マルウェア・セキュリティ関連まとめ(2021/8/17)

当サイトでは、これまでZeroCleare(ゼロクリア)とEmotet(エモテット・イモテットと表記されるケースもある)に関する記事に多くアクセスが来ており、Emotet・ZeroCleareに限らずマルウェア対策に関して追記していました。

 

Emotetに関しては、壊滅作戦等で事実上動きが止められていますが、最近別のセキュリティ事案が発生しており、各種ニュースについてまとめていきます。

最新情報は、上の部分に追加していきます。

 

スポンサーリンク
  1. システムの起動そのものが不可能で、バックアップも暗号化で利用不能・データ復旧の手段はない・・・日本の大手企業を襲うサイバー攻撃(8月17日)
  2. 情報窃取マルウェア・ウイルス・フィッシングメール対策で心がけるべき基礎(2021年版)
    1. 賞与支払届というタイトルのメール、Emotetかも!?
    2. Wordファイルのマクロをとにかく実行しないこと
    3. 迷惑メール・フィッシングメール・マルウェア対策の大原則とは?
    4. セキュリティ対策の大原則(個人・スモールビジネス)
    5. Emotetって、何が怖かったの?
  3. Emotet壊滅作戦完了
  4. Emotet壊滅作戦、何が行われた?
  5. 2021年2月20日時点でのEmotetの状況整理
  6. Emotetがどれだけ怖かったかに関しておさらいすると・・
  7. 【悪質】Emotet(エモテット)が呼び込むTrickbot(トリックボット)
    1. マルウェア Trickbot(トリックボット)とは?
    2. Trickbotは、Ryukにも感染しやすくなる
      1. Trickbotは、「このパソコンがRyukを感染させられるかな・・」という見立ても行う
  8. ZeroCleare MBRを破壊、PCを起動不能にし、内部ネットワーク上でも感染を広げるマルウェア
  9. 三菱電機 への標的型攻撃と、迷惑メール・SMSのばらまき型攻撃の違いについて、復習してみる(2020年の記事)
    1. 三菱電機がターゲットになったと想定される、標的型攻撃とは?
    2. よくある迷惑メールは、ばらまき型攻撃
    3. 標的型攻撃メールは、こっそり動く傾向?
    4. サイバー攻撃を受けた場合の適切な対応とは?
  10. 保険会社(MS&AD)系列会社が、1台月1,000円~の低コストランサムウェア対策サービス・防検サイバーを提供する背景を考察
  11. Emotet感染→Ryuk(リューク・身代金型ランサムウェア)感染という流れに注意(過去記事)
    1. 関連

システムの起動そのものが不可能で、バックアップも暗号化で利用不能・データ復旧の手段はない・・・日本の大手企業を襲うサイバー攻撃(8月17日)

2021年8月16日、製粉大手のニップンが開示資料で、まさかの内容を公表しました。

タイトルは、「2022 年 3 月期第 1 四半期報告書の提出期限延長に関する承認申請書提出のお知らせ」ですが、原因がまさかのサイバー攻撃!

要点を箇条書きで整理します。

  • 2021 年 7 月 7 日未明から子会社の情報ネットワークにおいて、大部分のサーバー及び
    一部の端末に対し、同時多発的に全部または一部を暗号化するといった内容のサイバ
    ー攻撃によるシステム障害が発生
  • 被害対象は単体の財務管理、販売管理といった主要な基幹システムサーバーやデータが保存されているファイルサーバーを含め広範囲に及び、グループネットワーク内で運用している国内グループ会社の販売管理システム(11 社利用)と財務会計システム(26 社利用)も被害
  • 被害を封じ込めるための対応として、速やかに全サーバーの停止と社内外のネットワークを遮断
  • それにより、基幹システムをはじめとする全ての社内システム、データが保管されている共有ファイルサーバーへのアクセスも不可となる
  • 生産管理システムの一部など、ネットワーク上独立した配置にあるサーバーについては影響をなし
  • 障害の対象となる情報システムのいずれにおいても、サーバーのボリュームもしくはサーバーの内部に格納された電子ファイルの大部分に暗号化が施されており、システムの起動そのものが不可能
  • システムのデータバックアップも暗号化
  • データの復旧に有効な技術的手段がない
  • システム障害に対しての BCP事業継続計画(Business Continuity Plan) については、ハード面では災害対応でデータセンターを分散設置し、不測の事態に備えていた
  • 今回は、一度の攻撃でサーバーの大半が同時攻撃を受けたことで本社を含め全ての事業拠点が同様の事態であったため、当社の BCP で想定していた事態を大きく上回る状況となる
  • セキュリティ対策については、不正検知システム・セキュリティソフト・ファイアウォールなどの導入・更新がされており、社外とのネットワーク接続においては、特権アカウントの使用制限や外部装置書き出しチェックなどのセキュリティ監視活動をしている
  • バックアップもしていたわけだが、前述の通りバックアップデータもダメになってしまった
  • 以上のため、四半期報告書の提出期限である 2021 年 8 月 16 日まで
    に当社の 2022 年 3 月期第1四半期連結財務諸表の作成及び会計監査人のレビューを
    完了することができない状況にあることから、2022 年 3 月期第1四半期報告書の提出期限延長についての申請を行う

とのことで、四半期報告書だけでなく、様々なデータが何らかの方法で暗号化され、復元できず、バックアップも暗号化されているので復元できない、極めて重大な状態です。

今後また情報があり次第、追記しますが、大企業のこれだけの大規模なシステムが、バックアップもふくめ復元不可能な事態になったことは、極めて異例と言えます。

 

 

 

スポンサーリンク

情報窃取マルウェア・ウイルス・フィッシングメール対策で心がけるべき基礎(2021年版)

この数年、国内外の大手企業の名前をかたったフィッシングメールが激増しています。

 

2019年・2020年、Emotetというマルウェアが流行しました。

 

このEmotetは、メールやメールアドレス等の情報、Webブラウザに保存されていた認証情報も漏洩させ、さらにこの情報を用いて、各種連絡先、連絡帳、メールの認証情報などを用いて攻撃メールの配信を行うことで、仲間を増やすという、なかばゾンビかネズミ講のような凶悪マルウェアです。

 

怖いのが、ITMediaの記事によると、

感染経路に「実在の人物になりすましたメールに添付された、悪意あるマクロが含まれるWordファイル」が利用されている点です。しかも、なりすましメールの本文に、正規のやり取とりの文面が引用されている

猛威を振るうEmotet……これは単なる「種まき」だ? 辻伸弘氏の危惧する近未来
JPCERTや複数のセキュリティベンダーから、マルウェア「Emotet」の注意喚起が発信されています。ひっそりと広まったマルウェアが他の攻撃の踏み台にされたら、どうなってしまうのでしょう? 辻伸弘氏が危惧する「刈り取り」とは。

 

つまり、一見普通のやりとりの返信と思って無意識にファイルを開き、悪意のあるマクロを実行してしまったらアウトという点です。

(逆に言うと、開いてもマクロを実行しなければ問題ないのですが・・・)

 

賞与支払届というタイトルのメール、Emotetかも!?

