【Emotetとは?】
Emotet(エモテット)
=メール経由で拡散するマルウェアのこと。
■マルウェアとは?
不正且つ有害に動作させる意図で作成された、
悪意のあるソフトウェアやコードの総称。
malicious software(直訳:悪意のソフトウェア)の略称。
■これまでのEmotetの活動
<2014年>
初めてEmotetが観測される。
当初はオンラインバンキングを標的とした、トロイの木馬型のマルウェアだった。
<2015年以降>
標的を拡大させ、モジュール型のマルウェアへ進化し続けている。
※何度も配布→休止を繰り返してきていますが長文になるので割愛。
<2019年9月~2020年初め頃>
Emotetの活動が活発化。日本での感染も拡大した。
<2020年2月頃~2020年6月頃>
Emotetが配布活動を休止。
この間にEmotetをZip付きファイルで送る方法を作り出した。
※Zip付きファイルだと不正なoffice文書が圧縮されるので、セキュリティ検知をすり抜けてしまう。
<2020年6月頃~現在>
Emotetが再度、配布活動を開始。
過去最大規模の感染となっている。
<2020年12月21日>
Emotetの感染メールの配布が観測される。
※2020年10月末頃からあまり観測されていなかった。
賞与支給、クリスマスなど年末に関連する件名や文面、ファイル名を使用し、
受信者を騙しやすくしている様子。
■Emotetに感染した場合に想定される被害
①情報流出
→受信メールの情報、感染端末の認証情報などが漏れる。
②次の攻撃のためのプラットフォーム化
→感染した自分の端末が次の攻撃の踏み台となって、他組織への攻撃メールを送信してしまう。
③他のマルウェアの感染
→Emotetに感染したことで漏洩した情報は、不正サーバへ飛ばされる。
⇒情報を他の組織へ売られたりレンタルされたりしてしまう。
■Emotetの感染フロー
①マルウェアスパムが着弾
②不正マクロの実行など
→EMTET本体がダウンロードされる。
③メールの内容、メールアドレスなどのデータを収集
④収集データを不正サーバへ送信
⑤収集データを元に更にマルウェアスパムを拡散
⑥なりすましメールなどに悪用される。
■Emotetの感染手法
Emotetは現時点※1で、
①ばらまき型マルウェアスパム
②「返信型」攻撃メール
のずれかで攻撃をしてきているとのこと。
①ばらまき型
→不特定多数に適当に送りつける。
自分には関係ない事柄や適当な文面・件名で送られてくるので、受信者に怪しまれやすい。
②返信型
→過去にメールのやり取りしたことがある人からの返信や転送という形式でメールがくる。
そのため受信者は不審なメールかどうか判断がしづらく、
うっかりファイルを開いたりマクロの有効化を実行してしまいやすい。
☆Emotetの侵入原因として最も多いのは、
メールに添付されているOfficeファイルの不正マクロを実行すること。
■感染への対策
・やり取りしたことのある人からのメールでも、ファイルの「コンテンツ有効化」を安易に押さない。
・企業として感染防止や早期検出のためのシステムを導入する。
※1 2020年12月24日時点