※本記事内でご紹介する内容は、情報セキュリティに関する一般的な考え方やセキュリティ弊社SOCアナリストチーム独自の見解を中心にまとめたものとなります。

1.Emotetが活動を再開

2023年3月7日より2022年11月から観測されていなかったEmotetの活動再開が報告されています。

新しい特徴としては、メールに添付されたZIPファイル内に、500MBを超えるWordファイルを含めることでIPSなどの検知機器から検知されにくくする工夫が施されています。

検知機器やウイルス検知サービスでは処理が重くなる懸念から大容量のファイルを検査対象外とすることがあり、その点をついた工夫であると考えられます。

また、3月16日には「Microsoft OneNote 形式のファイル（.one）」を悪用し、Emotetへ感染させる手法も観測されました。

このEmotetによる攻撃キャンペーンは3月21日に止まり、その後の配送は4月19日時点で観測されていません。Emotetはこれまでも活動と休止を何度か繰り返しており、今後も活動を再開する可能性があります。

2.検知回避の手法が多様化

このような検知回避の手法は昔から利用されております。

過去にはゴミデータをマルウェア実行時に生成することで、サンドボックスやアンチウィルスソフトによる検知を逃れる手法や、ランダムなデータ生成によりハッシュ値の異なる大量の亜種データを作ることで、定義ファイルベースのセキュリティ製品が対応しにくくするなど様々な手法が存在します。

また、Qakbot※のダウンロードURLを含むフィッシングメールが、4月6日より多く配送されております。

Qakbotとは、パスワードや金銭の詐取を主な目的としたマルウェアの一種ですが、Emotetと同じように感染者から盗んだメール本文データを使用してフィッシングメールを配信することが確認されています。

フィッシングメールの文面は、窃取したメールアカウントのデータを利用しているため、ユーザーは不審に思わずにクリックしてしまう傾向があります。

日本で感染も確認されており日本語の返信本文が利用されていることも報告されています。

BlackBastaランサムウェア※がQakbotを介して感染したケースもあり、Qakbotによって様々なマルウェア感染が引き起こされます。

※BlackBastaランサムウェア：2022年ごろから観測されている企業を標的としたランサムウェア。感染後にリークサイトにデータをアップロードし、元のデータを暗号化することで2重に脅迫を行う特徴がある。

3.運用面での対策が効果的

このように攻撃者は、日々様々な手段を用いながらメールを介して攻撃をしかけております。

昨今ではコミュニケーションツールとしてTeamsやSlackなどのチャットツールを利用する企業も多くなっておりますが、依然としてメールを利用するケースは多く、なくすことができないツールです。

メールに対する攻撃を防ぐソリューションは各セキュリティベンダーが様々な製品を出しておりますが、前述した検知回避は次々と新しい手法が生まれるため、初動での検知が難しくベンダーが対応するまでの数日は攻撃にさらされます。

少しでも被害を少なくするためには、常に攻撃情報をキャッチアップし、不足の事態に陥っても迅速に対応できるようにするなどの運用面での対策が有効になります。

具体的には、不審メールの通報窓口を用意しておき、利用ユーザーから不審なメールがあった場合はそちらに連絡してもらうように体制作りを行います。

通報してもらった不審メールを分析することで、同じ件名や宛先のメールは開かないように注意喚起を行うことや、不審メール内のURLやファイルの通信先を早急にブロックすることで、新たなマルウェアへの感染や情報漏洩などを防ぐことができます。

また、Emotetの通信先を外部の情報から入手し、事前にブロックすることも効果的です。

Emotetなどの有名となったマルウェアが活動をした際は、TwitterなどのSMSでもEmotetの通信先情報などのやり取りが行われるため、そういった情報を活用し備えておくことで被害を防ぐことができます。

4.最後に

NECネッツエスアイでは、エンドポイントからゲートウェイまで、幅広いマルチベンダー製品を活用したセキュリティ対策ソリューションのご提案が可能です。お問い合わせフォームからお気軽にご相談ください。

Nakahigashi Asuka

入社以来、サイバーセキュリティおよびNEC-CSIRT関連業務に従事。 NECグループ内のセキュリティ機器運用・インシデント対応を推進。趣味は釣りとプラモデル。