 

さらに、2019年12月11日には、「賞与支払届」というタイトルで、日本語のメール本文中に不正なURLリンクが記載された、Emotetの攻撃メールが発見されたそうです。

 

「Emotet」と呼ばれるウイルスへの感染を狙うメールについて:IPA 独立行政法人 情報処理推進機構
情報セキュリティ関連情報のユーザー、管理者、技術者に向けた発信、その前提となる情報収集、調査分析、研究開発、技術評価等の実施

これもマルウェアが含まれたWordファイルをリンクからダウンロードさせる形式だそうです。

 

Wordファイルのマクロをとにかく実行しないこと

 

より詳しくまとめてあるページ、Emotetの注意喚起に活用できそうなリンク集をまとめてみたに、

次のケースでは感染(Emotetは活性化)しない。

・届いた不審メールの本文を表示しただけ。
・不審メールに添付された文書ファイルを保存しただけ。
・不審メールに添付された文書ファイルを開いたがコンテンツの有効化はクリックしていない。(Office既定設定のマクロ実行無効化時のみ)

 

と書かれています。(このサイトの作者の方、いろいろセキュリティインシデントの情報をまとめておられすごいです・・・。)

 

先日の、処理業者の従業員による廃棄ハードディスク転売事案についても、いろいろと調べ、下記のようにまとめておられます。

 

これ以外でも、特に法人でアドレスを表に出しているものなどには、様々なルートから迷惑メールが届いているかと思います。

 

様々なメールの迷惑メール振り分け精度が向上した現在でも、様々なアドレスなどからメールが送られるため、メールボックス・もしくは迷惑メールフォルダに、フィッシングメールが大量に入っている方もおられるかと思います。

 

当記事では、迷惑メール・Emotetなどのマルウェア、フィッシングメールの傾向と対策になどついて記述します。

 

迷惑メール・フィッシングメール・マルウェア対策の大原則とは?

多くの企業ではデスクトップアプリとしては法人向けのOutlookかMozzilaのThunderbird、クラウドではG SuiteのGmail、AppleのiCloudなどを使っているケースが多いかと思います。(個人的な使用感では、iCloudは普通のメールを迷惑扱いする頻度が多いように感じます)

 

迷惑メールには、ウイルス・不正なプログラムの実行ソフトウェア(マルウェア、トロイの木馬とも呼ばれる)が含まれていることも多く、これを開くと、様々な意味で問題が起こることが想定されます。

 

担当者はOutlookではなくGmail・iCloudなど、いわゆるWebメールサービスを利用しております。Gmailの迷惑メール振り分け機能は協力で、多くのスパム・フィッシングメールが迷惑メールフォルダーに振り分けられます。(問題のないメールが迷惑メールフォルダに入っていることもありますが・・・)

 

それでもまれに迷惑メールなどは入ってきますし、送付してきた先が、Emotetに感染している場合は、取引先・関係先からの場合であっても、普通にメールボックスに入ってきて、「なにか添付ファイルがあるぞ」と思って開くと、感染してしまう恐れもあります。

 

大手企業はシステム部門がきちんとセキュリティの管理も行っていますが、小規模事業・個人の場合は利用者自身がセキュリティ対策を図る必要があります。

 

下記に書くことは、知っている人にとっては「あたりまえ」のことでありますが、相当以上に知っている人と知らない人の間に温度差があり、徹底されていないケースもあります。

 

念のため、最小限のセキュリティ対策を再度おさえておきましょう。

 

セキュリティ対策の大原則(個人・スモールビジネス)

  1. ESET・ノートン360など極力有料のセキュリティ対策ソフトを入れ、必ず最新の状態に保つ(パソコンの動作相談を受け確認してみると、意外とこれがされておらず、購入時のまま・・・というケースが多かった。Windows10は最初からセキュリティ・マルウェア対策のWindows Defenderが内蔵されており、そちらが有効になっていればまだいいが、購入時のウイルス対策ソフトを入れたままで更新していないとリスクがありうる)
  2. 不用意に添付ファイル・メールのリンクをクリックしない(取引先からのメールでも、Emotetがなどマルウェアが発生している現状では注意する。無意識に開いて感染というのが怖い)
  3. 企業からのアカウント閉鎖・警告に関するメールは、特に警戒し、送信者情報を確認する。特に焦らせるタイトル(あなたのアカウントが盗まれています!)などには特に警戒。
  4. 各種アップデートを常に行う。Windows10であれば、スタート→歯車(設定)→更新とセキュリティ。ソフトウェアも常にアップデート。Windows7など旧OSを利用している場合はWindows10にアップデートする。旧版のオフィスではなく、サブスクリプション型のOfiice365に移行し、常に最新のOfficeを使う。
  5. スモールビジネスなど組織の場合は、改めてメール開封時の注意など、組織内への注意喚起やセキュリティに関するポリシーの策定・周知など
  6. 二段階認証ができるシステム・サイトは、極力二段階認証を使う(Emotet対策にもなる)
  7. 不審なWord、Excelなどのファイルを開かない、不審なコンテンツの有効化ボタンを押さない、デフォルトでマクロの有効化をしない

 

セキュリティの専門家の方から見たら不十分かもしれません。

 

また、ある程度の企業の規模になってくれば、セキュリティベンダーにサイバーインシデント対策を一任したり、

サイバーインシデント緊急対応企業一覧 | 特定非営利活動法人 日本ネットワークセキュリティ協会(JNSA)
サイバーインシデントは予期しないタイミングで起こります。また、サイバーインシデントは通常のシステム障害とは異なり、専門知識がないと状態の把握すら困難です。そのような時に、緊急で対応を請け負ってくれる、頼りになるJNSA所属企業を取りまとめました。各企業とも初期相談は無料ですので、ご都合に合わせ直接お問い合わせください。

普段から取引のあるシステム導入事業者に、改めてセキュリティ対策を相談することも重要かと思います。

 

それでも、「専用のセキュリティソフトの導入・セキュリティソフト、OSの日頃からのアップデート・不審なメール・リンクを開かない」という当たり前のポイントを守るだけでも、大きく違います。

 

ここからは、先ほど述べた、マルウェアEmotetの特徴と対策について、JPCERTCCやその他の記事も参考にしながら、かみくだいて説明します。

 

Emotetって、何が怖かったの?

