Emotetが流行しているのでEmocheckしてみた

Emotetとは

「世界で最も危険なマルウェア」と呼ばれている世界で最も広がったマルウェアである。世界中で推定160万台を超えるデバイスに感染し数億ドルの損害をもたらしている。¹

マルウェアというのは、悪意のあるソフトウエアという意味の造語である。コンピュータウイルスやワームなどいわゆる「ウイルス」と、スパイウェアやキーロガーなどの情報窃取ツールを総称する名前である。

WordやExcelファイルに仕込まれたコード開くことで、Emotetが実行される。様々な設定ファイルが書き換えられることでPCにバックドア（抜け穴）をつくり外部からのアクセスを可能にしてしまう。

そこから別のマルウェアをインストールされ、外部の悪意ある人間により様々な攻撃や利用に使われる。

Emotetは2021年1月27日にユーロポール（欧州刑事警察機構）により取締りが強化され一時的に沈静化した。しかし、2021年後半になり別のマルウェアボットネットであるTrickBotに感染したPCに侵入して感染を広げている。²

日本においてもIPA（情報処理推進機構）が3月第1週におけるEmotet関連の相談件数が先月比7倍を記録したと報告している。³

Googleトレンドを見てみても2022年2月27日から3月5日にかけて世界的にEmotetへの関心が高まっていたことがわかる。

TrickBotとEmotetは別のマルウェアであるが、お互いに協力しあって、多くのデバイスへの感染を広げてきたといえる。

各国の治安当局も見守っているだけではなく、EmotetのC2サーバー（C&Cサーバー）管理者の逮捕、TrickBot関係者の逮捕をしているが、中心となる開発者の逮捕や根絶には至っていない。

C2サーバーというのは、乗っ取りに成功したPCをコントロールするサーバーである。これらはサイバー犯罪に使われ、一説によるとわずか10ドル程度からレンタルすることができるという。

また、関係者の逮捕がありながらも、Lumen TechnologiesによるとC2サーバーは2022年3月時点でも200台を超えており、しかも着実に増えていると指摘する。⁴

結局関係者が処罰されたとしても、新たな別のプラットフォームを介して広がる可能性は非常に高く、気をつけるべきマルウェアであることには変わりないだろう。

Emotetはどのように感染するか？

Emotetのほとんどはメール添付されるファイルから侵入する。

WordやExcelファイルの中に組み込まれたマクロを開く、コンテンツを有効化すると実行される。そうであるがゆえに、ファイルを開く際にこれらの許可は慎重に実施すべきである。

たとえ、コンテンツを有効にしてしまったとしても、Windows Defenderなどのセキュリティ対策ソフトが最新であり、常にスキャンしていれば防ぐことができる可能性がある。

では、もし発見されておらずにいつの間にか感染していたらどうなるのだろうか。

実際に感染した人の話では、ある日突然大量の「MAILER-DAEMON」、つまりメールの送信エラーの山が届くという。

これが何を意味するのかと言うと、Emotetに感染した自分のPCから自分のメールアカウントを窃取され、自分の名前でEmotetを不特定多数に送りつけ、宛先不明で返ってきたのがこのDAEMONメールなのである。

実際にJPCERT/CCが公表しているEmotetメールを見てみよう。

⁴

添付された無害なファイルと、Emotetのファイルを同時に送ることで、全く問題ないかのように装っている。また、当然乗っ取られているので送信元アドレスも実際のアドレスを使っている。

相手は既にEmotetに感染し、メールアカウントに関する情報とPDFファイルが奪われてしまっている。受け取った人がウイルス付きメールを受け取ったと気づくことは難しい。

これまでのメール情報を窃取し、コピーして年月などだけ修正して送ることができるだろうから、変な日本語で気づくということもないのかもしれない。

件名：「【要確認】9/10日分請求書修正のお願い」

もし、取引先からこのように依頼されたら、自分も開いてしまうかもしれない。

先日、大手自動車会社の系列会社のPCがウイルス感染し、生産が1日休業するという事件が起こった。自動車業界は効率よくタイムリーな生産が行われていることから、非常に密に情報を共有する必要がある。⁵

受発注システムは専用回線やセキュリティ対策の施されたネットワークで行われているはずであるが、そうでない、会社の事務的な業務を管理しているPCが感染しただけでも事業運営は難しくなる。

結局、部品をいつまでに何個作ればよいかは分かっても、原価計算や月次決算、支払い業務などの経営管理ができなくなれば会社としての機能が停止してしまうからである。

また、メールを介して取引先を装った新たなウイルス送信元として機能することで、連鎖的に被害が拡大する可能性もあり、会社としての信用を取り戻すにも非常に多くの労力を割かなければならなくなる。

