【Day 7】メール経由の侵入：最新のAIフィッシングとEmotet/IcedIDの挙動

Posted at 2026-01-14

はじめに

第7回は、ランサムウェア攻撃の最も一般的な侵入経路となっているメール経由の攻撃に焦点を当てます。特に、AIの進化によって「見破れないメール」が増加している現状と、ランサムウェアを呼び込むための「下位検体（マルウェア）」の挙動を技術的に深掘りします。

VPNやRDPが「システムの隙」を突く攻撃なら、メールは**「人間の心理と判断」**を突く攻撃です。2026年現在、生成AIの悪用により、かつての「怪しい日本語」「不自然な文面」は過去のものとなり、セキュリティエンジニアでも一瞬迷うほど巧妙化しています。

📧 1. 2026年のフィッシング：AIによる「完璧ななりすまし」

従来型から進化型へ

これまでのフィッシングメールは、大量送信による「数打ちゃ当たる」方式が主流でした。文法ミスや不自然な表現により、ある程度見分けることが可能でした。

しかし現在は、生成AIエージェントを用いたパーソナライズ型フィッシングが主流となり、以下のような特徴を持ちます:

完璧な日本語・英語の文章
受信者の役職や業務内容に合わせたカスタマイズ
時事ネタや組織内イベントへの言及
実在する社員名や取引先情報の利用

🦠 2. ランサムウェアへの道：EmotetとIcedIDの役割

メールに添付されているのは、ランサムウェアそのものではないことがほとんどです。攻撃は段階的に進行します:

【攻撃の段階】
Step 1: フィッシングメール受信
   ↓
Step 2: ダウンローダー/インフォスティーラー感染（Emotet, IcedID等）
   ↓
Step 3: 内部偵察・認証情報窃取
   ↓
Step 4: 攻撃ツール展開（Cobalt Strike等）
   ↓
Step 5: ランサムウェア投下

Emotet（エモテット）の挙動

歴史: 2014年に登場したバンキングトロジャンから、「マルウェアのプラットフォーム」へと進化。2021年に国際的な取り締まりで壊滅したものの、2022年に復活し、現在も亜種が観測され続けています。

主な機能:

メール情報の窃取と拡散
- 感染端末のメールクライアント（Outlook等）から連絡先とメール本文を抽出
- 窃取した情報を使ってスレッドハイジャック攻撃を実行
- ワーム的に組織内外へ拡散
マルウェアの運び屋（Loader）
- TrickBot, Qbot, Cobalt Strikeなど、より危険なマルウェアをダウンロード
- ランサムウェアグループへのアクセス販売
検知回避技術
- ポリモーフィック（多形態性）: コードが実行ごとに書き換わり、シグネチャ検知を回避
- 暗号化通信: C2サーバーとの通信を暗号化
- 正規ツールの悪用: PowerShell, WMI等を使用し、ファイルレス攻撃を実現

IcedID（アイスドアイディー）の変貌

進化の歴史: 2017年に銀行情報を盗むバンキングトロジャンとして登場。2020年頃からランサムウェア攻撃（特にConti, LockBit, Quantum等）の初期アクセスブローカーとして重用されるようになりました。

現在の主な挙動:

初期偵察フェーズ
- 感染端末のシステム情報収集（OS, ドメイン参加状況等）
- Active Directory環境のマッピング
- ネットワーク構成の把握
- 管理者権限の有無確認
認証情報の窃取
- LSASS（Local Security Authority Subsystem Service）からメモリダンプ
- ブラウザの保存パスワード抽出
- Kerberos チケットの取得
攻撃ツールへの移行
- 十分な偵察が完了すると、Cobalt Strike Beaconをメモリ上に直接展開
- ファイルレスで動作するため、アンチウイルスによる検知が困難
- Cobalt Strikeを使って横展開（Lateral Movement）を開始

Cobalt Strikeとは: 本来はレッドチーム（侵入テスト）用の正規ツールですが、不正入手されたライセンスが攻撃に悪用されています。ランサムウェアグループの標準的な攻撃フレームワークとなっています。

