EMOTETに感染しない唯一の方法は？知っておきたい感染の仕組みと対策

急激に拡大するEMOTETの脅威

EMOTETは企業狙いから無差別攻撃に！

エモテット(EMOTET)は、2014年頃より活動している歴史の古いマルウェアです。

「活発な活動」と「影を潜める」時期を繰り返しながら、進化していましたが、新型コロナの混乱に乗じて7月頃から増えはじめ、8月下旬から9月に入って全世界で爆発的に増加しています。

かつては企業ユーザーをターゲットにする「標的型攻撃」で使われることが多かったのですが、今は一般向けに「もっともらしい内容のメールに添付された添付ファイル」でばら撒かれるようになり、非常に危険なため、世界中で注意喚起が発表されています。

EMOTETとは？

どんなコンピューターウイルスか？

感染しても自らは行動せず、痕跡を隠して潜む

EMOTETは、メールの添付ファイルでユーザーの手元に届きます。

添付ファイルはマイクロソフトのExcelやWordのファイルで送られてきますが、近年圧縮されたパスワード付ZIPファイルが添付されたものも増えてきました。

しかし感染しても、EMOTET自体は何もしません。

高度な技術を用いて身を隠し、敵国に潜入したスパイのように、パソコンの中に潜みます。

また通常のウイルスのような独自の活動はせずに、外部の犯人と目立たぬように交信を行い、指示にしたがって、不正プログラムをダウンロードしたり、不正な動作をします。

感染後密かに活動するEMOTETの動作と被害

1. 感染しても自らの存在がばれないように、痕跡を隠す。
2. 密かに外部の犯人(C&Cサーバ)と交信し、感染したパソコンの概要(コンピユーター名、どんなソフトが動いているか？など)を伝える。
3. 感染パソコンの概要を知った外部の犯人が攻撃方法を決め、EMOTETに不正なプログラムを送り、攻撃命令を出す。
4. EMOTETは不正なプログラムを受け取り、「メールアドレスやパスワードなど個人情報の盗取」「不正なメール送信」「他のパソコンへの感染拡大」「ランサムウェア感染」などの犯人が指示した不正行為を密かに実行する。
5. 犯罪者がEMOTET経由で実現した不正侵入を､他の犯罪者に貸し出すAaaS （Access-as-a-Service）という動きもある。

このような動作により、EMOTETはいったん感染するとなかなか発見されずに、長期間にわたっていろいろな不正を働くのです。

EMOTETに感染しないため、ひとつだけ覚えていただきたいこと

「セキュリティ警告」を決して見逃さない！

EMOTETに感染しないためには、以下の「たったひとつのこと」だけを覚えてください。

EMOTETはユーザーが「コンテンツの有効化」をクリックしない限り感染しない

EMOTETは添付ファイルを開いただけでは感染しません。

実はEMOTETの感染源となるメールには「EMOTETはまだ入っていない」のです。

EMOTETは、以下の3つの段階を経てようやく感染します。

1. メールに添付されているWord、Excelなど、マイクロソフトのOffice製品のデータファイルを開かせる。
2. ユーザー自身に「コンテンツの有効化」ボタンを押させて、ファイルに仕込まれたマクロを動かす。
3. マクロが外部よりEMOTET本体をダウンロードしてはじめて感染する。

つまり

ユーザーが上記の黄色い帯の右端にある「コンテンツの有効化」ボタンを押してマクロを動かさなければEMOTETは感染しません。

以下、WordとExcelのファイルを開いた画面例でご説明します。

【Wordファイルの「コンテンツの有効化」】

【Excelファイルの「コンテンツの有効化」】

上のような警告が出た際に、「これは危ない！」と「コンテンツの有効化をクリック」さえしなければ、EMOTETの感染は防げます。

後は不正なメールとダウンロードした添付ファイルを完全に削除してしまえば安心です。

マクロって何？

マクロとは、ソフトの動作を自動化する簡単なブログラムのことで、WordやExcelに標準搭載されており、少し詳しい方は普通に活用する便利な機能です。

例えばExcelの表で作業する時、いつも同じ「検索」や「並び替え」といった操作を繰り返す時、これをマクロを使ってExcelに動作を指示すれば、Excelはワンタッチで、自動的に作業を繰り返してくれます。

