SOMPO CYBER SECURITY
Hayato Higuchi@SOMPO CYBER SECURITY | 2022年3月11日
Emotetは、2014年ごろ金融機関の情報を盗み取るマルウェアとして確認され、2021年1月まで世界で猛威を振るっていました。日本国内では2019年後半から活発な活動が確認されています。2021年初頭、ユーロポール(欧州刑事警察機構)を中心に Emotetが使用する不正なネットワークが制圧され活動が停止されました。
Emotetに感染すると、端末内のメールやブラウザの情報が窃取され悪用されます。実際にやり取りをしたメールの送信者名、件名、本文などを引用したフィッシングメールを取引先などへ拡散するため、一般的なフィッシングメールよりも騙されやすいという特徴があります。
2017年からはEmotetが感染端末に「他のマルウェア」を感染させる仕組みが追加されています。海外では、最終的にランサムウェアが社内ネットワークへ拡散され、被害を受けた事例も確認されています。
2021年11月ごろ、Emotetは新たな不正なネットワークを利用し、活動を再開させました。Emotetが感染端末に「他のマルウェア」を感染させる仕組みは、サイバー犯罪者にとって利用価値が高く、需要もあったため活動再開に至ったと考えられています。
現在、サイバー犯罪者は能力に応じた分業をしており、ランサムウェアを例にした場合は以下のような分業体制が存在すると考えられています。
・マルウェアを販売する役割
・初期侵入経路を販売する役割
・侵入後に感染を拡大させ、データ窃取やランサムウェアを実行する役割
・ランサムウェアの被害者と交渉する役割
この分業の中で、Emotetは「初期侵入経路を販売する役割」に近い存在だと考えられます。騙されやすいフィッシングメールを送るEmotetの特徴を利用し、マルウェアの感染拡大が望めるため、サイバー犯罪者にとっては優秀な運び屋として需要があったのではないでしょうか。
今回のEmotet活動再開によって感染が拡大した場合、日本国内でもランサムウェアによる脅威が高まるのではないかと推測しています。
理由のひとつとして、Emotetが収束していた約10ヶ月の間、サーバやVPN装置の脆弱性を悪用した攻撃によって、ランサムウェアの被害が日本国内で増加傾向にあります。
警察庁が今年2月に公開した「令和3年におけるサイバー空間をめぐる脅威の情勢等について(速報版)」によると、2021年におけるランサムウェアの被害報告件数は、前年下期から大幅に増加し続けています。(下図左 令和2年下期、中央 令和3年上期、右 令和3年下期を示します)
企業・団体等におけるランサムウェア被害の報告件数の推移
(出典:令和3年におけるサイバー空間をめぐる脅威の情勢等について(速報版)※1)
https://www.npa.go.jp/publications/statistics/cybersecurity/data/R03_cyber_jousei_sokuhou.pdf
この傾向から、今後もランサムウェアによる攻撃は引き続き増加する可能性があり、Emotetがランサムウェアの攻撃手段に使われることも考えられます。
また、今回のEmotet活動再開に関与したとされるサイバー犯罪グループは、TrickBot(トリックボット)マルウェアと関係があるとされています。TrickBotは、以前のEmotetを経由して感染するマルウェアとしても知られており、最終的にRyuk(リュク。現在はConti コンティとされる)と呼ばれるランサムウェアに感染させた被害事例も海外で確認されています。
これらEmotetの運び屋としての役割や、Emotet活動再開に関与したとされるサイバー犯罪グループ(TrickBot、Contiランサムウェア)などの関連性から、Emotet活動再開による感染拡大に乗じ、ランサムウェアにも感染させようとする攻撃が懸念されます。
特に二重脅迫型と呼ばれるランサムウェアに感染した場合は、機密情報などのデータ窃取以外に、データやシステムが暗号化され使用できなくなるなど、企業活動に甚大な影響をもたらすため、大きな脅威になると考えています。
補足:Ryukランサムウェアは現在Conti(コンティ)ランサムウェアと呼ばれています。Contiランサムウェアは二重脅迫型ランサムウェアとされており、システムの暗号化のほか、機密情報などのデータ窃取も並行して行います。暗号化され使用できなくなったシステムの回復と、機密情報を外部に暴露しないことを条件に身代金を要求します。Contiランサムウェアが運営するデータの暴露サイトでは、今年2022年1~2月の2か月間だけで50件を上回る企業が公開されており、主要なランサムウェアの中で2番目に活動が活発なランサムウェアです。
以前のEmotetは、TrickBotのような他のマルウェアに感染させた後、CobaltStrikeビーコン(コバルトストライク)と呼ばれるペネトレーションテスト用の侵入ツールがインストールされ、サイバー犯罪者によって端末がコントロールされる事例が確認されていました。
今回のEmotetは、他のマルウェアには感染させずに、直接CobaltStrikeビーコンをインストールする事例が確認されています。CobaltStrikeは、遠隔で端末をコントロールできる多機能な侵入ツールであり、サイバー犯罪者がランサムウェアなどのマルウェアを社内ネットワーク全体に拡散することを容易にします。つまり、Emotetに感染したあと、社内ネットワーク全体へ影響を及ぼすことを目的にしている可能性があります。また、手段を短縮してまでインストールされる傾向にあり、以前よりもEmotet感染後の脅威が大きくなっていると考えられます。
Emotet感染後のC2通信(不正なサーバへの通信)については、HTTPSで暗号化されるようになった点が主要な変更点として確認されています。そのほか、いくつか変更が確認されていますが、全体的に大きな違いはありません。
以下のようなファイルを添付したフィッシングメールが確認されており、窃取した情報を悪用した日本語のメールも確認されています。これら添付ファイルはEmotet本体をダウンロードするためのマクロが実装されたファイルです。
・Microsoft Excelスプレッドシート
・Microsoft Wordドキュメント
・Zipアーカイブでパスワード保護されたExcelスプレッドシート
・Zipアーカイブでパスワード保護されたWordドキュメント
他にもURLリンクをメール本文に記載したものが届く可能性もあり、これらの手法は随時変更される可能性があるため、常に最新の情報を参考としてください。
情報処理推進機構(IPA)が公開しているEmotetに関するWebページにも、活動再開や手法などについて詳細が解説されておりますので、ご参照ください。
参考リンク先:情報処理推進機構(IPA)「「Emotet(エモテット)」と呼ばれるウイルスへの感染を狙うメールについて」
https://www.ipa.go.jp/security/announce/20191202.html
JPCERTコーディネーションセンターが公開しているEmotet感染有無確認ツール「EmoCheck v2.1」は、活動再開後の現時点のEmotet(2022年2月時点)も検知できるとされています。Emotetへの対応については、JPCERTコーディネーションセンターの以下のページで丁寧に解説されておりますので、ご参照ください。
参考リンク先: JPCERTコーディネーションセンター「マルウエアEmotetへの対応FAQ」
https://blogs.jpcert.or.jp/ja/2019/12/emotetfaq.html