Emotet

Emotetとは? その特徴や被害のほか、対策についても解説

by ブログ

企業の扱うデータ量が膨大になり、クラウド環境が一般的になると、懸念されるのが情報セキュリティの問題です。この記事では、「Emotet(エモテット)」と呼ばれるマルウェアの一種について、特徴や攻撃方法、万一感染した場合の影響について解説します。また、大切な情報を守り、円滑に事業活動を進めるためにどのような対策ができるのかについても紹介します。ぜひ参考にしてみてください。

 

Emotetとは

Emotet(エモテット)とは、悪意のあるソフトウェアやプログラムとして働くマルウェアの一種です。初めて確認された2014年頃は、メールを介してオンラインバンキングのIDやパスワードを盗み取られる被害が頻発しました。2021年1月には欧州刑事警察機構が対応に動いたことでいったん被害が減ったものの、一方で同年11月にも活動が確認されました。
業務上必要と思われそうなメールで送られてくるため、その手口は非常に巧妙です。企業における情報セキュリティ上の重大な脅威として、近年あらためて注目を集めています。

 

Emotetの特徴

 

・添付ファイルを媒体として感染する

Emotetは、WordやExcelなどのOfficeファイルが添付されたメールを送付する手口がよく見られます。そのファイルにはマクロが組み込まれており、対策が十分ではない企業の社員や一般ユーザーが開くとマルウェアに感染してしまうという仕組みです。
ほかにも、メール本文から別のWebサイトへ誘導し、「無料」とうたってウイルス対策ソフトをダウンロードさせるように促す手口もあります。もちろんそれを信じてダウンロードしてしまうと不正プログラムが取り込まれ、マルウェア感染は避けられません。

マルウェアに感染してしまうと、Emotetが置かれているサーバーへアクセスし、企業の情報漏えいにつながります。さらに、被害者になりすまして関連する取引先などのPCへ同様のメールを送付することから、被害が拡大してしまいます。

 

・マルウェアだとバレないような巧妙な工夫が施されている

Emotetのやっかいなところは、送付するメールがまるで正規のメールのように工夫されている点です。業務上、Officeの添付ファイルを送るといったシーンはとくに珍しくありません。近年は、正規にやり取りされたメールに「Re:」を付けることでスレッドに割り込み、見分けがつかないようにする手口も見られるようになりました。季節的、社会的な事柄に関するメールが送られてくることもあり、疑う余地もなくマルウェアに感染しているケースは十分ありえます。

また、あくまでEmotet自身には、不正コードが組み込まれているわけではありません。受信者がメールの添付ファイルを開くとEmotetのサーバーへアクセスし、情報搾取するモジュールをダウンロードすることで機能します。このモジュールはローカルファイルとして保存されず、メモリ上で動くというのが特徴です。
そのため、セキュリティの担当者ですら発見しにくく、被害が大きくなりやすい点も多くの企業を悩ませています。

 

Emotetによる被害

 

・情報漏えいなど企業活動に影響が出る

Emotetによってマルウェアに感染すると、情報を搾取するためのモジュールによって重要なデータが盗み取られ、情報漏えいにつながるおそれが高まります。ひとたびこうした事態が起きると、社会的な信用を失い、事業活動を安定的に継続していくことが難しくなってしまうかもしれません。

 

・さらなる感染の拡大が起きる

Emotetは情報搾取のモジュールだけではなく、ほかのマルウェアにも感染させようとすることがあります。たとえば、データを勝手に暗号化して復旧するのに身代金を要求する「ランサムウェア」に感染してしまうと、何の情報が漏れたのかすら不明となり、通常業務が滞ってしまうことも問題です。
なりすましメールによって社内のみならず社外にも感染が拡大するため、取引先など関係者にも大きな迷惑をかけてしまいます。

 

Emotetへの対策

Emotetの仕組みは巧妙であるため、なかなか対策を打ちにくいのではないかと思われるかもしれません。それでも、以下で説明するように被害を起きにくくしたり、最小限にとどめたりするための対策があります。