Emotetの怖さは、前述の通り感染力の強さ、やることの凶悪さです。

 

  • 取引先・連絡先にメールを勝手に送りつけ、感染PCを増やす恐れ
  • Webブラウザのログイン情報を用いて、様々なサイトに勝手にログインされる恐れ
  • 他のマルウェアに感染しやすくなる恐れ

 

さらに先ほど述べた通り、取引や連絡のメールを引用しながら送ってくるので、見知らぬ所からのメールと違い、無意識に開けてしまう恐れがある点も怖いといえます。

 

しかし、Emotetの怖さは、それだけではありません。

「あとから機能を追加できて、より問題のある行為を行うことができてしまう」

というのが怖いのです。

 

先ほどのITMediaの記事をさらに引用します。

今、Emotetはマクロを経由して情報を詐取し、アドレス帳をもとにメールをばらまいています。しかしEmotetは「追加モジュールによる機能追加、多層的な運用が可能なもの」とされています。

「Emotetの感染端末に別の攻撃者が来て別のマルウェアを注入する、といった攻撃が想定できる。つまり現在のEmotetの活動は“種まき”の段階という場合もある」(辻氏)――つまり、Emotetをきっかけに、その他強力なマルウェアへ連鎖する可能性があるのです。

Emotetの目的が「感染範囲を広げること」だとすると、次にやってくるのは「刈り取り」、つまり攻撃です。実効性が高い刈り取りのマルウェアといえば、皆さんも知っているはず……そう、ランサムウェアです。

「僕が一番危惧しているのは、Emotetに汚染されたネットワークにランサムウェアが来ることです。Emotetの感染経路をたどってローカルネットワークに入り、Active Directoryを奪取。そこからランサムウェアを展開するのが最悪のシナリオです」(辻氏)。このシナリオで攻撃された場合、システム全体を人質に身代金を要求するか、全てのデータを暗号化して破壊するかは、攻撃者次第となります。

「――これ、点で見る話じゃないんですよ」(辻氏)

 

つまり、Emotetでいろいろ事前に仕込んでおいて、さらにデータを勝手に暗号化して復元できなくしたり、消去したりなどの動作を行ったり、お金を支払わないとデータを破壊する、と脅すいわゆる「ランサムウェア」に発展する可能性もありうる、これが非常に怖いのです。

 

上記記事でも警鐘を鳴らしていますが、Emotetや別種のマルウェアは、今後も凶悪化していくおそれが高いといえます。

 

マルウェアを作る側からすれば、100万アドレスに1件でも引っかかり、そこからマルチ商法のごとく、知り合いのアドレス、連絡帳・・・などと広げていけば、どんどん仲間を増やすことができてしまいます。

 

そのような事故を防ぐためにも、日頃からセキュリティ対策を念頭に置き、メールの確認、Webサイトの閲覧、各種OS、ソフトウェアのアップデートを行うことが大切です。

 

 

スポンサーリンク

Emotet壊滅作戦完了

複数の国が共同で、「Ladybird作戦(テントウムシ作戦)」を発動、Emotetのインフラが主要サーバーで停止される状態になっています。

また、オランダの警察は、マルウェアのEmotetを削除する動作を行うことを3月25日に予定しています。

とはいえ、亜種も含め、Emotet系列のマルウェアや類似マルウェアが消滅するとは限りません。ブラックハッカー側も、「予備のシステムを使う」、「似たようなマルウェアを運用する」可能性は大いにあると考えられますので、今後も油断はできません。

 

今回、既にこれまでの経過はPiyologさんが詳細にまとめておられますので、Emotet壊滅作戦の概要と今後どうなるか、対策や対応Webサイトをシンプルにまとめます。

 

スポンサーリンク

Emotet壊滅作戦、何が行われた?

  • オランダ、ドイツ、米国、イギリス、フランス、リトアニア、カナダ、ウクライナによる共同作戦で、Emotetの制御システムをブラックハッカー側から奪い取り(おそらく物理的に)、感染を広げるネットワークを停止させた
  • オランダ警察が、「Emotet」により窃取されたメールアドレス、ユーザー名、パスワードなどのデータベースを押収
  • 押収データに関連する情報が含まれていないか調べることができるチェックサイトが用意(なお、今違う方向で話題のGithubで、JPCERT CCによりEmocheckという感染検索ツールが公開されています)
  • TBSなど日本の民放でも、”最も危険”マルウェア「エモテット」 国際合同捜査で“破壊”として、”ウクライナの警察は関係先を家宅捜索し、コンピューター・ハードディスクなどのほか、大量の現金や金塊を押収”したことを報道
  • 今後も亜種が発生する可能性は大いにあるので、メールの添付ファイルには注意が必要
  • ユーロポールがネットワークの配信となる大本に潜入、停止。世界中の約700台のサーバーを通して拡散されていた
  • 犯行グループは財産没収に加え、最高懲役12年(日経新聞紙面より)
  • 国際的なハッカー集団が関与、今後も特定・拘束を進める
  • オランダ警察は、Emotetが運営されていたサーバーへのアクセス権を用いて、「感染したEmotetが自動で消える仕組み」を仕掛けたEmotetのアップデートを、このマルウェアに感染したすべてのホストに配信
  • アップデートには時限爆弾のようなコードが埋め込まれており、各マシンの時刻が2021年3月25日正午になった時に、そのコンピューターからEmotetを自動消去(ただし、後述のMalwarebytes Threat Intelligence@MBThreatIntelのTweetでは、4月25日という話もあり)
  • Emotetを運営する者たちは、データを自ら盗むスタイル形式から、同じような手法のツールを販売するツルハシビジネスへとシフト
  • 2018年にはスパムメールを配信する能力を大幅に拡大、同年の9月には、1日50万件以上のスパムメールを配信。さらに、その1か月後の10月には容量を2倍以上に拡大し、1日に100万件を超えるスパムメールを配信など、どんどん配信量を増やした
  • Emotetによって欧米の金融機関などに対して、これまでにおよそ25億ドル、日本円にして2600億円余りに上る被害が生じている
  • 犯行グループが利用していたひとつの仮想通貨プラットフォームを調べたところ、2年間で約1050万ドル(日本円で約10億5千万円)の資金が移されていることが判明。犯行グループは、犯罪インフラを維持するため、同期間に約50万ドル(日本円で約5,000万円)を費やしていた。あくまでひとつのプラットフォームであるため、他にも資金を集めているプラットフォームがある可能性は想定しうる
  • Avastの指摘では、”起訴や逮捕に関して言及がない”、”つまり、警察当局は攻撃者ではなく、攻撃者のツールのみを捕まえることができた可能性が高い”としているが、NHKの報道ではウクライナ人2人を拘束したと発表、ハッカー集団のメンバーを特定し、捜査を続けているとのこと
  • 世界中に捜査の手は及んでいるものの、その中でEmotetグループが再編成され、ボットネットも再構築される可能性がある
  • 振り込め詐欺同様、グループは被害者リストを持っている。ボットネットが消滅していても、データのコピーを持っている可能性(振り込め詐欺で言うリスト)もあり、そのデータを利用して新しいボットネットを構築することもできてしまう
  • 今後も同様に不審なメールには注意

なお、マルウェアの一斉消去は3月25日と4月25日、2つの見解があり、Malwarebytes Threat Intelligenceのアカウントは、「Emotetを消去するバイナリファイルをチェックしたが、実際の消去を行う引き金が作動する日にちは4月25日に見える」と書いています。

 

 

 

参照記事:マルウェア「Emotet」、感染ホストから一斉削除へ–蘭警察がアップデート配信

「Emotet」を追い詰めた「Ladybird作戦」 – 攻撃者がバックアップ保有の可能性も

欧米警察が協力、「Emotet」をテイクダウン – 被害チェックサイトも

最恐ウイルスEmotetをテイクダウンしたOperation Ladybirdについてまとめてみた

日本経済新聞朝刊 1月30日号

Police take down Emotet and help possible victims with new tactics

「エモテット」ネットワークを制圧 国際的合同捜査で

「Emotet」で10億円以上荒稼ぎか – インフラ維持に5000万円

 