Emotetの仕組み

Emotet自体の仕組みは、メールに添付されたファイルを実行することから始まる。

このExcelやWordにはマクロのコードが埋め込まれている。このコードは難読化されている。

このマクロが実行されると、コマンドプロンプトやPowerShellが実行され、悪いサーバーに接続され、Emotetをインストールしてしまう。

次にEmotetがインストールされると、複数の場所に自身をコピーする。

このEmotet本体はC&Cサーバーに接続する。コンピュータ名、環境識別子、プロセスリストがCookieに書き込まれており、この情報がC&Cサーバーに定期的に送信される。

そして、Emotetはアップデートを前提として設計されているという。⁶

古いバージョンのEmotetに感染した場合は、C&Cサーバーから最新のEmotetをダウンロードし、最新のEmotetに感染した場合は、目的となる機能を持ったプラグインとなる部品であるモジュールをダウンロードする。

これらの機能を使って、どのようにEmotetを使った攻撃をしているのだろうか。

Emotetは感染したマシンへの最初のアクセスを取得し、そのアクセスをランサムウェアオペレータといったサイバー犯罪者に販売する役割を果たしているといえる。

上述のように企業相手であれば迷惑行為をするだけで、信用問題に関わるのだから脅しに使うことができる。個人相手であればパスワード、口座情報やクレジット情報などを盗むために使われる。

一見悪意のないようなソフトを装いながら、悪意のあるプログラムを入れるためにバックドアを開いたり、デバイスを制御したり、データを外部に流出させたりする。

このEmotetは巧妙な設計が特徴的で、他の攻撃者やランサムウェアオペレータに、サービスとして感染したデバイスを提供することができる。

また、Emotetの感染ネットワークの一つであるTrickBotに感染させることが知られており、更に様々なプラグインを活用して攻撃を仕掛けることを可能にする。

ESETによれば28種類のプラグインを収集した結果、ブラウザ・電子メールクライアント、その他のアプリからパスワードを盗み出すプラグイン、ネットワークトラフィックを変更するプラグイン、自己増殖を目的とするプラグインなどが見つかったという。⁷

C2サーバーを介して世界中の感染したコンピュータを動かすというサービスが提供されており、悪意のあるユーザーはこれを使って、さらに別のターゲットから価値ある情報を盗み出そうとする。

EmocheckでPCが感染していないか調べる

Emotetに感染しているかどうかはWindows Defenderなどセキュリティソフトでもわかることがあるし、専用のツールであればEmocheckというツールを使うとわかる。

Emotetのターゲットは主にWindowsであるが、カスペルスキーによればMacへの感染も報告されている。⁸

兎にも角にも、GithubからEmocheckをダウンロードする。

Assetsのところにemocheckの.exeファイルが並んでいる。多くのPCはx86で対応することができるので迷ったらx86を選択してよい。

ダウンロードしたファイルを開くとすぐに黒い画面が開く。
一見怪しそうであるが全く無害なので安心して欲しい。

しばらく経過すると自動的に検索が完了する。

自動的にEmocheckをダウンロードしたフォルダ内に結果のログが保存される。
ダウンロードフォルダから直接起動していれば、ダウンロードフォルダにログが保存されているはずだ。

もし、マクロ付きの怪しいファイルを開いてしまったという場合は、まずWindows Defenderのアップデートとスキャン、そしてEmocheckを実行してみよう。

詳しい情報はJPCERTの以下の記事を参考にして欲しい。

Emotetに感染しないために

• Windows UpdateとWindows Defenderを定期的に実施
• 変な日本語メールや文体のメールに注意
• doc/xlsの旧拡張子に注意（マクロつきか否かがわかりにくい）

Emotetに感染したかもと思ったら

• 大量のDAEMONメールに注意
• Emocheckで確認
• 感染していたらすぐにインターネットから切り離す（無線LANも忘れずに）
• 専門家に依頼して消去するもしくはクリーンインストールする

1. Emotet Redux https://blog.lumen.com/emotet-redux/ ↩

2. Emotet, once the world's most dangerous malware, is back https://zd.net/3CjGCUY ↩

3. IT Media NEWS - Emotet、3月はすでに300件超えの被害相談　“先月比7倍”で大幅拡大中　IPAが注意喚起 https://www.itmedia.co.jp/news/articles/2203/10/news107.html ↩

4. Emotet の追跡調査：2021年11月より着実に勢力を回復し 13万台に感染 https://iototsecnews.jp/2022/03/08/emotet-growing-slowly-but-steadily-since-november-resurgence/ ↩ ↩²

5. トヨタの国内全工場ストップが突きつけた「サイバー防衛」の至難｜ニュースイッチ by 日刊工業新聞社 https://newswitch.jp/p/31110 ↩

6. 三井物産セキュアディレクション - 流行マルウェア「EMOTET」の内部構造を紐解くhttps://www.mbsd.jp/blog/20181225_2.html ↩

7. ボットネット「Trickbot」を途絶えさせるための世界規模の取り組みにESET社も参加 https://eset-info.canon-its.jp/malware_info/trend/detail/201111.html ↩

8. Kespersky- 「Emotet」の脅威とは https://www.kaspersky.co.jp/resource-center/threats/emotet ↩