 

・予防策を講じる

Emotetは基本的にメールが感染経路となるため、まず届いたメールが誰からのものか、送信元を必ず確認しましょう。また、マクロが自動実行しないように設定しておくことも大切です。Officeのマクロ設定を「警告を表示してすべてのマクロを無効」としておきます。
さらにWindowsなどのOSでは、新型の脅威に対応するためにセキュリティパッチを更新しています。そのため、OSの新しいバージョンが配布されれば、忘れず早めに更新作業をしておくと安心です。

 

・対処法を用意する

細心の注意を払って予防していても、ついうっかり誤ってファイルを開いてしまうかもしれません。そのため、万一疑わしいファイルを開いてEmotetに感染してしまった場合、どのように対処すればよいのかをあらかじめ確認しておくようにしましょう。
たとえば、すぐさまネットワークを遮断する、関連部門へ連絡する、といった方法が挙げられます。

 

・セキュリティソフトを導入する

マクロの組み込まれたファイルが添付されているなどの怪しいメールを検知できるように、セキュリティソフトを導入するのも一案です。ただ、直近に確認されたEmotetでは、メールに添付されたZIPファイルを展開すると大きなサイズのファイルとなり、既存のウイルス対策ソフトの検知機能をすり抜けることも指摘されています。
そのため、ソフトを選ぶ際には機械学習型の検索機能以外に、サンドボックス機能も使えるものを検討するとより安心です。

 

まとめ

Emotetの被害は一時期下火となっていましたが、近年はまた企業のセキュリティに対する脅威として注目されています。マルウェアだと気付かないような巧妙さが特徴で、社内外へあっという間に被害が拡大してしまい、企業活動にも重大な影響を及ぼしかねません。そのため、できる対策はすべて打っておくことが大切です。

サイバー攻撃の種類が増えてきている昨今、どのような対策を取るべきか、どのようなサービスを導入すべきか、判断に迷うこともあるかもしれません。クラウド型セキュリティサービス「Cloudbric」は、企業において情報セキュリティ上必要なソリューションが一元的なプラットフォームで提供されているため、様々なサイバー攻撃に対応できるセキュリティサービスの導入をお考えであれば、ぜひ導入を検討してみてください。

 

Cloudbric(クラウドブリック) トップページ
製品・サービスに関するお問い合わせはこちら
Cloudbirc WAF+の無償トライアルはこちら
パートナー制度のお問い合わせはこちら

securiy report

今でも続くWebアプリケーションへの攻撃!JPCERT/CCの最新レポートから読み解く攻撃手法を解析

by ブログ

10月15日、一般社団法人 JPCERTコーディネーションセンター(JPCERT/CC)が、2020年第2四半期のインシデント報告対応レポートを発表しました。国内外で発生するコンピューターセキュリティインシデントの報告をとりまとめたもので、今回は2020年7月1日~9月30日までの間に受け付けたインシデント報告の統計および事例について紹介されています。それによると、今期のインシデント件数は8386件で、前四半期の約1.2倍へと拡大しています。またフィッシング攻撃やWebサイトの改ざん、マルウェアサイトなどで増加が見られたということです。今回はこのレポートを基に、今危機感を持つべきWebサイトへの攻撃への高まりとは具体的に何か、その対処法はあるのかを重点においてお届けしていきたいと思います。

 

インシデント報告対応レポート統計

JPCERT/CCは、インターネット利用組織におけるインシデントの認知と対処、インシデントによる被害拡大の抑止に貢献することを目的として活動しています。今回発表されたレポートの統計についてまとめてみました。

インシデント報告関連件数

引用:JPCERT/CC

 こちらの図に示されているWebフォーム、メール、FAX等でJPCERT/CCに寄せられた報告の総件数は13,831件で、前四半期の1万416件から33%増加しています。JPCERT/CC が国内外の関連するサイトとの調整を行った件数は 4,807件で、前年比で調整件数は14%増加しました。

