IT時事ネタキーワード「これが気になる!」(第90回) エモテット10カ月ぶり活動再開

脅威・サイバー攻撃 IT・テクノロジー

公開日:2022.01.26

 IPAは昨年11月16日、「Emotetの攻撃活動再開について」というリリースで、「2021年11月14日頃から、Emotetの攻撃活動再開の兆候が確認されたという情報があります。また、Emotetへの感染を狙う攻撃メール(Emotetの攻撃メール)が着信しているという情報も複数観測している状況です」と注意喚起した。今回の復活は今後、攻撃メールの大規模なばらまきに発展する恐れがあり、改めて警戒する必要があるという。

 Emotet(エモテット)とは2014年頃から登場し2019年後半から猛威を振るった、主に偽メールを手段としたコンピューターウイルスだ。メールの添付ファイルを開くなどで、ウイルスに感染したコンピューターはマルウエアをインストールされ、情報を次々に送信したり他のウイルスの感染を広める踏み台にされたりしてしまう。

 さらにエモテットは、乗っ取ったコンピューターのアドレス帳まで盗み見て、リアルな偽メールを作成しターゲットを狙う。添付ファイルはそれらしい表題を付けたオフィス書類やPPAP(パスワード付きZipファイルをまず送り、別メールでパスワードを送るメール手法)で問題視されたZipファイルも用いるなど、各国の事情を熟知した巧妙なものだ。

 エモテットの主たる目的は、メールをきっかけに盗んだ情報を公開すると企業を脅す「暴露型」としての活動だ。なお、エモテットの犯罪グループは、攻撃メールから情報の盗用までのエキスパートとして動き、その先は他の組織が担当というような、組織横断的な犯行にも絡んでいるといわれていた。

 2021年1月27日、ユーロポール(欧州刑事警察機構)が、欧米8カ国の協力により、エモテットのコントロールサーバー(ウイルスメールをばらまいたり、感染したマシンを操作したりする機器)をテイクダウンした(停止させた)と発表。その後、感染端末の時刻が2021年4月25日になると、すべてのエモテット・マルウエアが停止する機能が加えられ、以降、世界および日本における感染もほぼ観測されなくなっていた。

 当連載でもエモテットの脅威や経緯を何回か紹介した。4月時点での“完全制圧”は喜ぶべきことだが、サイバー犯罪の入り口としてメールは非常に有効な手段ゆえ、似たような動きをするマルウエアはなくならないだろうとも想像していた。

復活のいきさつと世界、日本での現状

 エモテットの復活についてはセキュリティ企業「Recorded Future」のリリース(英文)が詳しい。これによれば、2021年1月のユーロポールによるテイクダウンから10カ月後、エモテットの活動の再開を確認。4月25日に「完全制圧」といわれた中での復活は、驚くべきことと書かれている。

 11月15日、トリックボットという別のマルウエアが、以前トリックボットに感染したシステムにエモテットをインストールすることで、エモテットのコントロールサーバーの復活に成功した。添えられたスクリーンショットは、テイクダウンから復活までのエモテットの休止期間が見て取れる。くしくも復活したタイミングはエモテットを制圧したセキュリティチームの3周年の記念日だ(そのタイミングを意図していたのかは不明)。

 サイバー救急センターを運営するセキュリティ企業・LACによれば、11月の17日頃から日本組織においても攻撃メールが届き始めたという。IPAも「11月からEmotetの攻撃活動が再開し、ウイルスに感染させる手口に変化がありつつ、12月現在も攻撃が継続しています。また、少数ながら企業等からIPAへ被害の相談が寄せられています」と記述。「今後、再び被害が拡大していく可能性があり、改めて注意を徹底していただくようお願いします」と注意を喚起した。

 エモテットの状況については、IPAの『「Emotet(エモテット)」と呼ばれるウイルスへの感染を狙うメールについて』に詳しく書かれている。なお、何かある都度追記される方式になっており、右上の「最終更新日」を確認のうえ、履歴から新情報を定期的にチェックすることをお勧めする。

文書ファイルの「編集を有効にする」に注意

 復活したエモテットはこれまでの攻撃と同様、取引先や知り合い、公共機関などを装ったメールに添付したファイルを開かせる手口が主だ。なお、メールを経由して入手したオフィス文書ファイルを開いてしまった場合、「編集を有効にする」「コンテンツの有効化」はクリックしてはならない。