🛠️ 3. 技術的対策：メールの「信頼性」をどう担保するか

「怪しいメールは開かない」という精神論はもはや通用しません。**「人は必ず騙される」**ことを前提とした技術的な多層防御が必要です。

推奨対策と実装優先度

優先度	対策技術	概要・メリット	実装難易度
★★★	DMARC/SPF/DKIM	送信ドメイン認証。なりすましメールを「受信拒否」または「隔離」する。DMARCポリシーを`quarantine`以上に設定	中
★★★	EDR導入	ファイルを開いた後の「PowerShellの異常な挙動」「LSASS へのアクセス」を検知して遮断	高
★★★	フィッシング耐性MFA	FIDO2（WebAuthn）やパスキーなど、AiTM攻撃に耐性のある認証方式の採用	中
★★	ブラウザ分離 (RBI)	メールのURLをクリックした際、クラウド上の隔離環境で実行し、端末への感染を防ぐ	高
★★	メールサンドボックス	添付ファイルを仮想環境で事前実行し、挙動を分析	中
★	フィッシングシミュレーション	最新のAIフィッシングの手口を社員に擬似体験させ、リテラシーを底上げ	低

具体的な実装チェックリスト

メール送受信の保護:

DMARC レコードを公開し、ポリシーをquarantineまたはrejectに設定
外部メールに警告バナーを自動付与
リンクの自動書き換え（URL rewriting）機能の有効化
添付ファイルの自動サンドボックススキャン

エンドポイント保護:

EDRの導入と24/7監視体制の構築
PowerShell Constrained Language Modeの有効化
マクロの自動実行を組織全体で無効化
アプリケーションホワイトリスティング（AppLocker等）

認証とアクセス制御:

FIDO2セキュリティキーまたはパスキーの導入
条件付きアクセスポリシーの設定（異常な場所からのログイン検知等）
特権アカウントの分離と監視強化

🎓 4. ユーザー教育のポイント

技術的対策と並行して、以下のようなセキュリティリテラシー向上が重要です:

教えるべき具体的な行動指針:

メールの送信者確認
- 表示名だけでなく、メールアドレスそのものを確認
- 社内の人からのメールでも、ドメインが微妙に違う場合は偽物
添付ファイル・リンクへの警戒
- 予期していないファイルは開かない
- Office文書で「マクロを有効化」を求められたら要注意
- ショートカットキーの組み合わせ操作を指示する画面は詐欺
緊急性を煽る内容への疑い
- 「24時間以内に対応」「アカウント停止」などの脅し文句
- 「セキュリティ上の理由で確認が必要」という正規を装った文面
報告体制の整備
- 怪しいメールを受信したら、すぐにセキュリティチームへ報告
- 誤って開いてしまった場合も、隠さず速やかに報告

💡 文化の醸成: ミスを責めない文化が重要です。報告を躊躇させない環境づくりが、早期検知・早期対応につながります。

📝 まとめ：メールは「攻撃の起点」に過ぎない

メール経由の攻撃において、添付ファイルを開いたりリンクをクリックしたりすることは、**「攻撃者に玄関の鍵を渡す行為」**に相当します。

本日の重要ポイント:

AIによって「だまし」の精度は極限まで高まっており、従来の「怪しさ」による判断は困難
スレッドハイジャックやClickFix攻撃など、新しい手口が次々と登場
EmotetやIcedIDは、ランサムウェアのための「道作り」をする初期侵入ツール
**「人は必ず騙される」**前提で、事後検知（EDR）と強力な認証（フィッシング耐性MFA）を実装
技術的対策と人的教育の両輪が不可欠

次の脅威: メール経由で侵入に成功した攻撃者は、次に何をするのか？組織のネットワーク内部での「静かな移動」が始まります。

関連リンク:

Day 1-6の復習推奨：VPN/RDP経由の侵入経路も理解しておくと、攻撃の全体像が見えてきます
参考：JPCERT/CC「マルウェアEmotetの感染再拡大に関する注意喚起」

You get articles that match your needs
You can efficiently read back useful information
You can use dark theme

What you can do with signing up