EMOTETはこのマクロ機能を悪用し、外部化からEMOTETの本体をダウンロードさせて、パソコンに感染させてしまうのです。

なぜEMOTETはマクロを悪用するのか？

昔は添付ファイルを開いた途端に感染したり、画面を見ただけで感染するようなコンピューターウイルスがありました。

しかし、今のパソコンやOSでは、セキュリティがかなり強化され、不正プログラムが侵入しようとすると、すぐに発見されて防御されるようになっています。

そこで、無害なExcelやWordのマクロを使って、「ユーザーをもっともらしいメールでだまして、添付ファイルのマクロを使う許可をもらって、ダウンロードさせる」という、いわば原始的な方法で、最新のコンピューターの防御策を突破しているのです。

2014年頃に登場した古いEMOTETがずっと悪用され続けているのは、これが理由です。

EMOTETに感染しないための対策

EMOTETの弱点を知って感染防止対策をしよう

EMOTETは感染したらやっかいなウイルスですが、感染方法は原始的なため、特徴を逆手にとった有効な対応策が可能です。

「パソコンなど機器やソフトウェア」と「使用するユーザーの心がけ」の2つの対策があります。

機器やソフトウェアによる対策

1．オフィス製品のマクロの自動実行はオフになっているか？

上に書いたとおり、EMOTETはWordやExcelのマクロを悪用して感染します。

マクロの危険性はMicrosoftも分かっていますので、WordやExcelでは初期設定は「マクロは無効」になっていて、マクロの使用が必要で求められた時には、な時だけ、ユーザーに「警告」を出すよう設定されています。

しかしオフィスなどでマクロを多用する方が「いちいちと警告が出るのは面倒だ」とこの機能を解除している場合がありますので、念のため「無効になっているか？」確認しましょう。

WordやExcelの「ファイル」－「オプション」-「トラストセンター(またはセキュリティーセンター)」で簡単に確認できます。

support.microsoft.com

 

4 users

 

https://support.microsoft.com/ja-jp/office/office-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88%E3%81%AE%E3%83%9E%E3%82%AF%E3%83%AD%E3%82%92%E6%9C%89%E5%8A%B9%E3%81%BE%E3%81%9F%E3%81%AF%E7%84%A1%E5%8A%B9%E3%81%AB%E3%81%99%E3%82%8B-12b036fd-d140-4e74-b45e-16fed1a7e5c6

Office ドキュメントのマクロを有効または無効にする

セキュリティを強化し、マクロの実行に関するリスクを評価して軽減し、Office でマクロを有効または無効にする方法について説明します。

 

【Wordの設定例(バージョンによって異なります)】

信頼できるセキュリティ対策ソフトを入れる

使用できる大手のセキュリティー製品をいれましょう。

これらの製品は、「添付ファイル付きのメールが届く時」あるいは「マクロを実行してEMOTETがダウンロードされる際」に警告して感染を防いでくれる可能性があります。

しかし、EMOTETのようなマルウェアは常に進化して変化しているため、セキュリティソフトの予防は万全とは言えません。

Windows10をお使いの方はMicrosoftDefenderという対策ソフトが標準で含まれていますし、企業では高価なセキュリティ対策ソフトを導入しています。

それでもEMOTETは防げないことがしばしばあることが現実です。

またこの頃増えてきた「パスワード付ZIPで圧縮された添付ファイル」の場合、セキュリティソフトの検査ができないため、素通りされてしまいます。

「セキュリティソフトを入れて入るから安心」とは決して思わないでください。

Windows UpdateなどOS、アプリのアップデートは常に実行する。

EMOTETに限らず、コンピューターウイルスやマルウェアは、OSやアプリの欠陥・弱点(脆弱性)につけ込んで感染したり被害を生み出します。

それを防ぐために、メーカーが提供するアップデートはできるだけ早く対応することが、セキュリティの基本です。

ブログ内の関連記事(新しいウィンドウで開きます)

コロナ対策とOSが一体化したiOS13.7登場。その意義と使い方、COCOAも必要な理由

2020年9月2日に新型コロナ対策に対応したAppleのiOS13.7が発表されました。しかし接触確認アプリCOCOAも引き続き必要です。接触感染通知アプリCOCOAと一体化した新しいiOSは何が画期的で意義があるのか？どうしてCOCO[…]

