潜行するサイバー攻撃（第7回） なりすましメールでウイルス感染「Emotet」

　「取引先とのやり取りのメールに返信がきて、添付されたWordファイルを開いた」。こんな日常茶飯事のコミュニケーションが、コンピューターウイルス感染のきっかけになってしまったら……。困ったことに、「Emotet」（エモテット）と呼ぶマルウエアは、冒頭のような日常のやり取りからパソコンや社内システムに忍び込む。

　Emotetは、国内でも2019年10月からしばらく感染事例が相次いでいた。その後、2020年2月以降にはいったん活動が収束したと見られたが、20年7月になるとまた息を吹き返してきた。コンピューターセキュリティの情報を収集し、インシデント対策の支援を行うJPCERTコーディネーションセンターは、7月に「Emotetの感染につながるメール配布が確認されている」として注意喚起を促した。この夏はコンピューターウイルスでも第二波による脅威にさらされて、今後の感染被害拡大に注意を払い続ける必要がありそうだ。

　まずEmotetの振る舞いを確認しておきたい。ウイルスとして、複数の顔を持つ手ごわい相手といえる。まずEmotetは、感染したパソコンから情報を盗み出す。端末やブラウザーに保存されたパスワードなどの認証情報を窃取した上で、メールアカウントとパスワードを盗み出し、さらにメール本文やアドレス帳の情報をも取り出してしまう。次いで、端末から情報を窃取するだけでなく、そのアドレス帳情報を使って他の端末に感染を広げるメールを送信する。それだけではなく、Emotetが作り上げた感染ネットワークを使って、他のウイルスの感染を広めるプラットフォームの役割も果たすのである。

知り合いからのメールだから開いてしまう

　そんなイヤな相手であるEmotetだが、近寄ってくるときはとてもフレンドリーだ。感染した端末からは、アドレス帳の情報やメール本文の情報がEmotetの使い手にわたってしまっている。そのため、実際の取引先や知人などの相手から、実際にあったメールへの返信といった形でEmotetの攻撃メールが送られる。送信から時間がたっていたとしても、取引先や知人から自分のメールへの返信メールが送られてきたら、怪しまずにメールを開く可能性は高い。その上、メールに添付ファイルがあったとしても、知り合いからであれば「何のファイルだろう」と開いてしまうだろう。

　Emotetの攻撃メールの場合は、多くはWordファイルが添付ファイルとして送られる。これを開くと、MicrosoftやOfficeのロゴなどが記載されていて、「文書ファイルを閲覧するには操作が必要である」「Enable Editing」（日本語版Officeでは「編集を有効にする」）と「Enable Content」（日本語版Officeでは「コンテンツの有効化」）のボタンをクリックするようにとの指示がある。ここまでで怪しいと気付けばよいが、なんせ知り合いからのメールだけに内容が気になり、「コンテンツの有効化」までクリックすると、Wordに埋め込まれたマクロが実行されてEmotetをダウンロードさせるサーバーと接続してしまう。

守りの要となるのは「ユーザー」

　Emotetは、なりすましメールがきっかけとなり、組織内の端末に感染を広げ、さらに取得したメールアドレスを使って外部にも感染していくウイルスである。感染した端末と通信するサーバーが最新の情報を与えて、次の標的に攻撃を仕掛けることもあり、ウイルス対策ソフトの目をかいくぐってくる可能性も高い。

　対策としては、組織内への注意喚起というユーザーの意識による守りが第一になる。知り合いから正しいアドレスでメール返信が来たときにまで、疑いの目を持てる人は少ないからだ。その上で、Wordのマクロの自動実行を無効化し、メールセキュリティ製品を導入してマルウエア付きメールを検知・排除し、OSには最新のパッチを定期的に適用するような、多重のセキュリティ対策の運用を行う必要が出てくる。

　このようなセキュリティ対策では、新しいマルウエアの登場や、Emotetのように第二波として押し寄せてくるウイルスの感染に対しても、常に備えなければならない。特に、実際に端末を利用するユーザーは、過去に注意喚起されても時間がたったら忘れてしまう。なりすましメールに注意していても、知り合いのメールアドレスからの返信メールなら警戒度合いは下がる。継続した注意喚起や、なりすましメールへの抜き打ち訓練などの実施が求められる。

　しかし、中小企業ではこれまででも本業の対応で手一杯だった上に、コロナ禍への対応で右往左往している。常に最新のセキュリティ対策を施せるように、しっかりした運用を自社内だけで実施していくのは容易ではない。現在は在宅勤務の増加とともにサイバー攻撃も増加傾向にある。リスクは高まっている。

　Emotetのような悪賢いウイルスにも対応できるセキュリティ対策を実施するには、最新の情報と技術を持つ専門業者にセキュリティ対策をアウトソーシングする方法も検討したい。世の中で怪しいWordの添付ファイルがあるメールが増えてきたら、最新情報を活用したゲートウェイセキュリティとエンドポイントセキュリティで守りを固め、適切な社員訓練を実施する。そんなトータルパッケージのセキュリティ対策をサービスとして利用し、自社の人材に負担をかけずにEmotetにも備えられるセキュリティ対策を実施していくとよいだろう。