Emotetまとめ・手口がさらに巧妙化(2022/6/20)

2022年春も、Emotetの感染が拡大しています。

加えて、4月より、Officeユーザーでなくてもリンクをクリックするだけで即感染するEmotetが出現しています。

5月20日には、Emotetの感染確認を行うEmocheckがv2.3.1に更新されました。

その中、警察庁が6月9日に、Emotetがクレジットカード情報を盗むことを公開、さらに波紋が広がっています。

スポンサーリンク
  1. Emotetのメールソフトから情報を盗み出す機能、Outlookに続きThunderbirdも対象に(6/20)
  2. 警察庁が警告!EmotetがGoogle Chromeに記憶させたクレカ情報を盗難する機能を有するように(6/20)
  3. Emotetの感染有無を確認するツールEmoCheckが2.3.2にアップデート(6/6)
  4. クリックするだけで即感染!ショートカットファイル型Emotet出現(5/12)
  5. Emotet感染確認ツール更新(4/22)
  6. メールだけじゃない、SNS経由でのEmotet感染の恐れも(4/21)
  7. 多くの企業でのEmotet感染やまず(4/12)
    1. いすみ鉄道がEmotet感染
    2. NTT西日本がEmotet感染
    3. 電気通信大がEmotet感染
    4. 香川県では学校のPCが感染
    5. 埼玉県の2つの学校でも、Emotet感染
  8. JPCERTコーディネーションセンター、「Emotet」の感染拡大に関する発表・警告を発出、Emotet対処方法も公開・更新(3/17)
  9. 2022年2月、Emotet再拡大
  10. EmotetがAdobeを装うインストーラーを利用!(12/7)
    1. ランサムウェア被害は、対岸の火事ではない、地方の病院さえ狙われる
  11. 警察庁がEmotetの解析結果を発表(11/30)
    1. Emotetの概要・感染経路
    2. Emotetに感染すると・・・
    3. Emotetの感染を極力防ぐための対策
  12. 日経が社会面で「メールで拡散『エモテット』 最恐ウイルス 再び攻撃」と2021年11月19日朝刊で報じる
  13. 2021年11月14日~16日ごろよりEmotet/Trickbot復活・攻撃再開の動き?(2021/11/17)
  14. システムの起動そのものが不可能で、バックアップも暗号化で利用不能・データ復旧の手段はない・・・日本の大手企業を襲うサイバー攻撃(2021年8月17日)
  15. 情報窃取マルウェア・ウイルス・フィッシングメール対策で心がけるべき基礎(2021年版)
    1. 賞与支払届というタイトルのメール、Emotetかも!?
    2. Wordファイルのマクロをとにかく実行しないこと
    3. 迷惑メール・フィッシングメール・マルウェア対策の大原則とは?
    4. セキュリティ対策の大原則(個人・スモールビジネス)
    5. Emotetって、何が怖かったの?
  16. Emotet壊滅作戦完了
  17. Emotet壊滅作戦、何が行われた?
  18. 2021年2月20日時点でのEmotetの状況整理
  19. Emotetがどれだけ怖かったかに関しておさらいすると・・
  20. 【悪質】Emotet(エモテット)が呼び込むTrickbot(トリックボット)
    1. マルウェア Trickbot(トリックボット)とは?
    2. Trickbotは、Ryukにも感染しやすくなる
      1. Trickbotは、「このパソコンがRyukを感染させられるかな・・」という見立ても行う
  21. ZeroCleare MBRを破壊、PCを起動不能にし、内部ネットワーク上でも感染を広げるマルウェア
  22. 三菱電機 への標的型攻撃と、迷惑メール・SMSのばらまき型攻撃の違いについて、復習してみる(2020年の記事)
    1. 三菱電機がターゲットになったと想定される、標的型攻撃とは?
    2. よくある迷惑メールは、ばらまき型攻撃
    3. 標的型攻撃メールは、こっそり動く傾向?
    4. サイバー攻撃を受けた場合の適切な対応とは?
  23. 保険会社(MS&AD)系列会社が、1台月1,000円~の低コストランサムウェア対策サービス・防検サイバーを提供する背景を考察
  24. Emotet感染→Ryuk(リューク・身代金型ランサムウェア)感染という流れに注意(過去記事)
    1. 関連

Emotetのメールソフトから情報を盗み出す機能、Outlookに続きThunderbirdも対象に(6/20)

Emotetは、MicrosoftのOutlookから、やり取りしたメールの本文、メールアドレス等の情報を盗み出す機能を備えています。これまでは、Thunderbirdなど他のメールクライアントなどは対象外と言われていましたが、2022年6月になって、警察庁がThunderbirdについても対象になっているということを公表しました。

活動を再開したとされるEmotetを警察庁で入手し解析を行ったところ、情報窃取の対象となるメールソフトの種類が拡大していることが判明しました。これまでに知られているEmotetでは、市販のメールソフト(Outlook)から過去にやり取りしたメールの本文、メールアドレス等の情報を窃取する機能を把握していましたが、今回のEmotetでは、新たにオープンソースのメールソフト(Thunderbird)も情報窃取の対象としていることを確認しました。今後、対象となるメールソフトの種類が追加されるおそれがありますので、本ページ記載の対策などを参考に、感染の未然防止対策を検討してください。

以上の通り、今後さらに対応するメールクライアントが増えていく可能性があります。

この点も踏まえ、今後利用に注意が必要と言えます。

 

スポンサーリンク

警察庁が警告!EmotetがGoogle Chromeに記憶させたクレカ情報を盗難する機能を有するように(6/20)

Emotetは随時機能が強化されていますが、6月9日の警察庁発表では、EmotetがGoogle Chorme内に格納されたクレジットカードの情報を盗み出すようになったことがわかりました。

本来、Google Chromeのクレジットカード情報は暗号化されています。

しかし、Emotetは暗号データを元に戻す鍵も同時に盗み出す仕組みとなっており、Emotet観戦→Chromeに登録しているクレジットカードの情報(氏名・有効期限・CVV)が流出、第三者に不正使用される恐れがあります。

対策としては、クレジットカード番号の自動入力機能を利用しないなど、普段の利用から注意するほかありません。

Emotetは次々機能が追加されているので、今後もさらに問題のある情報を盗み出す機能が付加される可能性があります。

注意が必要です。

スポンサーリンク

Emotetの感染有無を確認するツールEmoCheckが2.3.2にアップデート(6/6)

Emotetの感染確認をチェックする無料ツール、EmoCheckが5月27日、さらに更新されました。

2022年5月までのEmotetを検知でき、ショートカットのリンク型のEmotetにも対応しています。

emocheckは随時アップデートされているため、利用時には更新がないかを確認することをおすすめします。

スポンサーリンク

クリックするだけで即感染!ショートカットファイル型Emotet出現(5/12)

Emotetが引き続き猛威を振るっていますが、今度はOfficeを利用していなくても感染するEmotetが現れました。

具体的な感染ルートを、埼玉県警が画像で解説しています。

また、Emotetのばらまきも引き続き再開されています。

 


特徴を箇条書きにします。

  • Emotetの感染に至るメールとして、ショートカットファイル(LNKファイル)あるいはそれを含むパスワード付きZipファイルを添付したメールが新たに観測
  • ショートカットファイルを実行すると、スクリプトファイルが生成、実行され、Emotetの感染に至る
  • ショートカットファイル型EmotetはOfficeがなくても感染
  • ダブルクリックすると悪意あるスクリプト(VBScriptやPower Shell)が生成・実行
  • このタイプの「Emotet」はまだセキュリティソフトの検出対象になっていないことがある
  • 「Microsoft Office」マクロのように実行を一旦ブロックする仕組みもないので、一度クリックすると感染する恐れ
  • Windowsはデフォルトではで「.LNK」拡張子を表示しないため、他のファイルタイプに偽装されていても気付きにくい(たとえば「Sample.pdf.link」は「Sample.pdf」に見える)
  • そのため、「Microsoft Office」マクロでなければ問題ないと思い込み、そうでない添付ファイルを油断して開くと、「Emotet」に感染してしまうことも
  • 業務に支障がないならばショートカットファイルやそれを含むZIPファイルが添付されたメールをサーバー側でブロックする対策を検討する必要

このように、Ofiiceを利用しない形の感染をするEmotetがありますので、ご注意ください。

 

スポンサーリンク

Emotet感染確認ツール更新(4/22)

Emotetの感染確認ツール「Emocheck」が更新されました。

利用方法は、

  • 上記リンクで「EmoCheck」をダウンロード
  • 感染が疑われる端末へコピー
  • 使用している端末に応じてemocheck_x86.exe(32bit)またはemocheck_x64.exe(64bit)を使用
  • 不明な場合はemocheck_x86.exeを使用
  • 感染が疑われる(主に通常その端末を使用しているユーザ)でログインし、ツールをダブルクリックし実行
  • 「Emotetのプロセスが見つかりました」と表示されていた場合には、Emotetに感染
  • 感染していない場合は、
    Emotetは検知されませんでした。以下のファイルに結果を出力しました。.\LAPTOP-CLADHKQC_20220425082707_emocheck.txtツールのご利用ありがとうございました。Press any key to continue . . .
    と出てくる

このように、少しでも不審な点がある場合は、必ず検査することをおすすめします。

 

メールだけじゃない、SNS経由でのEmotet感染の恐れも(4/21)

Emotetに関して、SNSでメッセージを送り、感染ファイルをクラウドストレージ経由で開かせるという手法が見つかりました。

 


Emotetはメール添付でだけ送られるとは限りません。

このように、SNS経由でファイルを送ると見せかけ、そのファイルにEmotetを埋め込むというパターンも出てきました。

メール以外でも、不審なファイルは開かない、Officeのマクロをオンにしないなど、油断しないことが重要です。

多くの企業でのEmotet感染やまず(4/12)

日本全国で、Emotet感染の報告が出ています。

4月前半も、企業・組織でのEmotet感染が相次いでいます。

著名な組織の感染報告も多く、知っている有名な組織からのメールと言えど、注意して対処する必要があると言えそうです。

感染し、メールをばらまいた上に情報流出という事例も出てくるようになりました。

「相模原市の業務委託先でEmotet感染、消去していなかった過去のメール情報が流出」という記事で、

  • 事業者のパソコンがEmotetに感染
  • 同市業務委託で利用したメールにあった個人情報等が流出した可能性が判明
  • 当該事業者が同市の委託業務として受信した個人情報を含むメールを削除していなかったことが原因
  • 流出情報は下記の通り
    1.在宅医療・介護連携事例等発表会運営業務委託(令和2年度及び令和3年度)当該発表会の参加者に関する情報:169件
    2.アウトリーチ事例検討会運営業務委託(令和2年度及び令和3年度)当該検討会の参加者に関する情報:125件
    3.テイクアウトメニュー販売会 in 中央区業務委託(令和2年度)参加店舗に関する情報:4件
  • 3月17日に、不審メールを受信した事業者や個人から連絡がありEmotet感染が判明
  • 委託事業者では同日中にEmotet除去作業を行った