使用するユーザーの心がけ

メールの本文や送信者だけで安全性を判断しない

Emotetを使った攻撃の特徴は「添付ファイルを開かせるため、差出人や件名など本物のメールと区別がつかない、よくできた偽装メールを使う」事にあります。

実在する発信者からのメールや、請求書とか見積書といった、それらしいメールを用意し、重要な添付ファイルだと偽装しています。

尊信元のメールアドレスを偽装することは簡単です。
以前この方法により、大手旅行会社や航空会社が被害にあいましたが、今では個人宛に攻撃が始まりました。

9月になってセキュリティ会社のトレンドマイクロからの実物のメールを流用した､個人宛の攻撃も確認されています。

blog.trendmicro.co.jp

 

35 tweets

5 users

 

https://blog.trendmicro.co.jp/archives/26049

「EMOTET」がトレンドマイクロのアンケートメールを偽装 | トレンドマイクロ セキュリティブログ

トレンドマイクロでは弊社を騙る不審なメールが、この9月3日前後から出回っていることを確認しました。弊社のサポートセンターからお客様へお送りするメールにファイルを添付することはありません。弊社から送付されたように見えるメールにおいてファイルの添付があ...

■画像引用元：トレンドマイクロ社セキュリティブログ

メールの本文は全く信用できない

上記のように、本物のメールの文面を流用した精巧なEMOTETメールが多数確認されています。

以下のような文面が確認されています。

もっともらしい名目で添付ファイルが送られてきても、完全に信用できるもの以外は、安易に添付ファイルを開いてはいけません。

「メールへの返信ではない、電話などの別の手段」で発信元に真偽を問い合わせる」などしてから対処しましょう。

添付ファイルを開いて、コンテンツの有効化はクリックしない

何度もご説明したとおり、メールの添付ファイルを開いた際に、以下の警告が出た場合は、絶対確実な場合以外は､決して「コンテンツの有効化」をクリックしてはいけません。

万一EMOTETの感染が心配な時は？

EMOTET専用の感染チェックツールを使おう

EMOTETは一般のセキュリティ対策ソフトも対応していますので、信頼できるセキュリティーソフトを必ず入れましょう。

また「ひょっとして感染したかもしれない」と言うとき、頼りになるEMOTET感染チェックツールが発表されました。

作成したのは日本のセキュリティ対策を主導している機関の1つである「一般社団法人JPCERTコーディネーションセンター」様です。

ダウンロードして実行するだけで、即座にエモテットの感染の可能性をチェックしてくれます。

■Windows OS用感染確認ツール　EmoCheck

【使い方】
上のサイトの画面の中程から、ご自身のWindowsの環境に併せて、

●64Bit版のWindowsを利用の方・・・emocheck_v1.0_x64.exe
●64Bit版のWindowsを利用の方・・・emocheck_v1.0_x86.exe

をダウンロードして、実行するだけです。

万一感染していた時は「Emotetのプロセスが見つかりました」と表示されますので、画面表示にしたがって駆除しましょう。

詳細はJPCERTの「マルウエアEmotetへの対応FAQ」も参考になります。

まとめ：
EMOTETは脅威だが、感染は容易に防げる

EMOTETは進化した強力なマルウェアですが、感染方法は「人の隙につけ込んだソーシャルエンジニアリング的」な方法ですので、各自が注意することで、容易に感染を防ぐことができます。

添付ファイルを慎重に扱うべき事は、EMOTETに限らず、現在では当然のルールであり、慣れるしかありません。

どうしてもマクロが含まれたメールを送る時は、別途内容について打ち合わせるなど、配慮して感染拡大を防ぎましょう。

ブログ内の関連記事(新しいウィンドウで開きます)

誰もが直面するソーシャルエンジニアリングの危険～Twitter大規模アカウント乗っ取りから学ぶ

 2019年7月16日、オバマ前大統領やビル･ゲイツ氏など世界的な有名人の公式アカウントが乗っ取られ、偽Twitterメッセージが全世界に送られて大きな被害が発生しました。「犯行の手口はソーシャルエンジニアリング」とされています。ソ[…]