勉強前イメージ
恥ずかしながら最近流行ってるやつ・・・ってくらいの認識しかない。。
調査
Emotet とは
エモテット と呼び、拡散力が強いマルウェアの一種になります。
2014年に発見されて以降、形を変え生き残っています。
元々はバンキングトロージャンと呼ばれる、オンラインバンキングの認証情報を盗むマルウェアでしたが、
2017年以降は単体での動作でなくトロイの木馬やランサムウェアなどいろんなマルウェアに感染させる役割を持ちます。
Emotet の攻撃方法
Emotetは攻撃者によってメールに添付されるなどし、受け取ったユーザはそのファイルを開くと感染するというものになります。
攻撃者はマクロ付きのwordやexcelファイルを添付して大量に送付するという方法をとっています。
ファイルを開き感染してしまうと、アカウントやパスワード、取引先の情報なども抜き取られてしまいます。
よくある方法では?と思う方も多いかと思いますが、
被害が広がったのにはいくつかウイルスとは見分けがつかないような工夫がありました。
- メールが巧妙
実際にあったものでは、正規にやり取りをしているメールに RE: をつけてあたかも実際のメールの返信を装おって
大量にメールが送付されました。
元のスレッドに割り込まれるので見破るのが難しいのが被害が広がった理由の一つです。
- Emotet本体には不正なコードを多く含まない
↑でも記載している通り、最近は単体での動作でなくマルウェアに感染させる役割を持ちます。
Emotet本体自体も悪さを行いますが、基本的には他のマルウェアに大量に感染させるようなものです。
また、感染者のPCにダウンロードさせたモジュールはファイルでなくメモリ上で動作するので調査者から発見されづらい工夫がされていあmす。
Emotet の対策方法
- セキュリティ対策ソフトでの保護
Emotetに限らずですが、マルウェアへの感染等はセキュリティ対策ソフトでブロックできる場合があります。
セキュリティ対策ソフトを導入し、できるだけ最新化しておくことが重要です。
- セキュリティパッチの適応
Emotetを経由したマルウェアはOSやアプリケーション、様々な脆弱性を狙ったものが多いです。
できるだけ上記と同様ですがOSのセキュリティパッチやアプリケーションは最新化しておくことがた大切です。
- メールでのファイルをやり取りしない
Emotet自体の主な感染源はメールの添付ファイルです。
そのことからできるだけメールでファイルのやり取りをしないということが重要です。
普段からファイル転送サービスを使用しているとメールにファイルが添付されていると怪しむことができますが、
普段からメールでファイルの転送を行っていると、ついダウンロードしてしまう可能性があります。
Emotet に感染してしまった際の対応
もしEmotetに感染してしまったら以下のようなことを実施する必要があります。
- 感染端末をネットワークから隔離、被害の調査
- 感染端末で使用していたアプリケーションやアカウントのパスワード変更
- Emotetだけでなく、他のマルウェアへの感染調査
- 関係者へ注意喚起
- 感染端末の初期化
勉強後イメージ
Emotetもそうやけど、Emotetに感染してしまうと他のマルウェアにも感染しやすい状況になるのめっちゃ怖いな....