スポンサーリンク

2021年2月20日時点でのEmotetの状況整理

  • Emotetのネットワークを構築していたブラックハッカー集団は、既に摘発され、サーバーも押収 (マルウェア「Emotet」に捜査当局によるサーバー停止・摘発進む、Emotet感染確認サイトも完成!亜種の発生には引き続き注意を)
  • 国内におけるEmotetの感染端末は警察庁調べによると2.6万のIPアドレスと見られる(2/20日 日経朝刊より)
  • IPアドレスは、個人の場合、多くの人で共有するケースもあるため、実際は2.6万台以上のPCがEmotetに感染している可能性が考えられる
  • 感染端末の「IPアドレス」は既に把握されているが、上記の通り、プロバイダーの調査で、Emotetに感染したと思われる振る舞いを行う個々のPCを把握される必要がある。Emotet感染PCが特定されれば、プロバイダーから通知が行われる。
  • そのため、自分でもEmotetに感染していないかのチェックが必要
  • まず、そもそもEmotetに感染しているかEmocheckで確認。感染が判明したら、一番確実なEmotetの削除方法は、「重要なデータなどをバックアップした上でのパソコンの初期化」。
  • 最新のEmotetは、通常のセキュリティ対策ソフトで検出できないタイプに進化しているという話もあるが、だからといって基本的なセキュリティ対策ソフトがEmotetに対して効果がないと言うわけではないので、セキュリティ対策ソフト・マルウェア対策ソフトの導入は必須
  • いろいろな事情で初期化がすぐにできない場合は、セキュリティソフトを必ず入れる!入れていない場合は導入(無料体験からはじめる総合セキュリティソフトESET)など、またマルウェアに特化したフリーソフトMalwarebytesなどで検査を行う。総合セキュリティソフト同士は共存できないが、前述のESETとMalwarebytesは、「総合セキュリティソフトとマルウェア対策特化の組み合わせ」なので、両方入れても大丈夫。
  • ネットワークを通して5月にEmotetが削除される予定だが、Emotet自体がセキュリティを甘くして、別のマルウェアを呼び込む可能性もあるので、早めに駆除した方が絶対に良い(【悪質】Emotet(エモテット)が呼び込むTrickbot(トリックボット) Emotet感染→Ryuk(リューク・身代金型ランサムウェア)感染という流れに注意

 

 

 

2020年9月2日追記

ITMediaZDNetIPA、その他Twitterによると5ヶ月ぶりにEmotetが活動を再開し始めたようです。

また、2020年9月でも至る所でEmotetの活動が見られるようです。

 

攻撃の手法は以前と変わらない様子ではありますが、ただ、文章や送り方が前より巧妙になってきており、注意しないと引っかかる恐れがあります。

 

IPAも注意喚起をしている、

 

身に覚えのないメールの添付ファイルは開かないメール本文中のURLリンクはクリックしない。
自分が送信したメールへの返信に見えるメールであっても、不自然な点があれば添付ファイルは開かない。
OSやアプリケーション、セキュリティソフトを常に最新の状態にする。
信頼できないメールに添付されたWord文書やExcelファイルを開いた時に、マクロやセキュリティに関する警告が表示された場合、「マクロを有効にする」「コンテンツの有効化」というボタンはクリックしない。
メールや文書ファイルの閲覧中、身に覚えのない警告ウインドウが表示された際、その警告の意味が分からない場合は、操作を中断する。
身に覚えのないメールや添付ファイルを開いてしまった場合は、すぐにシステム管理部門等へ連絡する。

 

上記のような、基本的な対策をとること、常にOSの更新を行うこと、セキュリティソフトの導入、アップデート、期限切れがないようにすることが重要です。

 

また、セキュリティソフトの導入は。感染可能性を減らすために、最低限必要としても、パスワード付きzipなど、セキュリティソフトをくぐり抜けてくるケースが、後述のtwitterなどで書かれています。

 

パスワード付きzipに関しては、特に慎重に取り扱うことが要されます。

 

また、JPCERT/CCのマルウエアEmotetへの対応FAQに関しても、対応上ヒントとなる点が多いので、感染の可能性など万一の場合は、こちらも参照しましょう。

 




9月現在では、Twitterなどで下記のような声があります。

 


不審なメールは、送付者に直接電話などで確認するなどした方がよいでしょう

 

 

活動は7月17日頃から始まったようで、感染経路は以前と同じメール添付ファイル。

 


2020年4月23日追記

世界的なテレワークの増加により、Emotet他マルウエアが保健所をかたる、病院などをターゲットにするランサムウェアが増加している模様です。(ITMedia記事

 

2020年3月23日追記

一部記事の修正を行いました。

2020年2月26日追記情報

EmoCheck のソースを参考にしてEmotetを見つけて停止させるサービスを登録するツール「EmoKill」が公開されたという情報をbom様のtwitterタイムラインで確認しました。

 

専門的なツールとなりますが、活用できる知識のある方は、ぜひ活用なさってください。

 


2020年2月14日

ここ数週間のコロナウイルスの流行に乗じた、Emotetを感染させるためのメールが多く観測されています。

・マスクを無料配布する

・保健所からの告知・注意喚起などのメール

等で、Wordなど添付ファイルを開かせようとするメールに対しては、

・まず一呼吸置いて、疑念を持ちながら読む

・セキュリティソフトでマルウェアの検査をする

・送信元に、「メール記載の電話番号ではなく」、送信元が公的機関であれば、公的機関のサイトを確認、時には送信元に電話確認などする

・マスクをプレゼントといううまい話はない

など、ともかく添付ファイルに対しては慎重な対応を行うことが要されます。

 

2020年2月7日

ブログの読者様より、

・「Emotet」はファイルレスタイプである

・対応可能なソフトに関する記述

など、他のサイトのデータも踏まえてご指摘をいただきました。

セキュリティに関する知見をお持ちの方に、率直なご指摘をいただきましたことは、大変ありがたく思っており、この場を借りて御礼を申しあげます。

その他、ご連絡いただいた情報をそのまま貼り付けるのは控えますが、Defenderに関しては「対応は不明確」とし、他のソフトウェアに関しても、時間が取れれば、メーカーに再確認をする方向で検討しております。

 

2020年2月4日追記情報

JPCERT/CC 分析センター(Analysis Center)より、

”プロセスからEmotetを検知するWindows OS用ツールEmoCheckをGitHubに公開しました。Emotetの感染調査などにご活用ください。”

GitHub - JPCERTCC/EmoCheck: Emotet detection tool for Windows OS
Emotet detection tool for Windows OS. Contribute to JPCERTCC/EmoCheck development by creating an account on GitHub.