このように、迷惑メールの送信元になるだけでなく、情報流出も発生してしまうため、Emotetには引き続き注意が必要です。

また、そもそもメール添付で、ファイルを圧縮・暗号化し、後で復号化パスワードを送るPPAPの場合、ファイルがEmotetに感染していても、検疫をすり抜けることが懸念されます。

各所でさけばれていますが、PPAPの全廃や、添付ファイルをそもそも開かないことが重要と言えます。

Twitterではこんな書き込みも。

 


このように、過去のメールを流用しており、人によっては開いてしまうこともありえるものです。

また、自社が気づかぬうちに、広く迷惑メールが送信されていることも。

添付ファイルがついている場合、特に注意して扱う必要があると言えます。

いすみ鉄道がEmotet感染

千葉県のいすみ鉄道が、自社のPCの一部がEmotetに感染したことを公表、以下のように告知しています。

非常にわかりやすい対処法となっているので、そのまま引用します。

この度、弊社の一部のパソコンがコンピュータウイルスに感染し、弊社従業員を装った不審なメールが複数の方へ送信されていることを確認いたしました。

お客様ならびに関係者の皆様に多大なるご迷惑とご心配をおかけしておりますことを深くお詫び申し上げます。

不審メールの見分け方として、送信者の氏名表示とメールアドレスが異なっていることが挙げられます。

弊社で使用しておりますメールアドレスのドメインは、「@isumirail.co.jp」となります。

当該不審メールは、送信者には弊社従業員の氏名やメールアドレスが表示されていますが、「@isumirail.co.jp」と異なる

メールアドレスから送信されております。

また、不審メールには、パスワード付きの圧縮ファイルなどが添付されており、メール本文に添付ファイル名やバスワードが記載されているケースもございます。

当該不審メールに添付されたファイルを開くことや、メール本文中のURLをクリックした場合、コンピュータウイルスへの感染や不正アクセスの恐れがございます。

つきましては、疑わしいメールが届きました際は、送信者アドレスをご確認いただくとともに、@マーク以下が「@isumirail.co.jp」と異なる場合は、添付ファイルの開封や、本文中のURLをクリックせず、メールごと削除していただきますようお願い申し上げます。

弊社ではコンピュータウイルス対策に取り組み、不審メールのプロックなどを進めてまいりましたが、今回の事象を受け、被害拡大の防止に努めるとともに、より一層の情報セキュリティ対策の強化に取り組んでまいります。

何卒、ご理解とご協力を賜りますようお願い申し上げます。

弊社からの正規のメールかどうかの判別がつかない場合は、お手数ですが発信者の弊社従業員にご確認いただきますようお願いいたします。(メールに記載のメールアドレスや電話番号ではなく、弊社代表電話 0470(82)2161 へ

ご連絡下さい。

 

 

NTT西日本がEmotet感染

公立大学法人から受託した業務に使っていたPCがEmotetに感染。

従業員や取引先のメールアドレスが流出。不審なメールの送信に使われていると発表。

同社従業員がメールに添付されたファイルのマクロを実行したのが感染の原因とみられる。

電気通信大がEmotet感染

3月28日、同大学職員と学生が利用していたPCがEmotetに感染。
窃取された認証情報を悪用された結果、メールサーバがEmotetマルウェアメールの送信に利用されたと発表。

感染したPCにあった個人情報を利用したEmotetマルウェアメールが送信されていることも確認。

 

香川県では学校のPCが感染

香川県三木町の小学校で3月3日、届いたメールの添付ファイルを開いたところEmotetに感染。

夕方には町役場や町内外の学校にも同じようなメールが届いたことから、三木町はこのパソコンに記録されていたメールアドレスが流出したとみられるとのこと。

3月2日にも香川県建設技術センターのパソコンが感染、職員を装った不審なメールが複数の人に送信。

香川県警は、もし感染した場合、感染したパソコンをネットワークから切り離すことや、使用していた全てのアカウントのパスワードを変更するようにアナウンス。

(KSB瀬戸内海放送より)

埼玉県の2つの学校でも、Emotet感染

埼玉県の2つの小学校のパソコン各1台が感染。

受信メールのファイルを開いたことにより、メールを外部に勝手に送付。

3日午前には1校で1,000件以上、もう1校で4,000件以上の送信メールエラーが発生したとのこと。

当然、メールエラーがない送り先も相当数存在するわけで、かなりの数のEmotetを含むメールが送付されたことが想定される。

(埼玉新聞より)

 

 

JPCERTコーディネーションセンター、「Emotet」の感染拡大に関する発表・警告を発出、Emotet対処方法も公開・更新(3/17)

独立系組織のJPCERTコーディネーションセンターは、2022年2月15日にマルウェア「Emotet」の感染拡大に関する発表・警告を発出しています。

また、共同通信でも、電子ウイルス、270万件超確認というタイトルで、

メールの添付ファイルを開くと感染するコンピューターウイルス「Emotet(エモテット)」が全世界で再び猛威を振るい、2021年末から270万件超が確認されたことが15日、米情報セキュリティー会社プルーフポイントの調査で分かった。知人や取引先からの返信を装って警戒を緩めさせるのが特徴。国内ではライオンや積水ハウスなど20以上の企業や団体が感染したとみられる。

 

エモテットは大量のパソコンが感染した「最強のウイルス」とも呼ばれ、国際的な捜査でいったんは制圧された。しかし摘発されなかった仲間のハッカーが同様の手法を使って21年末に復活させたとみられる。

と伝えられ、感染数の莫大さが懸念されています。

JPCERTは、Emotetの対処法に関するFAQを掲載しています。

Emotetの対策や、感染確認方法などを調べたい場合、このFAQを確認するといいでしょう。

まず、JPCRTCCが公表した2022年2月のEmotetに関するサマリーをまとめます。

2022年2月、Emotet再拡大

  • 一時活動が収まったEmotetだが、2021年11月後半より活動の再開が確認
  • 2022年2月初頭から、感染が急拡大
  • Emotetに感染しメール送信に悪用される可能性のある.jpメールアドレス数は、Emotetの感染が大幅に拡大した2020年に迫る勢い
  • 2021年11月後半より観測されているEmotetは、主にマクロ付きのExcelやWordファイル、あるいはこれらをパスワード付きZipファイルとしてメールに添付する形式で配信(以前と同じ形式)
  • ファイルを開封後、マクロを有効化する操作を実行することでEmotetに感染
  • メール本文中のリンクをクリックすることで悪性なExcelやWordファイルがダウンロードされるケース、アプリケーションのインストールを装いEmotet感染をねらうケースも
  • メールの本文には添付ファイルの開封、ExcelやWordファイルにはマクロの実行を促す内容が記述
  • 信頼できるものと判断できない限りは添付ファイルやリンクは開かず、確実な手段で送信元へ確認
  • 自身の組織がEmotetに感染すると、感染端末に保存されていたメールの情報やアドレス帳に登録されていた担当者名などの情報が窃取
  • 窃取された情報は、その後のEmotetの感染に繋がるなりすましメールで悪用
  • 自組織の職員になりすましたメールが飛んでいても、その職員の端末がEmotetに感染しているとは限らない
  • 職員が過去にメールのやりとりを行った取引先の端末がEmotetに感染し、その端末から窃取された情報に含まれていた当該職員の情報が悪用されているというケースの可能性も
  • 国内メールサーバーからの感染に繋がるメールの配信の増加傾向も確認
  • Discordを利用した、感染につながるファイルの送付も
  • 大手企業のライオン、テスコムなども感染を公表
  • 自組織で管理するメールサーバーなどのインフラが悪用されていないか確認
  • Emotet感染時の対処法リンク
    対応FAQ
    https://blogs.jpcert.or.jp/ja/2019/12/emotetfaq.html
    Emotet感染有無確認ツールEmoCheck
    https://github.com/JPCERTCC/EmoCheck/releases
    (EmoCheck利用時は、Emotet感染に繋がる可能性が考えられるメールを開いたPCのアカウントで端末にログインした状態で、EmoCheckを実行。別のアカウントでログインした場合では正しく検知できない可能性あり。)

以上の通り、動きは以前のEmotetと変わりないものの、感染が大幅に増加している状況です。

識者のツイートでは、2月10日以降、2月14日までの時点では、メール送信活動は確認されていないとのことですが、活動再開がいつなされるかわかりません。常に警戒をする必要があります。

 

EmotetがAdobeを装うインストーラーを利用!(12/7)

EmotetがAdobeを装うインストーラーを用いて感染を広げる動きが見られています。

メールの中に添付(もしくはzipファイルなどで圧縮して添付)したファイル内のWord・Excelのマクロを利用して感染を拡大するのがEmotetのこれまでの手口でしたが、ITMediaエンタープライズの「復活したEmotet 偽のAdobeインスト―ラーで感染拡大を図る」という記事では、”マルウェア「Emotet」が偽のAdobeアプリケーションのインストーラーパッケージを介して感染を拡大させている”という問題を紹介しています。

 

Emotet、偽のアドビWindows用インストーラーパッケージを介して拡散

まず対策として、「メールの中にリンクとして埋め込まれたPDFに関してはクリックしない」 ことが確実です。

記事を要約、一部日本のメディアの記事を付け足すと、

  • Emotetマルウェアは、AdobePDFソフトウェアを装った悪意のあるWindowsアプリインストーラーパッケージを介して配布
  • インストールすると、被害者の電子メールを盗み、TrickBotやQbotなどのマルウェアにも感染させる
  • マルウェアからランサムウェア攻撃につなげ、ランサムウェアに感染したコンピュータを強制的にロックしたり、中にあるファイルを暗号化して、元の状態に戻すことと引き換えに身代金を要求(しかも身代金を払ったからと言ってデータが復旧する可能性は不明確
  • 日本でも、ニップン・徳島県の病院などランサムウェア被害の事例多い(後述)
  • Emotetの背後にいる攻撃者は、AppInstallerと呼ばれるWindows10およびWindows11の組み込み機能を使用して、悪意のあるパッケージをインストールすることにより、システムに感染させる
  • 新しいEmotetの感染手口は、既存の会話への返信として表示される盗まれた返信チェーンメールからスタート
  • Emotetがばらまく返信は、受信者に「添付ファイルを参照してください」と伝えるだけで、電子メールの会話に関連するPDFとされるものへのリンクが含まれている
  • ここでリンクをクリックすると、ユーザーは偽のGoogleドライブページに移動し、ボタンをクリックしてPDFドキュメントをプレビューするように求められる(が、ここから先に進むと感染してしまう恐れ)
  • appinstallerファイルを開こうとすると、続行するためにWindows AppInstallerプログラムを開くかどうかを確認するメッセージが表示

