巧妙化する怪しいメール新型コロナウイルスへの注意喚起や賞与通知をかたる「Emotet」の進化する手口

2019年にさまざまな日本企業を襲ったマルウェア「Emotet」とは何か。専門家の話を基に、動向と対策を紹介する。

[大久保 心織，TechTargetジャパン]

　2019年後半から国内で感染が広がっているマルウェア「Emotet」。どのような攻撃手段を用い、どのような危害を及ぼす恐れがあるのか。NRIセキュアテクノロジーズが観測した最新の脅威情報を基に解説する。

併せて読みたいお薦め記事

メールセキュリティ対策を知る

• いまさら聞けない「メールセキュリティ」の7大基礎技術
• “最大の敵”は社員？　「標的型フィッシング攻撃」対策が難しい理由
• メールセキュリティ担当者が「iPhone」「Androidスマホ」を無視できない理由

メールによるサイバー攻撃

• ランサムウェアを超える勢いの「ビジネスメール詐欺」（BEC）　FBIの推奨策は
• 「偽のフィッシングメール」の効果的な使い方

Emotetとは

　Emotetは2014年ごろに初めて観測されたマルウェアで、メールが主な拡散経路だ。攻撃者はメールに「Microsoft Word」形式のファイルを添付したり、メールの本文中に悪質サイトのURLを挿入したりして、標的にそれらのファイルやリンクを開かせることでデバイスの侵害を試みる。

　感染の流れはこうだ。標的がWord形式のファイルを開くとマクロが起動し、コマンド実行ツール「PowerShell」を起動させてEmotet本体である実行可能ファイルをダウンロードする。メール本文中にURLが挿入された場合も同様に、標的がリンクをクリックして悪質サイトにアクセスすると、勝手に実行可能ファイルのダウンロードが始まる。その後実行可能ファイルが自動で起動し、デバイス内の機密データを盗み取ったり、別のマルウェアをダウンロードしたりといった攻撃につなげる。

　NRIセキュアテクノロジーのセキュリティオペレーションセンター（SOC）が観測したデータによれば、Emotetは2019年9月から10月にかけて活動が活発化した。その後同年12月に一旦活動を休止する動きを見せたものの、2020年1月に入って活動を再開した。この期間に国内企業のEmotetに対する警戒度は急速に高まった。これはセキュリティインシデント対策を推進する一般社団法人JPCERTコーディネーションセンター（JPCERT/CC）が2019年11月にEmotetに関する注意喚起を公開したことにも表れている。JPCERT/CCはこの注意喚起の中で「2019年10月後半からEmotetの感染に関する相談を多数受けている」旨に言及し、対策を呼び掛けている。

巧みな日本語を操る攻撃者