というアナウンスが出ております。

 

また、購読者以外は一部のみの閲覧となりますが、日経XTechの記事で、新型コロナウイルスに便乗したEmotetウイルス攻撃が発生しているとのことです。

IPAでも警鐘を鳴らしています。

 


Emotetのカタカナ表記にでは、マスメディア上では一般的に「エモテット」とされていますが、「イモテット」が正確な発音であるという意見もあります。カタカナ表記の場合は、既に普及している「エモテット」という呼称を基本としつつも、両方併記できるときには、「エモテット・イモテット」と標記します。

 

2020年1月28日追記情報

当ページでも紹介しているAvast!ですが、ITmedia他で、

”Avast Softwareがセキュリティアプリをインストールしたユーザーのアクティビティデータを収集し、それをパッケージ化して子会社であるマーケティング解析企業Jumpshotを介して企業に販売していると、米メディアのMotherboardとPCMagが1月27日(現地時間)、Avastの内部文書や顧客企業への調査に基づいて報じた。”

”Avastは、アプリでのデータ収集はオプトインでユーザーに許可を得ていると説明したが、Motherboardが取材した多数のユーザーは許可した自覚がなく、そのデータが販売されていることも知らないと語った。Avastはデータは匿名化して販売しているとしているが、専門家によるとこのデータから個人を特定するのは簡単”

”Google検索、Googleマップの場所検索、LinkedInページでのアクティビティ、YouTubeの動画のクリック、どの動画を見たかなどが含まれる。例えばあるユーザーが何かを購入するまでにクリックしたすべてのURLの履歴をたどることができる。”

など、セキュリティソフトとしてありえない振る舞いをしているため、当サイトでは、利用しないよう注意喚起を促します。

 

また、Avast!は無料セキュリティソフトのAVG社を買収しているため、AVG社の製品の使用についても、「大丈夫なのか?」という印象は正直あります。

 

また、AVGとAvastの技術を結集、という触れ込みでAVG AntiVirus FREEというソフトがありますが、こちらについても、Avastと同じようなことをしていないか?という疑念が正直ありますので、AVGについてもおすすめはせず、Windows10付属のDefenderの方がまだましかと言わざるを得ません。

もちろん、有料セキュリティソフト(こっちでも微妙なのはありますが、あえて名前はあげません)がよりベターとは言えると思います。

 

 

2020年1月17日追記情報

Emotetに関して、改変された亜種が出回っているようです。

また、twitter上の発信者の方の観測ですが、攻撃者に日本企業のやりとりしたメールが全て盗まれているという話も・・・。

 

セキュリティソフトウェアが通用しないケースがあるとはいえ、

  • 不審なメールはリンクをクリックしない
  • 日本語に不自然な点やせかす点があれば要注意
  • Wordのマクロはデフォルトでオフ
  • 同時に添付ファイルもクリックしない
  • Windows10のセキュリティパッチは常に更新
  • セキュリティソフトウェアも常に更新

など、被害に遭う確率を0にはしきれないとしても、できるだけ確率を下げるために、対策は重要です。

 

 

 

 

Emotetがどれだけ怖かったかに関しておさらいすると・・

Emotetは下記のようなことを行うマルウェアでした。

 

  • 実在の組織や人物になりすましたメールを、感染したパソコンの名義で大量に送りつける
  • 感染すると「ID・パスワードなどの認証情報が盗まれる」「盗まれたパスを悪用し、内部サーバーのネットワーク内にEmotetが感染」「メールアカウントとパスワードに加えメール本文とアドレス帳の情報が窃取され、連絡先やアドレス帳の登録相手に、既存のメール文を応用した形で同じような感染メールを自動かつ勝手に送りつける」「Emotet に感染することにより、不正なマルウェアの抜け道がつくられてしまい、Trickbotなどの別のマルウエアをダウンロードしたり、Ryuk(身代金型ランサムウェア)などのランサムウエアに感染してデータが暗号化され、復元に多額の費用を暗号資産(仮想通貨)で請求される(数千万円~5億4千万円など様々なケース。)などの被害を受けるため、特に仕事で使っている場合は業務データが復元できなくなり、甚大な被害を受ける恐れ」

 

つまり、感染してしまった人のPC経由で、手当たり次第にメールを送りつけるうえに、さらに自分のシステムにも他のより有害なマルウェアを呼び込むなど二次被害などが想定されます。

詳細はIPAのサイトにも記載

Windows10の場合、Windows Defenderに加え様々な保護システムが働きますが完全な保護ができるかというと、そうは言い切れません。ましてや、Windows7など旧OSを利用している場合、大変危険です。(今も危険ですが特にWindows 7は2020年1月14日、Windows 8.1は2023年1月10日のサポート終了後はさらに)

 

 

地方経営ノートの中の人
地方経営ノートの中の人

Emotetは、感染手口は単純なのですが、マルチ商法とキングボンビー(桃太郎電鉄に出てくる、いろいろ余計な物を連れてくる・マイナスなことをする)をかけあわせたような、やることはとてもエグいマルウェアです・・・

 

Emotetの感染ルートですが、ある程度セキュリティの基礎知識がある人なら、引っかかる恐れは少ないと思います。(ただ、「慣れ」というのは怖いですが・・・・)

 

  • メールに添付されたWordファイルを開き、マクロを実行してしまうと感染の恐れ。(もしくは、メール内リンクをクリックして、Emotetが含まれたファイルを開き、マクロを実行すること感染)添付されたファイルには、「コンテンツの有効化」を促す内容が記載されており、有効化してしまうと Emotet がダウンロードされたり、Word の設定によっては、有効化の警告が表示されずに Emotet がダウンロードされる場合も。
  • 有料セキュリティソフト各社への問い合わせ(後に詳しく記載)をした結果では、大半の会社が亜種も含め対応済み(ただし、ソフトのバージョンとモジュールは最新のものを)

となるため、セキュリティソフトウェア・OSの最新版への更新(もちろん、WindowsであればWindows10への移行)が大切となります。

 

ZeroCleareに関しては、不特定多数を狙ったものではありませんので、今のところは状況を注視するのみです。

 

【悪質】Emotet(エモテット)が呼び込むTrickbot(トリックボット)

当サイトでは、Emotet(エモテット)の感染、メールばらまきに加え、いろいろな悪さをするマルウェアが存在することにも触れてきました。現在はEmotet事態は壊滅しましたが、こういうことを行うということでのしておきます。

 

その代表格がRyuk(リューク)ですが、もうひとつ凶悪なマルウェアにTrickbot(トリックボット)というのがあります。

 

Emotetが他のマルウェアを呼び込む仕組みについては、別のページで解説していますので、今回は、呼び込むTrickbotがなぜ怖いのかについてまとめてみます。

 

マルウェア Trickbot(トリックボット)とは?