  • 同意すると、「AdobePDFコンポーネント」をインストールするように求めるアプリインストーラウィンドウが表示
  • 悪意のあるパッケージは、正規のAdobe PDFアイコン、「信頼できるアプリ」としてマークする有効な証明書、および偽の発行元情報を持っているため、「いかにも本物らしく見える、」つまり正規のAdobeのソフトのように、ぱっと見は見えてしまう。
  • しかし、ここでインストールボタンを押すと、EmotetがPCに送り込まれる
  • HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Runの下に自動実行が作成され、ユーザーがWindowsにログインしたときにDLLが自動的に起動されてしまう(Emotetにパソコンが乗っ取られてしまう)

日本ではまだ観測されていない様子で、返信型でExcelファイルを送るメール・フィッシングメールと融合してしまったメールなどが観測される状況ですが、今後日本に上記のPDFリンク式メールが入ってくる可能性は多いにあります。

 

ランサムウェア被害は、対岸の火事ではない、地方の病院さえ狙われる

徳島県の病院で電子カルテが消失?コロナ禍を機に病院の「足元」を見るランサムウェアという記事では、

  • 2021年10月31日未明、徳島県の病院がランサムウェアの攻撃を受け、患者の電子カルテや医療データがすべて消失する(暗号化される)という事件が起きた。
  • 病院へのサイバー攻撃は、これまで海外の事例報告やニュースが多かった
  • 日本でも2018年ごろから被害報告が増えてきている
  • 病院へのサイバー攻撃はランサムウェアや情報漏えいがメイン
  • 海外では医療機器や関連サービスへの攻撃
  • 10月末に発生したとされる徳島県の病院の事例では、すべての電子カルテデータが暗号化され利用できなくなった
  • カルテにアクセスできないと、それまでの病状、診断、治療がどうなっていたかは、患者本人に聞くしかない状況
  • 医療ニーズが高まり治療体制やリソースが逼迫しているところに攻撃を仕掛ければ、身代金を支払ってもらえる確率が高まる。攻撃者はその「足元」を見ている
  • 身代金の要求に応じなくても、COVID-19や新型コロナウイルスに関する治療データ、ワクチン情報は非常に高い価値を持つ。良からぬ連中には札束にしか見えない
  • 日本を含め各国で起きているランサムウェアの攻撃は、不特定多数を想定したばらまき型のような攻撃も多い
  • 徳島県の病院の攻撃事例は、そこを狙った攻撃というより、RaaS(Ransomeware as a Service:サービスとしてのランサムウェア)を利用した犯罪者による無差別攻撃に近いもの
  • 標的を特定せず、業界範囲や入手できたリストをベースに攻撃を放ち、身代金支払いのためコンタクトしてきた相手だけに対応するという手口
  • 各種海外等の事例が紹介
  • 病院でも、一般的な業務ITシステムと同等かそれ以上の対策が必要
  • PCや院内サーバのエンドポイントセキュリティ対策、トラフィックやログ監視による侵入検知・異常検知の導入、WAF導入によるWebアクセスへの対策、認証とアクセス制御などが必要
  • 医療機器やデバイスについては、トラフィックおよびログ監視に加え、管理サーバのモニタリングなどで不正アクセスや異常を検知する体制を整備
  • アンチウイルスやファイアウォール、メールフィルタのような基本的な対策も必須
  • セキュリティ対策予算の問題は、簡単に解決できるものではない
  • 医療ISAC(Medical ISAC Japan)など業界支援の枠組みを活用するなどして、病院どうしの連携を強化し、知見や情報共有を進める業界全体での取り組みが必要

以上のような形で、医療機関もセキュリティ強化・ランサムウェアへの対応が強く求められていると言えます。

警察庁がEmotetの解析結果を発表(11/30)

警察庁が、Emotetの検体を入手、解析を行ったところ、情報窃取の対象となるメールソフトの種類が拡大していることが判明したとのことです。

 


警察庁は、Emotetが情報窃取のターゲットとするメールソフトに関して、過去に使われてきOutlookだけでなく、オープンソースソフトウェアのMozilla Thunderbirdもターゲットになっていると警鐘、ターゲットにされるソフトウェアが今後更に増える可能性も想定されます。

 

これまでに知られているEmotetでは、市販のメールソフトから過去にやり取りしたメールの本文、メールアドレス等の情報を窃取する機能を把握していましたが、今回のEmotetでは、新たにオープンソースのメールソフトも情報窃取の対象としていることを確認しました。今後、対象となるメールソフトの種類が追加されるおそれがありますので、本ページ記載の対策などを参考に、感染の未然防止対策を検討してください。

 

また、おさらいになりますが、警察庁のEmotetに関する記事をベースに、Emotetの引き起こす被害について整理します。

Emotetの概要・感染経路

  • メールの添付ファイルを感染経路とした不正プログラム
  • 過去にやり取りしたメールへの返信を装ったメールを送信し、添付ファイルの開封を促す
  • メールにはパスワード付きZIP形式で圧縮された文書ファイルが添付されており、パスワードはメールの本文に記載
  • 文書ファイルを開くと、ファイルに埋め込まれたマクロの実行を促す内容が表示され、実行するとEmotetに感染
  • Emotetに感染したパソコンから周囲のパソコンに感染を拡大させる動作も確認
  • 過去には、メール本文に記載されたURLリンクや、メールに添付された圧縮されていない状態の文書ファイル等からEmotetに感染する事例も確認

メカニズムについては、警察庁が発表している図表を引用します

 

 

(出典:警察庁 Emotet動作概要

上記の通り、Emotetは、感染経路は比較的かかりにくい手段でありつつも、一度感染してしまうと、端末の情報が詐取され、このデータを元にEmotetが進化、更に感染端末から周囲に感染誘導メールをばらまく、新しい不正なソフトウェアを感染端末に送り込む、各種ログイン情報を盗まれたりするなど、極めて大きな問題を引き起こします。

 

Emotetに感染すると・・・

  • メールソフトやブラウザに記録したパスワード等が窃取される。
  • 過去にやり取りしたメールの本文、メールアドレス等が窃取される。
  • 窃取されたメール関連の情報が悪用され、感染拡大を目的としたメールが送信される。
  • ネットワーク内の他のパソコンに感染が拡大する。
  • 他の不正プログラムに感染する(インターネットバンキングの情報の窃取を目的とした不正プログラム等)

Emotetの感染を極力防ぐための対策

  • OS、ウイルス対策ソフト(セキュリティソフト)、その他ソフトウェアを最新の状態に更新する
  • 不審なメールだけではなく、自分が送信したメールへの返信に見えるメールであっても、不自然な点があれば添付ファイルは開かない、そしてメール本文中のURLリンクはクリックしない。
  • メールに添付された文書ファイルを開いた時に、マクロやセキュリティに関する警告が表示された場合には、マクロを有効にしたり、セキュリティ警告を無視するような操作をしない。
  • Word・Excelなどマクロの自動実行機能を備えたソフトウェアについて、当該機能の無効化
  • メールセキュリティ製品の導入
  • 不正通信ブロックサービスの導入

 

また、12月1日深夜にもEmotetの動きが出ており、現在は英語・スペイン語ですが、動きが出始めています。日本にも感染が広がると、より深刻な事態になることが想定できます。

 


引き続き、不審なメールへの注意やソフトウェアの更新、セキュリティソフトの活用(未知のウイルスへの対応力が違います。「ESETセキュリティソフト」)など、基本的な対応を行っていく必要があります。

 

日経が社会面で「メールで拡散『エモテット』 最恐ウイルス 再び攻撃」と2021年11月19日朝刊で報じる

これまでは一部WebやSNSでの話題にとどまっていましたが、日本経済新聞が紙面で報道したことにより、幅広い層にEmotetの再活動が認知されると思われます。

要点を整理します。

  • 国内で11月中旬にEmotetの攻撃が確認
  • 感染したパソコンのメール情報を元に拡散
  • 感染力が極めて高い「最恐のウイルス」とされる
  • 既に企業から複数の攻撃報告あり
  • Emotetはメールを使ってウイルス付き添付ファイルを送付、受信者に開かせて端末を感染させる
  • 端末内の営業機密やアドレス帳などの情報を盗み出し、次々と別の端末に感染を広げる
  • 文面は、普段から連絡を取る相手を装い信じさせる物
  • 以前、国際組織で壊滅作戦が行われ、4月に一斉停止に追い込んでいた
  • 攻撃パターンなど以前のEmotetと同じ特徴があり、Emotetは複雑な構造で分析は難しい
  • 今回の攻撃は、摘発を逃れた組織関係者が関与している可能性が高い
  • 警察庁も活動再開を認識、注視
  • メールに少しでも不審な点があれば、添付ファイルは開かずIT担当者などに連絡
  • JPCERTは、感染の有無を調べるソフト、EmoCheckリンクは利用法の解説記事)を提供しており、感染の疑いが少しでもあれば調べて欲しいとのこと

 

 

2021年11月14日~16日ごろよりEmotet/Trickbot復活・攻撃再開の動き?(2021/11/17)

世界で様々な機関・企業に被害を出した、Emotet/Trickbotに関して、再び動きが広がっていることがTwitter上で広まっています。Emotet/Trickbotが行う動きに関しては、下の部分でまとめておりますので、そちらをご覧下さい。

このトピックでは、セキュリティに詳しい識者の方のツイートなどを引用し、現状の状況を更新していきます。

Emotet攻撃再開に関する動きに関し、日本国内・国外の識者・ipa(情報処理推進機構)が警鐘を鳴らしています。

 

(帰ってきたエモテット)

 


上記の通りbomさんが書かれた内容からピックアップすると、Emotet2021は下記の特徴があります。

  • 11/14にTrickbotから感染する形でEmotetが復活。
  • 翌15日からメール送信を開始。
  • メールの添付はdocm,xlsm,zipの3種類。(new)
  • メール本文は返信型。(Re:と書いてあるタイプ?)
  • プロセス生成や永続化の手法は以前と同様。
  • 通信はhttps化されデータの暗号化手法は変化。(new)

また、bomさんが提唱する基本的な手口・対策は下記の通りです。

  • メールの添付ファイルは開かない
  • Officeの「コンテンツの有効化」は押さない
  • 発生する被害もまた同様と推測される

具体例として、下記のようなパターンで来ると、Osumi, Yusuke (@ozuma5119)さんが警鐘を鳴らしています。

 


また、ipa(情報処理推進機構)も、「Emotet(エモテット)」と呼ばれるウイルスへの感染を狙うメールについて、という記事で、

 

(2021年11月16日)

Emotetの攻撃活動再開の兆候が確認されたという情報があります。
詳しくは「Emotetの攻撃活動再開について」を参照してください。

とし、

2021年11月14日頃から、Emotetの攻撃活動再開の兆候が確認されたという情報があります(*8)。また、Emotetへの感染を狙う攻撃メール(Emotetの攻撃メール)が着信しているという情報も複数観測している状況です。

IPAでは、攻撃メールに添付されていたと思われるWord文書ファイルとExcelファイルを入手し、確認しています。これらは悪意のあるマクロ(プログラム)が仕込まれたもので、今年1月までの攻撃と同様の手口です。引き続き、特にメールを経由して入手したOffice文書ファイルについて、信用できると判断できる場合でなければ、「編集を有効にする」「コンテンツの有効化」というボタンはクリックしないよう注意してください。

今後、攻撃メールの大規模なばらまきに発展する可能性もあります。2019年から2020年にかけ、多くの企業・組織が被害に遭いました。念のため、警戒をお願いします。

と警告を鳴らしています。

 

警視庁も16日時点で、改めてEmotet・Trickbotに警鐘を鳴らしています。

 

当面、Emotet/Trickbotに対する注意、不審なメール、特に添付ファイルは開かないなど、注意する必要があります。

 


Emotetで、パスワードをかけることにより、セキュリティソフトやWebサービスのスパムフィルタをすり抜けるケースがあるので、ご注意下さい。

 

また、日本への送信も少しずつ出てきているようです。


また情報が入り次第追記します。

 

 

システムの起動そのものが不可能で、バックアップも暗号化で利用不能・データ復旧の手段はない・・・日本の大手企業を襲うサイバー攻撃(2021年8月17日)

2021年8月16日、製粉大手のニップンが開示資料で、まさかの内容を公表しました。

タイトルは、「2022 年 3 月期第 1 四半期報告書の提出期限延長に関する承認申請書提出のお知らせ」ですが、原因がまさかのサイバー攻撃!