インシデントのカテゴリーごとの内訳

引用:JPCERT/CC

 インシデントの内訳を見ると、「フィッシングサイト」が5845件で前四半期から11%増加しています。7月は1842件、8月は1849件、9月は2154件と後半にかけて増加傾向が見られます。今期気になるのは、「サイト改ざん」と「スキャン」行為といったWebサイトを狙った攻撃の増加です。「サイト改ざん」は374件で、前四半期の291件から増加、「スキャン」行為も1380件で、前四半期の982件から拡大しています。その他「マルウェアサイト(158件)」「標的型攻撃(16件)」といった攻撃も前期を上回っています。

 

Webサイトを狙った攻撃の増加

JPCERT/CCのレポートに基づいたWebサイトを狙った攻撃の増加には主に、「サイト改ざん」と「スキャン」がありました。これらについて具体的に解説していきたいと思います。

サイト改ざん

Webサイト改ざんとは、企業などが運営する正規Webサイト内のコンテンツやシステムが、攻撃者によって意図しない状態に変更されてしまう攻撃です。攻撃者がWebサイトを改ざんする際の攻撃手法としては主に脆弱性攻撃による改ざん、管理用アカウントの乗っ取りによる改ざん、パスワードリスト攻撃の3種類があります。

1. 脆弱性攻撃による改ざん

  • Webサーバ上の脆弱性を攻撃することにより、最終的に改ざんを実現します。
  • 脆弱性の利用方法として、SQLインジェクション、Stored XSS、などの脆弱性攻撃により直接コンテンツの改ざんを行う方法と、脆弱性攻撃によりバックドアを設置するなどして遠隔操作で改ざんを行う方法の2つがあります。
  • 主に、サーバOS、Webサーバ、CMS、管理ツールなどのミドルウェアの脆弱性が狙われます。

改ざんの手口のうち、サーバーソフトウェアの脆弱性攻撃は、サーバ上で動いているCMS(コンテンツマネジメントシステム)やサービスの脆弱性を狙われるものです。例えばブログや簡易な企業サイトで使われているWordPress、Joomla!、Movable Type、XOOPSといったCMSの脆弱性がよく狙われています。

また「SQLインジェクション」攻撃もよく使われる手法です。セキュリティの対策が十分でないウェブサイトに、サイト内を任意のキーワードで検索できるフォームがあるとします。攻撃者がそのフォームへ不正な内容を盛り込んだSQL文を入力し検索を行うことで、そのSQL文の内容が実行されてしまうのです。これにより、本来は隠されているはずのデータが奪われてしまったり、ウェブサイトが改ざんされてしまったりします。攻撃者がウェブサイトに対してSQLインジェクション攻撃をしかけることで、不正なSQLの命令が実行されてしまい、ウェブサイトを利用者するユーザーのID・パスワード・クレジットカードの番号をはじめとした個人情報がすべて奪われてしまう可能性があります。

2. 管理用アカウントの乗っ取りによる改ざん

  • Webサーバにリモートアクセス可能な管理用アカウントの情報を窃取して乗っ取り、正規の方法でWebサイト操作を行って改ざんします。
  • 正規のWebサイト操作方法により改ざんが行われるため、被害に気づきにくい特徴があります。

正規のWebサイトに攻撃を仕掛け、中身を改ざんする手法ですが、その目的は、Webサイトにコンピューターウイルスを仕込んで閲覧者に感染させることです。以前は、いたずら目的でのWebサイトの改ざんが多く見られましたが、最近では、金銭が目的の被害が増えています。自社のサイトがこのような改ざん被害にあって、逆に顧客に被害を与える「加害者」になれば失墜する信頼は計り知れないものとなるでしょう。

3. パスワードリスト攻撃

  • パスワードリスト攻撃とは、攻撃対象となるWebサイトではない別のWebサイトから搾取したユーザー情報を使い、攻撃対象となるWebサイトで不正ログインを試みるサイバー攻撃です。
  • アカウントIDやパスワードをすべて別々に管理することが面倒なため、管理者PCや複数のWebサイトで同じアカウントIDやパスワードを使用しているケースがあります。