 12月9日に追記された「攻撃活動再開後の状況/被害相談の例」には、新たな攻撃手口である「Excelファイルの悪用」と「PDF閲覧ソフトの偽装」が掲載されている。

 Excelファイルの悪用については、数カ月前に着信した取引先の相手のメールによく似た文面で、Excelファイルが添付されていた事例が紹介されている。相談者は急ぎの用件と思い確認しようと添付ファイルを開き、特に意識せず「コンテンツの有効化」ボタンをクリックした。翌日、別の取引先や知人から、相談者を詐称した不審メールが送られてきたとの連絡で、ウイルス感染被害に気付きIPAに相談したという経過だ。

 PDF閲覧ソフトを偽装する新しい手口についてはメールの本文中のURLをクリックすると、閲覧可能なPDFファイルが存在するかのような画面(攻撃者の用意した偽のWebサイト)へ誘導される。そこでPDF文書ファイルの閲覧ソフトを装ったウイルスファイルをダウンロードさせ、利用者の手で実行させるというものだ。

 エモテットの攻撃では、過去にやり取りされたメールが攻撃者に盗まれ、内容やメールアドレスが転用されて、ウイルスメールとして送られるケースが多い。重要な顧客や取引先、あるいは知人からのメールに見えても、すぐに添付ファイルやURLリンクは開かず、本物かどうか落ち着いて確認し、必要に応じて電話やテキストメッセージなど、確実な手段で送信元へ問い合わせるよう心掛けよう。

感染の可能性があるときはツール「EmoCheck」で確認など対策

 エモテットの予防策や対策については、JPCERT/CC(JPCERTコーディネーションセンター)の「マルウエアEmotetへの対応FAQ」が分かりやすい。主な例については、画像付きで解説されている。最終更新日が2021年12月1日となっているので、常に新しい状況に対応しているのが分かる。さらに、実際の攻撃への対策は、1月13日更新の「侵入型ランサムウェア攻撃を受けたら読むFAQ」が有用だ。

 感染有無の確認手段として、エモテット感染有無の確認を行うツール「EmoCheck」が同ページで紹介されているので、疑わしい場合は使ってみるとよい。ツールの提供とともに、感染が判明したときの駆除方法、活動が行われたかどうかのチェック方法なども詳しく解説されていて、参考になる。

 困ったときの相談窓口としては、IPAの「情報セキュリティ安心相談窓口」がお薦めだ。「よくあるご相談」「役立つコンテンツ」などをよく読んだうえ、電話、メール、FAX・郵送などで相談しよう。実際に被害に遭い自分の名前でメールが送られたなどの場合の相談や届け出は、「標的型サイバー攻撃特別相談窓口」から行える。

 最近、企業や機関がランサムウエア攻撃で身代金を要求された場合、身代金を払わない企業も増えてきているという。優秀なシステムがあれば、復旧用のソフトウエアと、ネットワーク外に保管されたバックアップから、データはある程度復旧できるからだ。

 システム復旧のノウハウの向上などで身代金を支払わない企業が増え、攻撃側も個人情報や特殊な情報などにターゲットを変えつつある話もある。サイバーセキュリティは“いたちごっこ”だ。攻撃者は裏掲示板などでエキスパートを募り、分業してあらゆる手段を使う。引き続き警戒と情報収集を怠らないよう心掛けたい。

※掲載している情報は、記事執筆時点のものです

執筆=青木 恵美

長野県松本市在住。独学で始めたDTPがきっかけでIT関連の執筆を始める。書籍は「Windows手取り足取りトラブル解決」「自分流ブログ入門」など数十冊。Web媒体はBiz Clip、日経XTECHなど。XTECHの「信州ITラプソディ」は、10年以上にわたって長期連載された人気コラム(バックナンバーあり)。紙媒体は日経PC21、日経パソコン、日本経済新聞など。現在は、日経PC21「青木恵美のIT生活羅針盤」、Biz Clip「IT時事ネタキーワード これが気になる!」「知って得する!話題のトレンドワード」を好評連載中。

【TP】

あわせて読みたい記事

「脅威・サイバー攻撃」カテゴリーから探す

連載バックナンバー

IT時事ネタキーワード「これが気になる!」

もっと見る

カテゴリー 一覧