Trickbot単体はEmotetと同様、

Wordのマクロファイルを通じて感染するか、Emotetがよびよせるかという2パターンになります。

トレンドマイクロ社のTrickbotの特徴を見ると、

Filezilla
Microsoft Outlook
PuTTy
Remote Desktop (RDP)
VNC
WinSCP

などのソフトウェアから認証情報を盗み出す、

さらに、

Google Chrome、Internet Explorer、Microsoft Edge、Mozilla Firefoxから、

自動入力
請求情報
閲覧履歴
クレジットカード情報
HTTP POSTレスポンス
クッキー
ユーザ名とパスワード

など、オンラインバンキングや各種サイト認証に必要な、様々なデータを盗み出してしまいます。

 

このデータをもとに、オンラインバンキングや各種クレジットカード決済などで悪用される、データが特定のところで売買され、第三者から情報を悪用される恐れがあるのです。

 

Trickbotは、Ryukにも感染しやすくなる

別の記事で、Emotetに感染するとTrickbotにも感染しやすくなり、さらに凶悪なRyukにも感染しやすくなることを書きました。

 

Trickbotの感染も、Ryukなど、さらに悪質なマルウェアの侵入をしやすくしてしまいます。

(専門的になりますが、サイバーリーズンのページにEmotet・Trickbotのメカニズムが書かれていますので、興味がある方はぜひご一読を)

 

そして怖いのが、

  • Emotet=感染コンピューターを増やす・別のマルウェアが入りやすくする
  • Trickbot=IDパスワードなどログイン情報、機密情報その他個人情報等重要な情報を盗み出し、加えてRyukに感染しやすくなる、VNC(ヴァーチャル・ネットワーク・コンピューティング)という遠隔操作プログラムを仕込み、感染者に気づかれることなく感染したPCのデスクトップをリモートで操作できてしまう
  • Ryuk=暗号化をして、データを縦に身代金を要求する

と、ある意味手分けをして、それぞれが悪質な動きをしていることです。

 

また、上記のサイバーリーズンのページでは、”TrickBotは、Windows Defenderを無効にし、削除しようと試みる”、つまりセキュリティソフトを無効化するふるまいも行います。

 

Trickbotは、「このパソコンがRyukを感染させられるかな・・」という見立ても行う

TrickBotはsystemInfo.dllというファイルで、”標的のマシンが「Ryuk」ランサムウェアを感染させるための基準を満たしているかどうか”、”32bitか64bitか”など、下調べを行います。

 

それ以外にも、様々な内部的な悪さを、ユーザーに見えにくいように行います。

 

このようにTrickbotは、情報窃取・より悪質なマルウェアの呼び込みを行うなど、本当に油断ができません。

 

結局は、「不審なメールは開かない・判別がつかない場合は開封前に検査を」という、一般論的な話になるのですが、ともかくTrickbotを呼び込むEmotetに感染しないよう、改めてファイルの扱いを意識することが要されます。

 

ZeroCleare MBRを破壊、PCを起動不能にし、内部ネットワーク上でも感染を広げるマルウェア

今回紹介するZeroCleareは、「WindowsのMBR(マスターブートレコード)」を破壊する、という本当に怖いマルウェアです。

海外サイトでは、data-wiping malware(データ消去型マルウェアとも言われています)

第一報は、ITmediaに掲載されていますが、

マスターブートレコード(MBR)、つまりパソコンの起動に必要なシステムを破壊する
ディスクパーテーションを上書き(システムの起動だけでなくデータが紛失する恐れ大
一度感染すると、ネットワーク上のデバイス多数に感染を広げる
何千万台ものデバイスを攻撃
完全復旧は数ヶ月(バックアップがなければ失われたデータの復旧は無理でしょう)

とあり、非常に怖いマルウェアです。

2019年のところ日本での被害情報はないですが、エネルギー・産業セクターを狙ったマルウェアとして海外では警鐘が鳴らされています。

(IBMのレポート・英文)

https://www.ibm.com/downloads/cas/OAJ4VZNJ

レポートの中では、「過去10年間で最も危険で破壊的なマルウェアの1つである Shamoonによく似ている」とも表現しており、マルウェアの怖さを物語っています。

怖いのは、今後このマルウェアや亜種が、一般のPCをターゲットにしたり、先日のEmotetのようなマルウェアに感染したPCに入り込んでしまうケースです。

Ziff Davis Net(英語版)では、よりZeroCleareの詳しい記述があります。

Iranian hackers deploy new ZeroCleare data-wiping malware | ZDNet
IBM identifies new ZeroCleare destructive malware targeting energy companies active in the Middle East region.

ここからは、ZDNetの文章を機械翻訳した部分も含みます。

ZeroCleareは感染したホストから可能な限り多くのデータを削除するように設計されたマルウェアの一種
マルウェアは正当なツールキットであるEldoS RawDiskツールを悪用して「MBRをワイプ、つまり消去し、多数のネットワークデバイスのディスクパーティションを破損する
中東地域で活動するエネルギー企業を標的

とあり、これがもし日本に上陸すると、Emotetよりも致命的な、「システムが動かない!しかもネットワーク上の機器が軒並みやられる」という重大インシデントが続出する恐れもあります。

現在のところ、あくまで特定ターゲットのみを対象としているようですが、今後はわかりません。

(2021年現在の活動については未確認)

 

三菱電機 への標的型攻撃と、迷惑メール・SMSのばらまき型攻撃の違いについて、復習してみる(2020年の記事)

2020年1月20日、三菱電機へのサイバー攻撃がニュースになっており、これから内部や外部報道などにより、全容が明らかになってくると思われます。

(1月20日13:40現在、「お知らせ」という形でトップページにリンクが小さく表示されるようになりました)

 

三菱電機としては、相当なセキュリティ体制を敷いているという話にもかかわらず、こういう事象が起こってしまうことに、セキュリティに絶対はない(ただ、確率を減らすためにやる意義は確実にある)というのも感じる次第です。

 

今回の方法は、不特定多数ではなく、三菱電機を狙った標的型攻撃であるといわれていますが、

三菱電機にサイバー攻撃 防衛などの情報流出か
日本企業の中国拠点に侵入して、そこから日本国内へ社内回線を通じて侵入する手口をTICKが使ってるという報告が昨年あったが、まさにその手口で三菱電機がやられてたようだ。

いわゆるサイバー攻撃における、標的型攻撃とばらまき型攻撃という2種類の手段に関して、改めてかみくだいてまとめてみました。

 

なお、下記の記事は、ソフトバンク・テクノロジーの辻伸弘様の著書、あなたがセキュリティで困っている理由(政府刊行物のサイトにリンクされます)を参考に記載しております。

 

当書籍は、一般ユーザーと、セキュリティ専門家の橋渡しをするブリッジ的立場の人にとって、セキュリティの初心者・一般ユーザー向け解説を容易にする書籍で、ある程度の知識がある人にとってはわかりやすいです。

興味のある方はぜひ書店でお求めください。

 

三菱電機がターゲットになったと想定される、標的型攻撃とは?