要点を箇条書きで整理します。

  • 2021 年 7 月 7 日未明から子会社の情報ネットワークにおいて、大部分のサーバー及び
    一部の端末に対し、同時多発的に全部または一部を暗号化するといった内容のサイバ
    ー攻撃によるシステム障害が発生
  • 被害対象は単体の財務管理、販売管理といった主要な基幹システムサーバーやデータが保存されているファイルサーバーを含め広範囲に及び、グループネットワーク内で運用している国内グループ会社の販売管理システム(11 社利用)と財務会計システム(26 社利用)も被害
  • 被害を封じ込めるための対応として、速やかに全サーバーの停止と社内外のネットワークを遮断
  • それにより、基幹システムをはじめとする全ての社内システム、データが保管されている共有ファイルサーバーへのアクセスも不可となる
  • 生産管理システムの一部など、ネットワーク上独立した配置にあるサーバーについては影響をなし
  • 障害の対象となる情報システムのいずれにおいても、サーバーのボリュームもしくはサーバーの内部に格納された電子ファイルの大部分に暗号化が施されており、システムの起動そのものが不可能
  • システムのデータバックアップも暗号化
  • データの復旧に有効な技術的手段がない
  • システム障害に対しての BCP事業継続計画(Business Continuity Plan) については、ハード面では災害対応でデータセンターを分散設置し、不測の事態に備えていた
  • 今回は、一度の攻撃でサーバーの大半が同時攻撃を受けたことで本社を含め全ての事業拠点が同様の事態であったため、当社の BCP で想定していた事態を大きく上回る状況となる
  • セキュリティ対策については、不正検知システム・セキュリティソフト・ファイアウォールなどの導入・更新がされており、社外とのネットワーク接続においては、特権アカウントの使用制限や外部装置書き出しチェックなどのセキュリティ監視活動をしている
  • バックアップもしていたわけだが、前述の通りバックアップデータもダメになってしまった
  • 以上のため、四半期報告書の提出期限である 2021 年 8 月 16 日まで
    に当社の 2022 年 3 月期第1四半期連結財務諸表の作成及び会計監査人のレビューを
    完了することができない状況にあることから、2022 年 3 月期第1四半期報告書の提出期限延長についての申請を行う

とのことで、四半期報告書だけでなく、様々なデータが何らかの方法で暗号化され、復元できず、バックアップも暗号化されているので復元できない、極めて重大な状態です。

今後また情報があり次第、追記しますが、大企業のこれだけの大規模なシステムが、バックアップもふくめ復元不可能な事態になったことは、極めて異例と言えます。

 

 

 

情報窃取マルウェア・ウイルス・フィッシングメール対策で心がけるべき基礎(2021年版)

この数年、国内外の大手企業の名前をかたったフィッシングメールが激増しています。

 

2019年・2020年、Emotetというマルウェアが流行しました。

 

このEmotetは、メールやメールアドレス等の情報、Webブラウザに保存されていた認証情報も漏洩させ、さらにこの情報を用いて、各種連絡先、連絡帳、メールの認証情報などを用いて攻撃メールの配信を行うことで、仲間を増やすという、なかばゾンビかネズミ講のような凶悪マルウェアです。

 

怖いのが、ITMediaの記事によると、

感染経路に「実在の人物になりすましたメールに添付された、悪意あるマクロが含まれるWordファイル」が利用されている点です。しかも、なりすましメールの本文に、正規のやり取とりの文面が引用されている

猛威を振るうEmotet……これは単なる「種まき」だ? 辻伸弘氏の危惧する近未来
JPCERTや複数のセキュリティベンダーから、マルウェア「Emotet」の注意喚起が発信されています。ひっそりと広まったマルウェアが他の攻撃の踏み台にされたら、どうなってしまうのでしょう? 辻伸弘氏が危惧する「刈り取り」とは。

 

つまり、一見普通のやりとりの返信と思って無意識にファイルを開き、悪意のあるマクロを実行してしまったらアウトという点です。

(逆に言うと、開いてもマクロを実行しなければ問題ないのですが・・・)

 

賞与支払届というタイトルのメール、Emotetかも!?

 

さらに、2019年12月11日には、「賞与支払届」というタイトルで、日本語のメール本文中に不正なURLリンクが記載された、Emotetの攻撃メールが発見されたそうです。

 

Emotet(エモテット)と呼ばれるウイルスへの感染を狙うメールについて:IPA 独立行政法人 情報処理推進機構
Emotet(エモテット)と呼ばれるウイルスへの感染を狙うメールについて解説

これもマルウェアが含まれたWordファイルをリンクからダウンロードさせる形式だそうです。

 

Wordファイルのマクロをとにかく実行しないこと

 

より詳しくまとめてあるページ、Emotetの注意喚起に活用できそうなリンク集をまとめてみたに、

次のケースでは感染(Emotetは活性化)しない。

・届いた不審メールの本文を表示しただけ。
・不審メールに添付された文書ファイルを保存しただけ。
・不審メールに添付された文書ファイルを開いたがコンテンツの有効化はクリックしていない。(Office既定設定のマクロ実行無効化時のみ)

 

と書かれています。(このサイトの作者の方、いろいろセキュリティインシデントの情報をまとめておられすごいです・・・。)

 

先日の、処理業者の従業員による廃棄ハードディスク転売事案についても、いろいろと調べ、下記のようにまとめておられます。

 

これ以外でも、特に法人でアドレスを表に出しているものなどには、様々なルートから迷惑メールが届いているかと思います。

 

様々なメールの迷惑メール振り分け精度が向上した現在でも、様々なアドレスなどからメールが送られるため、メールボックス・もしくは迷惑メールフォルダに、フィッシングメールが大量に入っている方もおられるかと思います。

 

当記事では、迷惑メール・Emotetなどのマルウェア、フィッシングメールの傾向と対策になどついて記述します。

 

迷惑メール・フィッシングメール・マルウェア対策の大原則とは?

多くの企業ではデスクトップアプリとしては法人向けのOutlookかMozzilaのThunderbird、クラウドではG SuiteのGmail、AppleのiCloudなどを使っているケースが多いかと思います。(個人的な使用感では、iCloudは普通のメールを迷惑扱いする頻度が多いように感じます)

 

迷惑メールには、ウイルス・不正なプログラムの実行ソフトウェア(マルウェア、トロイの木馬とも呼ばれる)が含まれていることも多く、これを開くと、様々な意味で問題が起こることが想定されます。

 

担当者はOutlookではなくGmail・iCloudなど、いわゆるWebメールサービスを利用しております。Gmailの迷惑メール振り分け機能は協力で、多くのスパム・フィッシングメールが迷惑メールフォルダーに振り分けられます。(問題のないメールが迷惑メールフォルダに入っていることもありますが・・・)

 

それでもまれに迷惑メールなどは入ってきますし、送付してきた先が、Emotetに感染している場合は、取引先・関係先からの場合であっても、普通にメールボックスに入ってきて、「なにか添付ファイルがあるぞ」と思って開くと、感染してしまう恐れもあります。

 

大手企業はシステム部門がきちんとセキュリティの管理も行っていますが、小規模事業・個人の場合は利用者自身がセキュリティ対策を図る必要があります。

 

下記に書くことは、知っている人にとっては「あたりまえ」のことでありますが、相当以上に知っている人と知らない人の間に温度差があり、徹底されていないケースもあります。

 

念のため、最小限のセキュリティ対策を再度おさえておきましょう。

 

セキュリティ対策の大原則(個人・スモールビジネス)

  1. ESET・ノートン360など極力有料のセキュリティ対策ソフトを入れ、必ず最新の状態に保つ(パソコンの動作相談を受け確認してみると、意外とこれがされておらず、購入時のまま・・・というケースが多かった。Windows10は最初からセキュリティ・マルウェア対策のWindows Defenderが内蔵されており、そちらが有効になっていればまだいいが、購入時のウイルス対策ソフトを入れたままで更新していないとリスクがありうる)
  2. 不用意に添付ファイル・メールのリンクをクリックしない(取引先からのメールでも、Emotetがなどマルウェアが発生している現状では注意する。無意識に開いて感染というのが怖い)
  3. 企業からのアカウント閉鎖・警告に関するメールは、特に警戒し、送信者情報を確認する。特に焦らせるタイトル(あなたのアカウントが盗まれています!)などには特に警戒。
  4. 各種アップデートを常に行う。Windows10であれば、スタート→歯車(設定)→更新とセキュリティ。ソフトウェアも常にアップデート。Windows7など旧OSを利用している場合はWindows10にアップデートする。旧版のオフィスではなく、サブスクリプション型のOfiice365に移行し、常に最新のOfficeを使う。
  5. スモールビジネスなど組織の場合は、改めてメール開封時の注意など、組織内への注意喚起やセキュリティに関するポリシーの策定・周知など
  6. 二段階認証ができるシステム・サイトは、極力二段階認証を使う(Emotet対策にもなる)
  7. 不審なWord、Excelなどのファイルを開かない、不審なコンテンツの有効化ボタンを押さない、デフォルトでマクロの有効化をしない

 

セキュリティの専門家の方から見たら不十分かもしれません。

 

また、ある程度の企業の規模になってくれば、セキュリティベンダーにサイバーインシデント対策を一任したり、

サイバーインシデント緊急対応企業一覧 | 特定非営利活動法人 日本ネットワークセキュリティ協会(JNSA)
サイバーインシデントは予期しないタイミングで起こります。また、サイバーインシデントは通常のシステム障害とは異なり、専門知識がないと状態の把握すら困難です。そのような時に、緊急で対応を請け負ってくれる、頼りになるJNSA所属企業を取りまとめました。各企業とも初期相談は無料ですので、ご都合に合わせ直接お問い合わせください。

普段から取引のあるシステム導入事業者に、改めてセキュリティ対策を相談することも重要かと思います。

 

それでも、「専用のセキュリティソフトの導入・セキュリティソフト、OSの日頃からのアップデート・不審なメール・リンクを開かない」という当たり前のポイントを守るだけでも、大きく違います。

 

ここからは、先ほど述べた、マルウェアEmotetの特徴と対策について、JPCERTCCやその他の記事も参考にしながら、かみくだいて説明します。

 

Emotetって、何が怖かったの?

