイクダウンにおいてEmotetを主導していた主要なハッカー集団は検挙されました。しかし、今回の活動再開では検挙された集団とは別のハッカー集団がEmotetの作成方法や運用ノウハウを何らかの手段で流用もしくは継承し、活動を行っているとみられています。

【図1】作成方法やノウハウの継承

● 新たなボットネットの構築
 2021年1月のテイクダウン以降、それまで構築されていたボットネットは徐々に無害化されていきました。しかし、今回の活動再開により新たなボットネットが構築され始めたことで、テイクダウン以前のEmotetと同様な脅威となりつつあります。

● Emotet自体の巧妙化
 2021年1月のテイクダウン以前に比べC&C通信が見つけにくくEmotet自体が巧妙化されているため、感染に気付くことが遅れ被害がより拡大する恐れがあります。巧妙化の詳細につきましては後述の「3.活動再開前後の「Emotet」における共通点と相違点」にて説明しています。

【図2】Emotet自体の巧妙化

また、以下の過去に取り上げたEmotetに関するセキュリティニュースをご参照ください。
『マルウェア「Emotet」(エモテット)最新攻撃メールについて』(2019年12月)
https://www.ssk-kan.co.jp/topics/topics_cat05/?p=10400

『Emotet テイクダウン成功後の現状と今後の対策』(2021年3月)
https://www.ssk-kan.co.jp/topics/topics_cat05/?p=11545


3.活動再開前後の「Emotet」における共通点と相違点

 2021年1月のテイクダウン以前と2021年11月の活動再開後のEmotetにおいて主に下記のような共通点と相違点が確認されています。

<共通点>
● メールを利用してEmotetに感染させる手口を用いる点
 Emotetの感染を目的とした攻撃では、「実在するメール」への返信を装ったメールが利用されることがよくあり、WordファイルやPDFファイルが添付されるほか、メール本文中にURLリンクが記載されていることがあります。これらのファイルを有効化してしまう、またはURLリンクにアクセスすることで、対象の端末機器がEmotetに感染してしまいます。

● Emotet以外の様々なマルウェアに感染させられる点
 Emotetは単なるマルウェアではなく他のマルウェアをダウンロードする「ローダー」としての役割も持っています。そのため一般的なマルウェア感染の際に起こる情報漏洩被害のみならず、不正取得した個人情報などの重要な情報と引き換えに金銭を要求する「ランサムウェア」や、機器内のデータを破壊してしまうようなマルウェアによる被害も受けてしまう場合があります。

 Emotet活動再開後は上記の「共通点」にて言及した手口のほかに、新たな手口として「Excelファイルを悪用する手口」と「PDF閲覧ソフトを偽装する手口」の2つが確認されています。

<相違点>
● Excelファイルを悪用する手口が用いる点
 メールの添付ファイルとしてExcelファイルが用いられる点以外はこれまでのWordファイルの場合と同様の手口です。

● PDF閲覧ソフトを偽装する手口が用いる点
 メール本文中に記載されたURLリンクをクリックすると偽のウェブサイトに誘導されるという手口です。利用者は偽のウェブサイト上にてPDF閲覧ソフトを装ったウイルスファイルをダウンロードさせられることでEmotetに感染します。

● 通信が難読化している点
 テイクダウン以前はC&Cサーバやボットネットの通信は暗号化されていなかったため、不審な通信内容を検知することができました。しかし、Emotet活動再開後はHTTPSなどの暗号化通信を利用し、通信の巧妙化が確認されています。そのため、通信の特徴をもとにEmotet関連の通信を検知することは以前より難しいです。