一言でいうと、「文字通りこの会社(の様々なもの)を狙おう」という攻撃手法です。

 

警視庁の資料では、当該資料のP4で、

警察庁では、市販のウイルス対策ソフトでは検知できない不正プログラムを添付して、
業務に関連した正当なものであるかのように装った電子メールを送信し、これを受信した
コンピュータを不正プログラムに感染させるなどして、情報の窃取を図るものを「標的型
メール攻撃」としているところ、同じ文面や不正プログラムが10か所以上に送付されてい
た標的型メール攻撃を「ばらまき型」として集計している。

 

としております。

 

ばらまき型のプログラムは、不特定多数に文字通り「ばらまかれ」、セキュリティ会社もそれを感知し、対策ファイルを作成します。また、似たような種類でも、「ヒューリスティック検知(ふるまい検知)」で、「あのウイルスやマルウェアと似ているな・・・」と、動きを封じ込めることができます。

 

一方、標的型攻撃は、特定のターゲットを狙い、メールを送りつけるなどし、ターゲットとする組織をウイルス・マルウェアに感染させます。

 

ここで、市販のセキュリティソフトやその他セキュリティプロダクトの目をかいくぐる、ある種オーダーメイドのウイルス・マルウェアを作り、特定ターゲットを狙うので、セキュリティソフトなどを入れていても検知ができない・・・というケースもあるようです。

 

今回の三菱電機の場合は、まさにそのケースでした。

 


いずれにしても、攻撃側はターゲットのデータを詐取、その他何らかの悪意を持ったことが目的かつ、一度感染すると内部ネットワークを通しウイルス・マルウェアが蔓延したり、サーバーからデータが窃取され、攻撃者や関係者に送られるなど、内部での被害が極めて大きくなります。

 

よくある迷惑メールは、ばらまき型攻撃

一方、当サイトでよく取り扱っているマルウェアを呼び込む迷惑メールは、不特定多数をターゲットにするケースが極めて多いです。

 

感染したコンピュータを乗っ取り、何千万通・何億通とばらまいて、その後にryukなどの身代金型ランサムウェアなど悪質なランサムウェアをひきつれてくる。

 

ただ、送られる量が大量なため、セキュリティソフト会社もすぐに検知し、対策を行います。

 

標的型攻撃メールは、こっそり動く傾向?

ばらまき型メールが、わかりやすい行動(ばらまき、データの暗号化による身代金要求など)を図る一方、標的型攻撃メールは、感染したことに気がつきにくく、セキュリティソフトで検知しきれないケースもある、外部からの指摘で初めて気づくなど、ともかく見えないように、で行動します。

 

サイバー攻撃を受けた場合の適切な対応とは?

今回、三菱電機が2019年6月28日にに端末の不審な挙動を認識したあと、その事実が公表されず、2020年1月20日に朝日新聞がすっぱ抜いたことで、初めて事態が公になったわけですが、このことについては、「なぜ今まで公表しなかったのだろう」という意見と、「二次被害など追加の被害を防ぐには、公開しなかったのは致し方ない」という意見がありました。

 

 


など、異なる意見が出ています。

 

ただ、あなたがセキュリティで困っている理由のP178以降によると、

  • サイバー攻撃を受けたら、攻撃の内容などを積極的に公開しよう
  • 他組織が被害を未然に防ぐのに役立ったり、攻撃に気づくきっかけになる
  • セキュリティ攻撃は分業化が進んでおり、攻撃を受ける側も協力する必要がある

とした上で、

  • 調べる項目のリストアップ
  • 氏名など個人情報が含まれる場合は、顧客・従業員・その他と分けて、慎重に対応
  • 感染経路(内部・外部)、原因(ウイルス・マルウェアかサーバーの不具合か)、漏洩した人・目的(外部・内部・目的)、漏洩したデータ(個人情報を含むか、暗号化の有無、業務に与える影響)などを確認
  • ウイルスはハッシュ値まで確認
  • 第三者への影響を確認

など挙げています。(ぜひ、より詳しい部分は本書をお読みください)

 

そして、伝統的な企業の場合、事故が発生すると、発生の攻撃を受けてしまった人だけでなく、その上司・セキュリティ責任者など、様々な方面に責任や人事・評価などのマイナスが生じるため、隠そういう方向に行く恐れも拭えません。

 

被害の拡大を防ぐには、初期の時点で対応すること、また、(伝統的な企業ほど難しいとは思いますが)何か事故が起こっても適切に対応すれば、マイナス評価にしないという方針をあらかじめさだめ、悪い情報にフタがされないようにすることも大切だと思います。

 

営業・サービス開発の攻めの部分に関しては、どうしても日頃から日が当たりやすく、一方セキュリティやシステムの運営などは、「普段うまくいって当たり前」「なにかあったら徹底的に矢面に立たされる」という側面があります。

 

セキュリティに対して様々な投資を行い、人材についても、安定した運営だけでなく、インシデントに対しても、情報を上げて適切に対応したことを評価するなど、セキュリティ担当者を尊重するようにしていかないと、今後も同様のインシデントが発生するように思えてなりません。

 

保険会社(MS&AD)系列会社が、1台月1,000円~の低コストランサムウェア対策サービス・防検サイバーを提供する背景を考察

少々興味深いニュースとして、MS&AD系列の、MS&ADインターリスク総研が、「端末1台当たり1,000円」と価格を抑えた割引サービスを始めるというニュースが12月24日の日経朝刊に掲載されていました。

 

この、「防検サイバー」を提供するMS&ADインターリスク総研株式会社のページには、12月24日時点でニュースリリースが掲載されていません。

 

ランサムウェア問題については、当サイトでも以前より取り上げたEmotetTrickbot、 Ryukのような古典的なものや亜種だけでなく、追い切れないくらいにランサムウェアが増加しています。

 

このランサムウェアについては、セキュリティソフトでも、「防ぎきれるかどうかが不明確」(セキュリティーソフトメーカーは、多くの会社が、「対応している」とサポートセンターレベルでは話していますが・・・)な点がここ半年近くで顕在化、大手メーカーの各種情報流出・身代金要求や、中堅メーカーの情報が闇サイトに掲載されるなど、日本企業がターゲットにされるケースが顕在化しています。

 

また、暴露型ウイルスは、「相手を狙って作られる」傾向があり、一般的なセキュリティソフトでは検出が難しいケースがあるという話もあります。

 

現在のサイバー攻撃対策企業が提供するサービスは、中堅・中小企業に取ってはコストがかかるものですが、日経新聞の情報では、

 

  • サイバー対策企業からOEMを受け、複数の中小企業に一括提供することで、月額料金を端末1台当たり1,000円に抑える・1年で100社の採用を見込む
  • ランサムウェア(身代金要求・暴露ウイルス)の振る舞いを検知し遮断できるよう、防検サイバーのクラウド上で、AIやサイバー攻撃分析の専門家がウイルスの振る舞い検知を行い、もしウイルスに感染した端末の通信があれば、遮断をする(オフィス・在宅勤務含め)

 

特に現在はコロナ禍もあり、在宅勤務を行う会社もまだ多いため、これまでのようにシステム部門が全体のセキュリティ管理に目を光らせることができないという現状があるなかで、企業として致命的な問題になりかねない暴露型ウイルス・ランサムウェア対策を行うサービスは、強く求められると思います。

 

このサービスを手がけるのが、MS&ADグループ、つまり三井住友海上・あいおいニッセイ同和損保を擁するグループ内の、MS&ADインターリスク総研。

 

同じ系列のあいおいニッセイ同和損保は、サイバーセキュリティ保険も手がけているため、中小企業に対するサイバーセキュリティ保険等の提案フックの一つとして、防検サイバーが役目を果たすということも想定されます。(あくまで推測ですが・・・)