Emotetの怖さは、前述の通り感染力の強さ、やることの凶悪さです。

 

  • 取引先・連絡先にメールを勝手に送りつけ、感染PCを増やす恐れ
  • Webブラウザのログイン情報を用いて、様々なサイトに勝手にログインされる恐れ
  • 他のマルウェアに感染しやすくなる恐れ

 

さらに先ほど述べた通り、取引や連絡のメールを引用しながら送ってくるので、見知らぬ所からのメールと違い、無意識に開けてしまう恐れがある点も怖いといえます。

 

しかし、Emotetの怖さは、それだけではありません。

「あとから機能を追加できて、より問題のある行為を行うことができてしまう」

というのが怖いのです。

 

先ほどのITMediaの記事をさらに引用します。

今、Emotetはマクロを経由して情報を詐取し、アドレス帳をもとにメールをばらまいています。しかしEmotetは「追加モジュールによる機能追加、多層的な運用が可能なもの」とされています。

「Emotetの感染端末に別の攻撃者が来て別のマルウェアを注入する、といった攻撃が想定できる。つまり現在のEmotetの活動は“種まき”の段階という場合もある」(辻氏)――つまり、Emotetをきっかけに、その他強力なマルウェアへ連鎖する可能性があるのです。

Emotetの目的が「感染範囲を広げること」だとすると、次にやってくるのは「刈り取り」、つまり攻撃です。実効性が高い刈り取りのマルウェアといえば、皆さんも知っているはず……そう、ランサムウェアです。

「僕が一番危惧しているのは、Emotetに汚染されたネットワークにランサムウェアが来ることです。Emotetの感染経路をたどってローカルネットワークに入り、Active Directoryを奪取。そこからランサムウェアを展開するのが最悪のシナリオです」(辻氏)。このシナリオで攻撃された場合、システム全体を人質に身代金を要求するか、全てのデータを暗号化して破壊するかは、攻撃者次第となります。

「――これ、点で見る話じゃないんですよ」(辻氏)

 

つまり、Emotetでいろいろ事前に仕込んでおいて、さらにデータを勝手に暗号化して復元できなくしたり、消去したりなどの動作を行ったり、お金を支払わないとデータを破壊する、と脅すいわゆる「ランサムウェア」に発展する可能性もありうる、これが非常に怖いのです。

 

上記記事でも警鐘を鳴らしていますが、Emotetや別種のマルウェアは、今後も凶悪化していくおそれが高いといえます。

 

マルウェアを作る側からすれば、100万アドレスに1件でも引っかかり、そこからマルチ商法のごとく、知り合いのアドレス、連絡帳・・・などと広げていけば、どんどん仲間を増やすことができてしまいます。

 

そのような事故を防ぐためにも、日頃からセキュリティ対策を念頭に置き、メールの確認、Webサイトの閲覧、各種OS、ソフトウェアのアップデートを行うことが大切です。

 

 

Emotet壊滅作戦完了

複数の国が共同で、「Ladybird作戦(テントウムシ作戦)」を発動、Emotetのインフラが主要サーバーで停止される状態になっています。

また、オランダの警察は、マルウェアのEmotetを削除する動作を行うことを3月25日に予定しています。

とはいえ、亜種も含め、Emotet系列のマルウェアや類似マルウェアが消滅するとは限りません。ブラックハッカー側も、「予備のシステムを使う」、「似たようなマルウェアを運用する」可能性は大いにあると考えられますので、今後も油断はできません。

 

今回、既にこれまでの経過はPiyologさんが詳細にまとめておられますので、Emotet壊滅作戦の概要と今後どうなるか、対策や対応Webサイトをシンプルにまとめます。

 

Emotet壊滅作戦、何が行われた?

  • オランダ、ドイツ、米国、イギリス、フランス、リトアニア、カナダ、ウクライナによる共同作戦で、Emotetの制御システムをブラックハッカー側から奪い取り(おそらく物理的に)、感染を広げるネットワークを停止させた
  • オランダ警察が、「Emotet」により窃取されたメールアドレス、ユーザー名、パスワードなどのデータベースを押収
  • 押収データに関連する情報が含まれていないか調べることができるチェックサイトが用意(なお、今違う方向で話題のGithubで、JPCERT CCによりEmocheckという感染検索ツールが公開されています)
  • TBSなど日本の民放でも、”最も危険”マルウェア「エモテット」 国際合同捜査で“破壊”として、”ウクライナの警察は関係先を家宅捜索し、コンピューター・ハードディスクなどのほか、大量の現金や金塊を押収”したことを報道
  • 今後も亜種が発生する可能性は大いにあるので、メールの添付ファイルには注意が必要
  • ユーロポールがネットワークの配信となる大本に潜入、停止。世界中の約700台のサーバーを通して拡散されていた
  • 犯行グループは財産没収に加え、最高懲役12年(日経新聞紙面より)
  • 国際的なハッカー集団が関与、今後も特定・拘束を進める
  • オランダ警察は、Emotetが運営されていたサーバーへのアクセス権を用いて、「感染したEmotetが自動で消える仕組み」を仕掛けたEmotetのアップデートを、このマルウェアに感染したすべてのホストに配信
  • アップデートには時限爆弾のようなコードが埋め込まれており、各マシンの時刻が2021年3月25日正午になった時に、そのコンピューターからEmotetを自動消去(ただし、後述のMalwarebytes Threat Intelligence@MBThreatIntelのTweetでは、4月25日という話もあり)
  • Emotetを運営する者たちは、データを自ら盗むスタイル形式から、同じような手法のツールを販売するツルハシビジネスへとシフト
  • 2018年にはスパムメールを配信する能力を大幅に拡大、同年の9月には、1日50万件以上のスパムメールを配信。さらに、その1か月後の10月には容量を2倍以上に拡大し、1日に100万件を超えるスパムメールを配信など、どんどん配信量を増やした
  • Emotetによって欧米の金融機関などに対して、これまでにおよそ25億ドル、日本円にして2600億円余りに上る被害が生じている
  • 犯行グループが利用していたひとつの仮想通貨プラットフォームを調べたところ、2年間で約1050万ドル(日本円で約10億5千万円)の資金が移されていることが判明。犯行グループは、犯罪インフラを維持するため、同期間に約50万ドル(日本円で約5,000万円)を費やしていた。あくまでひとつのプラットフォームであるため、他にも資金を集めているプラットフォームがある可能性は想定しうる
  • Avastの指摘では、”起訴や逮捕に関して言及がない”、”つまり、警察当局は攻撃者ではなく、攻撃者のツールのみを捕まえることができた可能性が高い”としているが、NHKの報道ではウクライナ人2人を拘束したと発表、ハッカー集団のメンバーを特定し、捜査を続けているとのこと
  • 世界中に捜査の手は及んでいるものの、その中でEmotetグループが再編成され、ボットネットも再構築される可能性がある
  • 振り込め詐欺同様、グループは被害者リストを持っている。ボットネットが消滅していても、データのコピーを持っている可能性(振り込め詐欺で言うリスト)もあり、そのデータを利用して新しいボットネットを構築することもできてしまう
  • 今後も同様に不審なメールには注意

なお、マルウェアの一斉消去は3月25日と4月25日、2つの見解があり、Malwarebytes Threat Intelligenceのアカウントは、「Emotetを消去するバイナリファイルをチェックしたが、実際の消去を行う引き金が作動する日にちは4月25日に見える」と書いています。

 

 

 

参照記事:マルウェア「Emotet」、感染ホストから一斉削除へ–蘭警察がアップデート配信

「Emotet」を追い詰めた「Ladybird作戦」 – 攻撃者がバックアップ保有の可能性も

欧米警察が協力、「Emotet」をテイクダウン – 被害チェックサイトも

最恐ウイルスEmotetをテイクダウンしたOperation Ladybirdについてまとめてみた

日本経済新聞朝刊 1月30日号

Police take down Emotet and help possible victims with new tactics

「エモテット」ネットワークを制圧 国際的合同捜査で

「Emotet」で10億円以上荒稼ぎか – インフラ維持に5000万円

 

2021年2月20日時点でのEmotetの状況整理

  • Emotetのネットワークを構築していたブラックハッカー集団は、既に摘発され、サーバーも押収 (マルウェア「Emotet」に捜査当局によるサーバー停止・摘発進む、Emotet感染確認サイトも完成!亜種の発生には引き続き注意を)
  • 国内におけるEmotetの感染端末は警察庁調べによると2.6万のIPアドレスと見られる(2/20日 日経朝刊より)
  • IPアドレスは、個人の場合、多くの人で共有するケースもあるため、実際は2.6万台以上のPCがEmotetに感染している可能性が考えられる
  • 感染端末の「IPアドレス」は既に把握されているが、上記の通り、プロバイダーの調査で、Emotetに感染したと思われる振る舞いを行う個々のPCを把握される必要がある。Emotet感染PCが特定されれば、プロバイダーから通知が行われる。
  • そのため、自分でもEmotetに感染していないかのチェックが必要
  • まず、そもそもEmotetに感染しているかEmocheckで確認。感染が判明したら、一番確実なEmotetの削除方法は、「重要なデータなどをバックアップした上でのパソコンの初期化」。
  • 最新のEmotetは、通常のセキュリティ対策ソフトで検出できないタイプに進化しているという話もあるが、だからといって基本的なセキュリティ対策ソフトがEmotetに対して効果がないと言うわけではないので、セキュリティ対策ソフト・マルウェア対策ソフトの導入は必須
  • いろいろな事情で初期化がすぐにできない場合は、セキュリティソフトを必ず入れる!入れていない場合は導入(無料体験からはじめる総合セキュリティソフトESET)など、またマルウェアに特化したフリーソフトMalwarebytesなどで検査を行う。総合セキュリティソフト同士は共存できないが、前述のESETとMalwarebytesは、「総合セキュリティソフトとマルウェア対策特化の組み合わせ」なので、両方入れても大丈夫。
  • ネットワークを通して5月にEmotetが削除される予定だが、Emotet自体がセキュリティを甘くして、別のマルウェアを呼び込む可能性もあるので、早めに駆除した方が絶対に良い(【悪質】Emotet(エモテット)が呼び込むTrickbot(トリックボット) Emotet感染→Ryuk(リューク・身代金型ランサムウェア)感染という流れに注意