4.「Emotet」を含むマルウェアへの対策方法

 Emotetの攻撃と同様にメールを利用した標的型攻撃に対しては下記のような対策が有効です。

● 身に覚えのないメールを開かない
● 身に覚えのないメールの添付ファイルを開かない
● 身に覚えのないメールに記載のあるURLをクリックしない
● 例え自身が送信したメールへの返信メールであっても不自然な点があれば添付ファイルを開かない
● 信頼できないメールに添付されたWordやExcelファイルを開いた時に、マクロやセキュリティに関する警告が表示された場合、「マクロを有効にする」「コンテンツの有効化」というボタンはクリックしない
● OSやアプリケーション、セキュリティソフトを常に最新の状態にする
● メールや文書ファイルの閲覧中、身に覚えのない警告ウインドウが表示された際、その警告の意味が分からない場合は、操作を中断する
● 身に覚えのないメールや添付ファイルを開いてしまった場合は、すぐにシステム管理部門等へ連絡する
● 組織内への注意喚起を行う
● メールセキュリティ製品の導入
● マルウェア不正通信ブロックサービスの導入
● ソフトウェアのマクロ自動実行機能の無効化


5.e-Gateセンターにおける攻撃検知の推移

 e-Gateセンターのマルウェア関連の攻撃統計について2021年1月からの状況は下図4のように全体としては増加傾向です。マルウェアを利用したサイバー攻撃は2021年1月にEmotetがテイクダウンされたことで一旦減少しましたが、その他のマルウェアを利用した攻撃は日々増加していると考えられます。
また、8月に件数が一時的に増加している点については東京オリンピック・パラリンピック関連のサイバー攻撃の増加が影響していると考えられます。


【図3】e-Gateセンターにおけるマルウェア検知傾向
(2021年1月を100%として算出)


6.参考情報

・LAC
【注意喚起】マルウェアEmotetが10カ月ぶりに活動再開
https://www.lac.co.jp/lacwatch/alert/20211119_002801.html

・lanscope
最恐のマルウェア “Emotet(エモテット)” を徹底解剖。特徴と今必要な対策を解説します。
https://www.lanscope.jp/trend/16983/

・IPA
「Emotet(エモテット)」と呼ばれるウイルスへの感染を狙うメールについて
https://www.ipa.go.jp/security/announce/20191202.html


7.e-Gateの監視サービスについて

 e-Gateのセキュリティ機器運用監視サービスでは、24時間365日、リアルタイムでセキュリティログの有人監視を行っております。サイバー攻撃への対策としてセキュリティ機器を導入する場合、それらの機器の運用監視を行い、通信が攻撃かどうかの分析、判断をして、セキュリティインシデント発生時に適切に対処できるようにすることが重要です。e-Gateのセキュリティ監視サービスをご活用いただきますと、迅速なセキュリティインシデント対応が可能となります。
 また、e-Gateの脆弱性診断サービスでは、お客様のシステムにて潜在する脆弱性を診断し、検出されたリスクへの対策をご提案させていただいております。
 監視サービスや脆弱性診断サービスをご活用いただきますと、セキュリティインシデントの発生を予防、また発生時にも迅速な対処が可能なため、対策コストや被害を抑えることができます。

■総合セキュリティサービス 「e-Gate」
 SSK(サービス&セキュリティ株式会社)が40年以上に渡って築き上げてきた「IT運用のノウハウ」と最新のメソッドで構築した「次世代SOC“e-Gateセンター”」。この2つを融合させることによりお客様の情報セキュリティ全体をトータルにサポートするのがSSKの“e-Gate”サービスです。e-Gateセンターを核として人材・運用監視・対策支援という3つのサービスを軸に全方位のセキュリティサービスを展開しています。
【参考URL】
https://www.ssk-kan.co.jp/e-gate/


※本資料には弊社が管理しない第三者サイトへのリンクが含まれています。各サイトの掲げる使用条件に従ってご利用ください。
リンク先のコンテンツは予告なく、変更、削除される場合があります。
※掲載した会社名、システム名、製品名は一般に各社の登録商標 または商標です。

≪お問合せ先≫
サービス&セキュリティ株式会社
〒150-0011
東京都渋谷区東3丁目14番15号 MOビル2F
TEL 03-3499-2077
FAX 03-5464-9977
sales@ssk-kan.co.jp