 

いずれにせよ、ランサムウェアの進化が、不特定多数→中堅・中小も含めた特定企業狙い撃ちに変化してきている現在、ランサムウェア対策サービスというのはより求められるようになるかと思います。

 

Emotet感染→Ryuk(リューク・身代金型ランサムウェア)感染という流れに注意(過去記事)

Emotet事態の問題は、2021年8月現在は落ち着いていますが、記録としてのこしておきます。

マルウェア感染より怖いのは、Emotetに感染し、そこから他のマルウェアやRyuk(リューク)などの身代金型ランサムウェアなど、より凶悪なマルウェアに感染してしまうことです。

 

三井物産セキュアディレクションのRyukに関する記事では、Ryukの仕組みや動作などがより詳しく書かれておりますので、ぜひご覧ください。

 

また、ITMedia エンタープライズにも紹介されており、

Ryukに感染したシステムからは、大抵の場合、「Trickbot」「Emotet」といった別のマルウェアも見つかっている
Ryukの攻撃が始まると、システムを横断してファイルが暗号化され、「.ryk」の拡張子が付いたファイルに置き換えられる。各フォルダには、身代金を要求する「RyukReadMe」という文書が現れる。バックアップからの復旧を難しくする手口も実装
システムをマルウェアから守り、身代金を支払ったとしてもデータが戻るとは限らないという認識を持つ(戻るケースもあるが、他サイトの情報では暗号化を復号するプログラムがいい加減で、正常な復元が出来ないケースもあるという話・・)

という注意喚起がされています。

そして、

Ryukの名称は漫画『DEATH NOTE』に登場する死神の名に由来する。米国では自治体や裁判所などでRyukに感染する被害が相次ぎ、一部の自治体はシステムを復旧するために身代金を支払ったと伝えられている。

という、まさに死神のようなマルウェアです・・・。

 

Gigazineの記事によると、Ryukに自治体のコンピューターが感染したアメリカ・フロリダ州レイクシティでは、当時約50万ドル相当(1ドル110円として、日本円5千5百万円)での42ビットコインが身代金として犯人に支払われた結果、レイクシティではデータを復号化できたそうですが、行政システムは大混乱となったそうです・・・。IT責任者は解雇されたとのこと。

 

また、中国でもryukの存在が明らかになっています。

日本も対岸のことではなく、カスペルスキーのレポートによると、日本でも0.31%ながら活動が報告されているようです。(中国は7.99%)

 

やはり入り口はEmotet。具体的にどうなったかをGigazineより引用すると、

 

行政システムがハッキングされたのは「Triple threat」という攻撃手法によるもの。市職員が市に送られてきたメールのリンクを開いたところ、リンク先からダウンロードされたトロイの木馬型マルウェア「Emotet」が市のネットワークに感染。このEmotetがシステムに接続されたPCにランサムウェア「Ryuk」をインストールさせ、PC内のあらゆるファイルが暗号化されてしまったそうです。

この攻撃により、レイクシティの行政システム内にあった合計16TBのデータがロックされ、ほぼ全てのサーバー・電話・電子メールがダウンする事態に陥りました。システムが使えなくなったため、メールや電話による業務連絡はすべて市職員個人の携帯電話やスマートフォンで行い、文書は全て紙に印刷してから市職員が車で運ぶことになりました。もちろん市民も被害を受けており、水道やガス料金の支払いは全て現金か小切手で行わなくてはなりませんでした。ハッキング被害を免れたのは、行政システムとは別のサーバーで運用されていた警察署と消防署のシステムだけだったとのこと。

これが日本で発生したらと考えると恐ろしいのですが、今Emotetが日本で猛威を振るっていること、先ほども書いたRyukの中国での出現を考えると、EmotetがRyukなどの悪質マルウェアを連れてくる可能性もありうるといえましょう。

 

Ryuk(リューク)の特徴に関して

上記サイトの内容も踏まえ記載すると、

現在は海外で流行っている(アメリカ・中国など)
5億円を超える(データの)身代金を請求されるケースも
2018年夏頃より存在確認
2017年2月に出現した「Hermes」というランサムウェアのコードを改変した亜種であり、攻撃対象の企業ごとにカスタマイズされて開発
最新のRyukは、ネットワーク上に存在するシャットダウンされたPCを強制的に起動させ暗号化するWake-On-Lan(WOL)による暗号化機能を初めて搭載。つまり、社内・家庭内ネットワーク上のPCなどを強制的に起動させ、イントラ内に繋がっているPCのデータを次々と暗号化してしまう

 

Emotetだけでも怖いですが、Emotetが入り込んだところにRyukも入り込んできたら、恐ろしいです・・・・。

 

RyukはEmotetと違い、Wordのマクロファイルではなく.exe(実行型のプログラムファイル)です。

 

もし、Ryukが管理者権限で実行されると、ブートローダー(PC上の起動に関わるファイル)が暗号化され、PC自体の起動もできなくなります。

 

そして、全てのフォルダ内にHTMLファイルで脅迫文を生成し、「データを復元して欲しければ、このメールアドレスに連絡しろ」という旨の文言が書かれています。

 

また、上記のサイトによると、

最新のRyukには、感染端末が韓国の言語圏であるかどうかの確認を示唆するコードが組み込まれています。ただし、このコードはどこからも呼び出されていません。Hermesや初期のRyukにはロシアやウクライナなどの言語圏の端末には感染しない仕組みが組み込まれており、一般的なマルウェアの中にも自国民の端末には感染させないように作り込まれているケースがしばしば見受けられます。ただし、そうした背景を逆手に取って他国が開発したマルウェアであるかのように見せかけ偽装することもまた容易です。

と書かれています。

 

自国の端末に感染しない仕組みがあるということは、なるほどと感じました。

 

また、対策としては、

管理共有の無効化
Windowsのファイルとプリンタの共有機能を無効化
ファイアウォールによるブロック

(すべて少々専門的な話になりますので、前述のMSBDサイト内記事、「標的型攻撃ランサムウェア「Ryuk」の内部構造を紐解く」の後半をごらんください)

 

など、内部のネットワークを制限する形になり、利便性とのトレードオフ的な対策となってしまうので、そもそも感染しないよう、

Emotetなどマルウェアのゲートウェイになるマルウェアに感染しない
セキュリティソフト・OSを常に最新に
不審なファイルには触らない

という点を心がけることが無難でしょう。

 

マルウェアEmotet(エモテット)+ZeroCleareに関するセキュリティソフトの対応状況を各社サポートに聞いてみた

 

Emotetなどの情報窃取マルウェア・ウイルス・フィッシングメール対策で心がけるべき基礎

 

 

詳しい対策や他のフィッシングメール・マルウェア対策はこちらへ。

情報窃取マルウェア・ウイルス・フィッシングメール対策で心がけるべき基礎

 

自分の個人情報が外部やダークウェブで漏れていないかを確認する4つの方法と漏れた場合の対策

 

 

Chromeで、「パスワードの確認」ポップアップが出ても、ウイルス・マルウェア・詐欺ではないので落ち着いて対処を

 

タイトルとURLをコピーしました