 

 

 

2020年9月2日追記

ITMediaZDNetIPA、その他Twitterによると5ヶ月ぶりにEmotetが活動を再開し始めたようです。

また、2020年9月でも至る所でEmotetの活動が見られるようです。

 

攻撃の手法は以前と変わらない様子ではありますが、ただ、文章や送り方が前より巧妙になってきており、注意しないと引っかかる恐れがあります。

 

IPAも注意喚起をしている、

 

身に覚えのないメールの添付ファイルは開かないメール本文中のURLリンクはクリックしない。
自分が送信したメールへの返信に見えるメールであっても、不自然な点があれば添付ファイルは開かない。
OSやアプリケーション、セキュリティソフトを常に最新の状態にする。
信頼できないメールに添付されたWord文書やExcelファイルを開いた時に、マクロやセキュリティに関する警告が表示された場合、「マクロを有効にする」「コンテンツの有効化」というボタンはクリックしない。
メールや文書ファイルの閲覧中、身に覚えのない警告ウインドウが表示された際、その警告の意味が分からない場合は、操作を中断する。
身に覚えのないメールや添付ファイルを開いてしまった場合は、すぐにシステム管理部門等へ連絡する。

 

上記のような、基本的な対策をとること、常にOSの更新を行うこと、セキュリティソフトの導入、アップデート、期限切れがないようにすることが重要です。

 

また、セキュリティソフトの導入は。感染可能性を減らすために、最低限必要としても、パスワード付きzipなど、セキュリティソフトをくぐり抜けてくるケースが、後述のtwitterなどで書かれています。

 

パスワード付きzipに関しては、特に慎重に取り扱うことが要されます。

 

また、JPCERT/CCのマルウエアEmotetへの対応FAQに関しても、対応上ヒントとなる点が多いので、感染の可能性など万一の場合は、こちらも参照しましょう。

 




9月現在では、Twitterなどで下記のような声があります。

 


不審なメールは、送付者に直接電話などで確認するなどした方がよいでしょう

 

 

活動は7月17日頃から始まったようで、感染経路は以前と同じメール添付ファイル。

 


2020年4月23日追記

世界的なテレワークの増加により、Emotet他マルウエアが保健所をかたる、病院などをターゲットにするランサムウェアが増加している模様です。(ITMedia記事

 

2020年3月23日追記

一部記事の修正を行いました。

2020年2月26日追記情報

EmoCheck のソースを参考にしてEmotetを見つけて停止させるサービスを登録するツール「EmoKill」が公開されたという情報をbom様のtwitterタイムラインで確認しました。

 

専門的なツールとなりますが、活用できる知識のある方は、ぜひ活用なさってください。

 


2020年2月14日

ここ数週間のコロナウイルスの流行に乗じた、Emotetを感染させるためのメールが多く観測されています。

・マスクを無料配布する

・保健所からの告知・注意喚起などのメール

等で、Wordなど添付ファイルを開かせようとするメールに対しては、

・まず一呼吸置いて、疑念を持ちながら読む

・セキュリティソフトでマルウェアの検査をする

・送信元に、「メール記載の電話番号ではなく」、送信元が公的機関であれば、公的機関のサイトを確認、時には送信元に電話確認などする

・マスクをプレゼントといううまい話はない

など、ともかく添付ファイルに対しては慎重な対応を行うことが要されます。

 

2020年2月7日

ブログの読者様より、

・「Emotet」はファイルレスタイプである

・対応可能なソフトに関する記述

など、他のサイトのデータも踏まえてご指摘をいただきました。

セキュリティに関する知見をお持ちの方に、率直なご指摘をいただきましたことは、大変ありがたく思っており、この場を借りて御礼を申しあげます。

その他、ご連絡いただいた情報をそのまま貼り付けるのは控えますが、Defenderに関しては「対応は不明確」とし、他のソフトウェアに関しても、時間が取れれば、メーカーに再確認をする方向で検討しております。

 

2020年2月4日追記情報

JPCERT/CC 分析センター(Analysis Center)より、

”プロセスからEmotetを検知するWindows OS用ツールEmoCheckをGitHubに公開しました。Emotetの感染調査などにご活用ください。”

GitHub - JPCERTCC/EmoCheck: Emotet detection tool for Windows OS
Emotet detection tool for Windows OS. Contribute to JPCERTCC/EmoCheck development by creating an account on GitHub.

というアナウンスが出ております。

 

また、購読者以外は一部のみの閲覧となりますが、日経XTechの記事で、新型コロナウイルスに便乗したEmotetウイルス攻撃が発生しているとのことです。

IPAでも警鐘を鳴らしています。

 


Emotetのカタカナ表記にでは、マスメディア上では一般的に「エモテット」とされていますが、「イモテット」が正確な発音であるという意見もあります。カタカナ表記の場合は、既に普及している「エモテット」という呼称を基本としつつも、両方併記できるときには、「エモテット・イモテット」と標記します。

 

2020年1月28日追記情報

当ページでも紹介しているAvast!ですが、ITmedia他で、

”Avast Softwareがセキュリティアプリをインストールしたユーザーのアクティビティデータを収集し、それをパッケージ化して子会社であるマーケティング解析企業Jumpshotを介して企業に販売していると、米メディアのMotherboardとPCMagが1月27日(現地時間)、Avastの内部文書や顧客企業への調査に基づいて報じた。”

”Avastは、アプリでのデータ収集はオプトインでユーザーに許可を得ていると説明したが、Motherboardが取材した多数のユーザーは許可した自覚がなく、そのデータが販売されていることも知らないと語った。Avastはデータは匿名化して販売しているとしているが、専門家によるとこのデータから個人を特定するのは簡単”

”Google検索、Googleマップの場所検索、LinkedInページでのアクティビティ、YouTubeの動画のクリック、どの動画を見たかなどが含まれる。例えばあるユーザーが何かを購入するまでにクリックしたすべてのURLの履歴をたどることができる。”

など、セキュリティソフトとしてありえない振る舞いをしているため、当サイトでは、利用しないよう注意喚起を促します。

 

また、Avast!は無料セキュリティソフトのAVG社を買収しているため、AVG社の製品の使用についても、「大丈夫なのか?」という印象は正直あります。

 

また、AVGとAvastの技術を結集、という触れ込みでAVG AntiVirus FREEというソフトがありますが、こちらについても、Avastと同じようなことをしていないか?という疑念が正直ありますので、AVGについてもおすすめはせず、Windows10付属のDefenderの方がまだましかと言わざるを得ません。

もちろん、有料セキュリティソフト(こっちでも微妙なのはありますが、あえて名前はあげません)がよりベターとは言えると思います。

 

 

2020年1月17日追記情報

Emotetに関して、改変された亜種が出回っているようです。

また、twitter上の発信者の方の観測ですが、攻撃者に日本企業のやりとりしたメールが全て盗まれているという話も・・・。

 

セキュリティソフトウェアが通用しないケースがあるとはいえ、

  • 不審なメールはリンクをクリックしない
  • 日本語に不自然な点やせかす点があれば要注意
  • Wordのマクロはデフォルトでオフ
  • 同時に添付ファイルもクリックしない
  • Windows10のセキュリティパッチは常に更新
  • セキュリティソフトウェアも常に更新

など、被害に遭う確率を0にはしきれないとしても、できるだけ確率を下げるために、対策は重要です。

 

 

 

 

Emotetがどれだけ怖かったかに関しておさらいすると・・

Emotetは下記のようなことを行うマルウェアでした。

 

  • 実在の組織や人物になりすましたメールを、感染したパソコンの名義で大量に送りつける
  • 感染すると「ID・パスワードなどの認証情報が盗まれる」「盗まれたパスを悪用し、内部サーバーのネットワーク内にEmotetが感染」「メールアカウントとパスワードに加えメール本文とアドレス帳の情報が窃取され、連絡先やアドレス帳の登録相手に、既存のメール文を応用した形で同じような感染メールを自動かつ勝手に送りつける」「Emotet に感染することにより、不正なマルウェアの抜け道がつくられてしまい、Trickbotなどの別のマルウエアをダウンロードしたり、Ryuk(身代金型ランサムウェア)などのランサムウエアに感染してデータが暗号化され、復元に多額の費用を暗号資産(仮想通貨)で請求される(数千万円~5億4千万円など様々なケース。)などの被害を受けるため、特に仕事で使っている場合は業務データが復元できなくなり、甚大な被害を受ける恐れ」

 

つまり、感染してしまった人のPC経由で、手当たり次第にメールを送りつけるうえに、さらに自分のシステムにも他のより有害なマルウェアを呼び込むなど二次被害などが想定されます。

詳細はIPAのサイトにも記載

Windows10の場合、Windows Defenderに加え様々な保護システムが働きますが完全な保護ができるかというと、そうは言い切れません。ましてや、Windows7など旧OSを利用している場合、大変危険です。(今も危険ですが特にWindows 7は2020年1月14日、Windows 8.1は2023年1月10日のサポート終了後はさらに)

 

 

地方経営ノートの中の人
地方経営ノートの中の人

Emotetは、感染手口は単純なのですが、マルチ商法とキングボンビー(桃太郎電鉄に出てくる、いろいろ余計な物を連れてくる・マイナスなことをする)をかけあわせたような、やることはとてもエグいマルウェアです・・・

 

Emotetの感染ルートですが、ある程度セキュリティの基礎知識がある人なら、引っかかる恐れは少ないと思います。(ただ、「慣れ」というのは怖いですが・・・・)

 

  • メールに添付されたWordファイルを開き、マクロを実行してしまうと感染の恐れ。(もしくは、メール内リンクをクリックして、Emotetが含まれたファイルを開き、マクロを実行すること感染)添付されたファイルには、「コンテンツの有効化」を促す内容が記載されており、有効化してしまうと Emotet がダウンロードされたり、Word の設定によっては、有効化の警告が表示されずに Emotet がダウンロードされる場合も。
  • 有料セキュリティソフト各社への問い合わせ(後に詳しく記載)をした結果では、大半の会社が亜種も含め対応済み(ただし、ソフトのバージョンとモジュールは最新のものを)

となるため、セキュリティソフトウェア・OSの最新版への更新(もちろん、WindowsであればWindows10への移行)が大切となります。

 

ZeroCleareに関しては、不特定多数を狙ったものではありませんので、今のところは状況を注視するのみです。

 

【悪質】Emotet(エモテット)が呼び込むTrickbot(トリックボット)

当サイトでは、Emotet(エモテット)の感染、メールばらまきに加え、いろいろな悪さをするマルウェアが存在することにも触れてきました。現在はEmotet事態は壊滅しましたが、こういうことを行うということでのしておきます。

 

その代表格がRyuk(リューク)ですが、もうひとつ凶悪なマルウェアにTrickbot(トリックボット)というのがあります。

 

Emotetが他のマルウェアを呼び込む仕組みについては、別のページで解説していますので、今回は、呼び込むTrickbotがなぜ怖いのかについてまとめてみます。

 

マルウェア Trickbot(トリックボット)とは?