パスワードリスト攻撃とは、オンラインサービス等への不正ログインを狙った不正アクセス攻撃の一です。不正ログインのためにIDとパスワードがセットになったリストを利用することから本名称となっています。パスワードリスト攻撃を受けたとなると、Webサービスに対するユーザーからの印象が著しく低下します。「リスト型攻撃は他のウェブサービスから入手したアカウントとパスワードを使って不正アクセスする攻撃だ。ユーザーのアカウントとパスワードの管理の問題だ。」という見解の方もいらっしゃるでしょう。しかし、ユーザーの視点では「不正アクセスを許して個人情報の流出があったサービス」のように見えてしまうのです。

スキャン

スキャン攻撃とは、サイバー攻撃者が、攻撃先を探すために行うポートスキャンです。脆弱性の探索や侵入、感染の試行などを検知した件数が今回のレポートで増加し、警告されています。ポートスキャン自体は、サーバなどに対して稼働しているサービスを探り、開放されているポートを調べる行為で違法なものではありません。しかし、攻撃の事前準備として行われることが多いため、日常から適切な対処が必要となります。サイバー攻撃の手口は年々巧妙化していますが、システムの脆弱性を突くのが攻撃の基本となります。その脆弱性を見つけ出すためにポートスキャンは使われるのです。例えば、空いているポートがわかれば、そのポートを侵入経路として利用することができます。またサーバのOSやバージョンがわかれば、OSに依存する脆弱性を突くことができるのです。ポートスキャンも同様に、これ自体はサイバー攻撃ではなくても、これから被害が発生するかもしれないサイバー攻撃の予兆としてとらえることが重要です。

 

WAFで防御できること

こうした警鐘をならされているWebサービスへの攻撃の増加に対し、有効なのがWAFを用いた防御システムです。例えばWAFで防御できることには以下の様な項目があります。

  • SQLインジェクション
  • クロスサイトスクリプティング(XSS)
  • クロスサイトリクエストフォージェリ(CSRF)
  • OSコマンドインジェクション
  • ディレクトリリスティング
  • メールヘッダインジェクション
  • パス名のパラメータの未チェック/ディレクトリトラバーサル
  • 意図しないリダイレクト
  • HTTPヘッダインジェクション
  • 認証とセッション管理の不備
  • 認可制御の不備、欠落
  • クローラへの耐性

Webアプリケーションに関する脅威をブロックできるのが「WAF」です。WAFを使えばWebアプリケーションに脆弱性があったとしても安全に保護することができます。最近となっては、システムのクラウドへの移行という傾向もあり、クラウド型WAFが注目を集めています。従来のアプライアンス型WAFと比べ、専門の機器の導入やセキュリティ担当者による運用が必要ありません。そのため、リーズナブルな価格で短期間で導入できるといったメリットがあります。クラウド型セキュリティ・プラットフォーム・サービス「クラウドブリック(Cloudbric)」はWAF(Web Applicaion Firewall)サービスに加え、DDoS攻撃対策、SSL証明書、脅威情報データベースに基づく脅威IP遮断サービス、ディープラーニング(AI)エンジンによるWebトラフィック特性学習サービス、といったWebアプリケーションを守るトータル・セキュリティサービスを提供します。

Webアプリケーションを業務で利用するときは、セキュリティ上の脆弱性に注意しなくてはいけません。アプリケーションの開発者がセキュリティ対策を行っていても、人の手で作成されているため、脆弱性を完全になくすのは難しいでしょう。WAFはWebアプリケーションを保護する専用のファイアウォールのため、導入することでWebアプリケーションを安全に利用できます。
今現在、JPCERTのレポートからもわかるようにWebアプリケーションやサービスへの攻撃は劣えてはいません。それらの攻撃に備え、防御するにはWAFを導入することが望ましいといえます。
クラウド型セキュリティ・プラットフォーム・サービス「クラウドブリック(Cloudbric)」につきまして、詳しくは下記リンク先をご確認ください。

https://www.cloudbric.jp/cloudbric-security-platform/