Trickbot単体はEmotetと同様、

Wordのマクロファイルを通じて感染するか、Emotetがよびよせるかという2パターンになります。

トレンドマイクロ社のTrickbotの特徴を見ると、

Filezilla
Microsoft Outlook
PuTTy
Remote Desktop (RDP)
VNC
WinSCP

などのソフトウェアから認証情報を盗み出す、

さらに、

Google Chrome、Internet Explorer、Microsoft Edge、Mozilla Firefoxから、

自動入力
請求情報
閲覧履歴
クレジットカード情報
HTTP POSTレスポンス
クッキー
ユーザ名とパスワード

など、オンラインバンキングや各種サイト認証に必要な、様々なデータを盗み出してしまいます。

 

このデータをもとに、オンラインバンキングや各種クレジットカード決済などで悪用される、データが特定のところで売買され、第三者から情報を悪用される恐れがあるのです。

 

Trickbotは、Ryukにも感染しやすくなる

別の記事で、Emotetに感染するとTrickbotにも感染しやすくなり、さらに凶悪なRyukにも感染しやすくなることを書きました。

 

Trickbotの感染も、Ryukなど、さらに悪質なマルウェアの侵入をしやすくしてしまいます。

(専門的になりますが、サイバーリーズンのページにEmotet・Trickbotのメカニズムが書かれていますので、興味がある方はぜひご一読を)

 

そして怖いのが、

  • Emotet=感染コンピューターを増やす・別のマルウェアが入りやすくする
  • Trickbot=IDパスワードなどログイン情報、機密情報その他個人情報等重要な情報を盗み出し、加えてRyukに感染しやすくなる、VNC(ヴァーチャル・ネットワーク・コンピューティング)という遠隔操作プログラムを仕込み、感染者に気づかれることなく感染したPCのデスクトップをリモートで操作できてしまう
  • Ryuk=暗号化をして、データを縦に身代金を要求する

と、ある意味手分けをして、それぞれが悪質な動きをしていることです。

 

また、上記のサイバーリーズンのページでは、”TrickBotは、Windows Defenderを無効にし、削除しようと試みる”、つまりセキュリティソフトを無効化するふるまいも行います。

 

Trickbotは、「このパソコンがRyukを感染させられるかな・・」という見立ても行う

TrickBotはsystemInfo.dllというファイルで、”標的のマシンが「Ryuk」ランサムウェアを感染させるための基準を満たしているかどうか”、”32bitか64bitか”など、下調べを行います。

 

それ以外にも、様々な内部的な悪さを、ユーザーに見えにくいように行います。

 

このようにTrickbotは、情報窃取・より悪質なマルウェアの呼び込みを行うなど、本当に油断ができません。

 

結局は、「不審なメールは開かない・判別がつかない場合は開封前に検査を」という、一般論的な話になるのですが、ともかくTrickbotを呼び込むEmotetに感染しないよう、改めてファイルの扱いを意識することが要されます。

 

ZeroCleare MBRを破壊、PCを起動不能にし、内部ネットワーク上でも感染を広げるマルウェア

今回紹介するZeroCleareは、「WindowsのMBR(マスターブートレコード)」を破壊する、という本当に怖いマルウェアです。

海外サイトでは、data-wiping malware(データ消去型マルウェアとも言われています)

第一報は、ITmediaに掲載されていますが、

マスターブートレコード(MBR)、つまりパソコンの起動に必要なシステムを破壊する
ディスクパーテーションを上書き(システムの起動だけでなくデータが紛失する恐れ大
一度感染すると、ネットワーク上のデバイス多数に感染を広げる
何千万台ものデバイスを攻撃
完全復旧は数ヶ月(バックアップがなければ失われたデータの復旧は無理でしょう)

とあり、非常に怖いマルウェアです。

2019年のところ日本での被害情報はないですが、エネルギー・産業セクターを狙ったマルウェアとして海外では警鐘が鳴らされています。

(IBMのレポート・英文)

https://www.ibm.com/downloads/cas/OAJ4VZNJ

レポートの中では、「過去10年間で最も危険で破壊的なマルウェアの1つである Shamoonによく似ている」とも表現しており、マルウェアの怖さを物語っています。

怖いのは、今後このマルウェアや亜種が、一般のPCをターゲットにしたり、先日のEmotetのようなマルウェアに感染したPCに入り込んでしまうケースです。

Ziff Davis Net(英語版)では、よりZeroCleareの詳しい記述があります。

Iranian hackers deploy new ZeroCleare data-wiping malware
IBM identifies new ZeroCleare destructive malware targeting energy companies active in the Middle East region.

ここからは、ZDNetの文章を機械翻訳した部分も含みます。

ZeroCleareは感染したホストから可能な限り多くのデータを削除するように設計されたマルウェアの一種
マルウェアは正当なツールキットであるEldoS RawDiskツールを悪用して「MBRをワイプ、つまり消去し、多数のネットワークデバイスのディスクパーティションを破損する
中東地域で活動するエネルギー企業を標的

とあり、これがもし日本に上陸すると、Emotetよりも致命的な、「システムが動かない!しかもネットワーク上の機器が軒並みやられる」という重大インシデントが続出する恐れもあります。

現在のところ、あくまで特定ターゲットのみを対象としているようですが、今後はわかりません。

(2021年現在の活動については未確認)

 

三菱電機 への標的型攻撃と、迷惑メール・SMSのばらまき型攻撃の違いについて、復習してみる(2020年の記事)

2020年1月20日、三菱電機へのサイバー攻撃がニュースになっており、これから内部や外部報道などにより、全容が明らかになってくると思われます。

(1月20日13:40現在、「お知らせ」という形でトップページにリンクが小さく表示されるようになりました)

 

三菱電機としては、相当なセキュリティ体制を敷いているという話にもかかわらず、こういう事象が起こってしまうことに、セキュリティに絶対はない(ただ、確率を減らすためにやる意義は確実にある)というのも感じる次第です。

 

今回の方法は、不特定多数ではなく、三菱電機を狙った標的型攻撃であるといわれていますが、

三菱電機にサイバー攻撃 防衛などの情報流出か
日本企業の中国拠点に侵入して、そこから日本国内へ社内回線を通じて侵入する手口をTICKが使ってるという報告が昨年あったが、まさにその手口で三菱電機がやられてたようだ。

いわゆるサイバー攻撃における、標的型攻撃とばらまき型攻撃という2種類の手段に関して、改めてかみくだいてまとめてみました。

 

なお、下記の記事は、ソフトバンク・テクノロジーの辻伸弘様の著書、あなたがセキュリティで困っている理由(政府刊行物のサイトにリンクされます)を参考に記載しております。

 

当書籍は、一般ユーザーと、セキュリティ専門家の橋渡しをするブリッジ的立場の人にとって、セキュリティの初心者・一般ユーザー向け解説を容易にする書籍で、ある程度の知識がある人にとってはわかりやすいです。

興味のある方はぜひ書店でお求めください。

 

三菱電機がターゲットになったと想定される、標的型攻撃とは?

一言でいうと、「文字通りこの会社(の様々なもの)を狙おう」という攻撃手法です。

 

警視庁の資料では、当該資料のP4で、

警察庁では、市販のウイルス対策ソフトでは検知できない不正プログラムを添付して、
業務に関連した正当なものであるかのように装った電子メールを送信し、これを受信した
コンピュータを不正プログラムに感染させるなどして、情報の窃取を図るものを「標的型
メール攻撃」としているところ、同じ文面や不正プログラムが10か所以上に送付されてい
た標的型メール攻撃を「ばらまき型」として集計している。

 

としております。

 

ばらまき型のプログラムは、不特定多数に文字通り「ばらまかれ」、セキュリティ会社もそれを感知し、対策ファイルを作成します。また、似たような種類でも、「ヒューリスティック検知(ふるまい検知)」で、「あのウイルスやマルウェアと似ているな・・・」と、動きを封じ込めることができます。

 

一方、標的型攻撃は、特定のターゲットを狙い、メールを送りつけるなどし、ターゲットとする組織をウイルス・マルウェアに感染させます。

 

ここで、市販のセキュリティソフトやその他セキュリティプロダクトの目をかいくぐる、ある種オーダーメイドのウイルス・マルウェアを作り、特定ターゲットを狙うので、セキュリティソフトなどを入れていても検知ができない・・・というケースもあるようです。

 

今回の三菱電機の場合は、まさにそのケースでした。

 


いずれにしても、攻撃側はターゲットのデータを詐取、その他何らかの悪意を持ったことが目的かつ、一度感染すると内部ネットワークを通しウイルス・マルウェアが蔓延したり、サーバーからデータが窃取され、攻撃者や関係者に送られるなど、内部での被害が極めて大きくなります。

 

よくある迷惑メールは、ばらまき型攻撃

一方、当サイトでよく取り扱っているマルウェアを呼び込む迷惑メールは、不特定多数をターゲットにするケースが極めて多いです。

 

感染したコンピュータを乗っ取り、何千万通・何億通とばらまいて、その後にryukなどの身代金型ランサムウェアなど悪質なランサムウェアをひきつれてくる。

 

ただ、送られる量が大量なため、セキュリティソフト会社もすぐに検知し、対策を行います。

 

標的型攻撃メールは、こっそり動く傾向?

ばらまき型メールが、わかりやすい行動(ばらまき、データの暗号化による身代金要求など)を図る一方、標的型攻撃メールは、感染したことに気がつきにくく、セキュリティソフトで検知しきれないケースもある、外部からの指摘で初めて気づくなど、ともかく見えないように、で行動します。

 

サイバー攻撃を受けた場合の適切な対応とは?

今回、三菱電機が2019年6月28日にに端末の不審な挙動を認識したあと、その事実が公表されず、2020年1月20日に朝日新聞がすっぱ抜いたことで、初めて事態が公になったわけですが、このことについては、「なぜ今まで公表しなかったのだろう」という意見と、「二次被害など追加の被害を防ぐには、公開しなかったのは致し方ない」という意見がありました。

 

 


など、異なる意見が出ています。

 

ただ、あなたがセキュリティで困っている理由のP178以降によると、

  • サイバー攻撃を受けたら、攻撃の内容などを積極的に公開しよう
  • 他組織が被害を未然に防ぐのに役立ったり、攻撃に気づくきっかけになる
  • セキュリティ攻撃は分業化が進んでおり、攻撃を受ける側も協力する必要がある

とした上で、

  • 調べる項目のリストアップ
  • 氏名など個人情報が含まれる場合は、顧客・従業員・その他と分けて、慎重に対応
  • 感染経路(内部・外部)、原因(ウイルス・マルウェアかサーバーの不具合か)、漏洩した人・目的(外部・内部・目的)、漏洩したデータ(個人情報を含むか、暗号化の有無、業務に与える影響)などを確認
  • ウイルスはハッシュ値まで確認
  • 第三者への影響を確認

など挙げています。(ぜひ、より詳しい部分は本書をお読みください)

 

そして、伝統的な企業の場合、事故が発生すると、発生の攻撃を受けてしまった人だけでなく、その上司・セキュリティ責任者など、様々な方面に責任や人事・評価などのマイナスが生じるため、隠そういう方向に行く恐れも拭えません。

 

被害の拡大を防ぐには、初期の時点で対応すること、また、(伝統的な企業ほど難しいとは思いますが)何か事故が起こっても適切に対応すれば、マイナス評価にしないという方針をあらかじめさだめ、悪い情報にフタがされないようにすることも大切だと思います。

 

営業・サービス開発の攻めの部分に関しては、どうしても日頃から日が当たりやすく、一方セキュリティやシステムの運営などは、「普段うまくいって当たり前」「なにかあったら徹底的に矢面に立たされる」という側面があります。

 

セキュリティに対して様々な投資を行い、人材についても、安定した運営だけでなく、インシデントに対しても、情報を上げて適切に対応したことを評価するなど、セキュリティ担当者を尊重するようにしていかないと、今後も同様のインシデントが発生するように思えてなりません。

 

保険会社(MS&AD)系列会社が、1台月1,000円~の低コストランサムウェア対策サービス・防検サイバーを提供する背景を考察

少々興味深いニュースとして、MS&AD系列の、MS&ADインターリスク総研が、「端末1台当たり1,000円」と価格を抑えた割引サービスを始めるというニュースが12月24日の日経朝刊に掲載されていました。

 

この、「防検サイバー」を提供するMS&ADインターリスク総研株式会社のページには、12月24日時点でニュースリリースが掲載されていません。

 

ランサムウェア問題については、当サイトでも以前より取り上げたEmotetTrickbot、 Ryukのような古典的なものや亜種だけでなく、追い切れないくらいにランサムウェアが増加しています。

 

このランサムウェアについては、セキュリティソフトでも、「防ぎきれるかどうかが不明確」(セキュリティーソフトメーカーは、多くの会社が、「対応している」とサポートセンターレベルでは話していますが・・・)な点がここ半年近くで顕在化、大手メーカーの各種情報流出・身代金要求や、中堅メーカーの情報が闇サイトに掲載されるなど、日本企業がターゲットにされるケースが顕在化しています。

 

また、暴露型ウイルスは、「相手を狙って作られる」傾向があり、一般的なセキュリティソフトでは検出が難しいケースがあるという話もあります。

 

現在のサイバー攻撃対策企業が提供するサービスは、中堅・中小企業に取ってはコストがかかるものですが、日経新聞の情報では、

 

  • サイバー対策企業からOEMを受け、複数の中小企業に一括提供することで、月額料金を端末1台当たり1,000円に抑える・1年で100社の採用を見込む
  • ランサムウェア(身代金要求・暴露ウイルス)の振る舞いを検知し遮断できるよう、防検サイバーのクラウド上で、AIやサイバー攻撃分析の専門家がウイルスの振る舞い検知を行い、もしウイルスに感染した端末の通信があれば、遮断をする(オフィス・在宅勤務含め)

 

特に現在はコロナ禍もあり、在宅勤務を行う会社もまだ多いため、これまでのようにシステム部門が全体のセキュリティ管理に目を光らせることができないという現状があるなかで、企業として致命的な問題になりかねない暴露型ウイルス・ランサムウェア対策を行うサービスは、強く求められると思います。

 

このサービスを手がけるのが、MS&ADグループ、つまり三井住友海上・あいおいニッセイ同和損保を擁するグループ内の、MS&ADインターリスク総研。

 

同じ系列のあいおいニッセイ同和損保は、サイバーセキュリティ保険も手がけているため、中小企業に対するサイバーセキュリティ保険等の提案フックの一つとして、防検サイバーが役目を果たすということも想定されます。(あくまで推測ですが・・・)

 

いずれにせよ、ランサムウェアの進化が、不特定多数→中堅・中小も含めた特定企業狙い撃ちに変化してきている現在、ランサムウェア対策サービスというのはより求められるようになるかと思います。

 

Emotet感染→Ryuk(リューク・身代金型ランサムウェア)感染という流れに注意(過去記事)

Emotet事態の問題は、2021年8月現在は落ち着いていますが、記録としてのこしておきます。

マルウェア感染より怖いのは、Emotetに感染し、そこから他のマルウェアやRyuk(リューク)などの身代金型ランサムウェアなど、より凶悪なマルウェアに感染してしまうことです。

 

三井物産セキュアディレクションのRyukに関する記事では、Ryukの仕組みや動作などがより詳しく書かれておりますので、ぜひご覧ください。

 

また、ITMedia エンタープライズにも紹介されており、

Ryukに感染したシステムからは、大抵の場合、「Trickbot」「Emotet」といった別のマルウェアも見つかっている
Ryukの攻撃が始まると、システムを横断してファイルが暗号化され、「.ryk」の拡張子が付いたファイルに置き換えられる。各フォルダには、身代金を要求する「RyukReadMe」という文書が現れる。バックアップからの復旧を難しくする手口も実装
システムをマルウェアから守り、身代金を支払ったとしてもデータが戻るとは限らないという認識を持つ(戻るケースもあるが、他サイトの情報では暗号化を復号するプログラムがいい加減で、正常な復元が出来ないケースもあるという話・・)

という注意喚起がされています。

そして、

Ryukの名称は漫画『DEATH NOTE』に登場する死神の名に由来する。米国では自治体や裁判所などでRyukに感染する被害が相次ぎ、一部の自治体はシステムを復旧するために身代金を支払ったと伝えられている。

という、まさに死神のようなマルウェアです・・・。

 

Gigazineの記事によると、Ryukに自治体のコンピューターが感染したアメリカ・フロリダ州レイクシティでは、当時約50万ドル相当(1ドル110円として、日本円5千5百万円)での42ビットコインが身代金として犯人に支払われた結果、レイクシティではデータを復号化できたそうですが、行政システムは大混乱となったそうです・・・。IT責任者は解雇されたとのこと。

 

また、中国でもryukの存在が明らかになっています。

日本も対岸のことではなく、カスペルスキーのレポートによると、日本でも0.31%ながら活動が報告されているようです。(中国は7.99%)

 

やはり入り口はEmotet。具体的にどうなったかをGigazineより引用すると、

 

行政システムがハッキングされたのは「Triple threat」という攻撃手法によるもの。市職員が市に送られてきたメールのリンクを開いたところ、リンク先からダウンロードされたトロイの木馬型マルウェア「Emotet」が市のネットワークに感染。このEmotetがシステムに接続されたPCにランサムウェア「Ryuk」をインストールさせ、PC内のあらゆるファイルが暗号化されてしまったそうです。

この攻撃により、レイクシティの行政システム内にあった合計16TBのデータがロックされ、ほぼ全てのサーバー・電話・電子メールがダウンする事態に陥りました。システムが使えなくなったため、メールや電話による業務連絡はすべて市職員個人の携帯電話やスマートフォンで行い、文書は全て紙に印刷してから市職員が車で運ぶことになりました。もちろん市民も被害を受けており、水道やガス料金の支払いは全て現金か小切手で行わなくてはなりませんでした。ハッキング被害を免れたのは、行政システムとは別のサーバーで運用されていた警察署と消防署のシステムだけだったとのこと。

これが日本で発生したらと考えると恐ろしいのですが、今Emotetが日本で猛威を振るっていること、先ほども書いたRyukの中国での出現を考えると、EmotetがRyukなどの悪質マルウェアを連れてくる可能性もありうるといえましょう。

 

Ryuk(リューク)の特徴に関して

上記サイトの内容も踏まえ記載すると、

現在は海外で流行っている(アメリカ・中国など)
5億円を超える(データの)身代金を請求されるケースも
2018年夏頃より存在確認
2017年2月に出現した「Hermes」というランサムウェアのコードを改変した亜種であり、攻撃対象の企業ごとにカスタマイズされて開発
最新のRyukは、ネットワーク上に存在するシャットダウンされたPCを強制的に起動させ暗号化するWake-On-Lan(WOL)による暗号化機能を初めて搭載。つまり、社内・家庭内ネットワーク上のPCなどを強制的に起動させ、イントラ内に繋がっているPCのデータを次々と暗号化してしまう

 

Emotetだけでも怖いですが、Emotetが入り込んだところにRyukも入り込んできたら、恐ろしいです・・・・。

 

RyukはEmotetと違い、Wordのマクロファイルではなく.exe(実行型のプログラムファイル)です。

 

もし、Ryukが管理者権限で実行されると、ブートローダー(PC上の起動に関わるファイル)が暗号化され、PC自体の起動もできなくなります。

 

そして、全てのフォルダ内にHTMLファイルで脅迫文を生成し、「データを復元して欲しければ、このメールアドレスに連絡しろ」という旨の文言が書かれています。

 

また、上記のサイトによると、

最新のRyukには、感染端末が韓国の言語圏であるかどうかの確認を示唆するコードが組み込まれています。ただし、このコードはどこからも呼び出されていません。Hermesや初期のRyukにはロシアやウクライナなどの言語圏の端末には感染しない仕組みが組み込まれており、一般的なマルウェアの中にも自国民の端末には感染させないように作り込まれているケースがしばしば見受けられます。ただし、そうした背景を逆手に取って他国が開発したマルウェアであるかのように見せかけ偽装することもまた容易です。

と書かれています。

 

自国の端末に感染しない仕組みがあるということは、なるほどと感じました。

 

また、対策としては、

管理共有の無効化
Windowsのファイルとプリンタの共有機能を無効化
ファイアウォールによるブロック

(すべて少々専門的な話になりますので、前述のMSBDサイト内記事、「標的型攻撃ランサムウェア「Ryuk」の内部構造を紐解く」の後半をごらんください)

 

など、内部のネットワークを制限する形になり、利便性とのトレードオフ的な対策となってしまうので、そもそも感染しないよう、

Emotetなどマルウェアのゲートウェイになるマルウェアに感染しない
セキュリティソフト・OSを常に最新に
不審なファイルには触らない

という点を心がけることが無難でしょう。

 

マルウェアEmotet(エモテット)+ZeroCleareに関するセキュリティソフトの対応状況を各社サポートに聞いてみた

 

Emotetなどの情報窃取マルウェア・ウイルス・フィッシングメール対策で心がけるべき基礎

 

 

詳しい対策や他のフィッシングメール・マルウェア対策はこちらへ。

情報窃取マルウェア・ウイルス・フィッシングメール対策で心がけるべき基礎

 

自分の個人情報が外部やダークウェブで漏れていないかを確認する4つの方法と漏れた場合の対策

 

 

Chromeで、「パスワードの確認」ポップアップが出ても、ウイルス・マルウェア・詐欺ではないので落ち着いて対処を

 

タイトルとURLをコピーしました