DIME MAGAZINE
デジタルアーツはこのほど、Emotetについてのセキュリティレポートを公開した。
Emotetは2014年頃から活動が確認されているマルウェアで、2021年初頭にテイクダウン(停止措置)されたが、 2021年11月頃から活動が再開され、今日に至るまで断続的に活発な活動が見られている。Emotetへの感染は、メールの添付ファイルなどが発端となり、それらを開いてOfficeマクロの有効化を行うなどにより始まる。
なぜメールはばらまかれるのか、ばらまかれるメールにはどのように対処するか
Emotetに踏み台利用された企業・組織は410件、業種は製造業が最多
このEmotetをばらまく攻撃メールは、日本国内の企業・組織から送られているケースも多く、デジタルアーツが確認している限りでも2021年11月以降で400件以上あった。デジタルアーツは、サイバーリスク情報提供サービス「Dアラート」という取り組みを実施している。
「Dアラート」は、マルウェア感染やホームページの改ざん、メールサーバーの踏み台利用などが見られる場合、同社の顧客に限らず連絡を行っているCSR活動の一つだ。
今回は、Emotetに感染させる攻撃メールをばらまいている日本の企業・組織に対し連絡を行った件数を用いている。Emotetが復活した2021年11月から2022年3月13日までの約5か月間において、メールサーバーが踏み台利用されている企業・組織への連絡件数は410件だった。
2021年12月は3件、2022年1月は14件だったが、2月になり101件、3月は13日間だけで292件と急増している。前回のEmotet流行時でも連絡件数は最大1か月あたり39件だったので、桁違いの件数といえる。
また、連絡した410件の企業・組織について業種別にみると、「製造業」が最多で、次いで「建設業」、「卸売業,小売業」の順に多く、これらの業種で約半数を占めている。ただし、これらの業種は企業数そのものも多いため、母数が多いことに影響を受けているともみられる※。
ばらまかれるメールは巧妙化 最近は正規の企業情報を用いる手口も
2021年11月の活動再開以降、Emotetをばらまく攻撃メールは日々巧妙になっており、直近の2022年3月ではメーラーから窃取したとみられる正規の企業情報を用いることもわかっている。
Emotetがメール情報や認証情報を窃取 考えられるケースは3つ
攻撃者はより感染を広めるため、メールを巧妙にしてきた。その主な要因として、Emotetの機能にメール情報や認証情報などを窃取するというものがあることが挙げられる。考えられるケースのうち、1つ目は、感染した企業の情報を用いてメールが送付されるケースだ。
Emotetの機能により、送受信履歴やアドレス帳から、新たにEmotetへ感染させるためのメールを送る。送信先もメールのやり取りがある中から選ばれることが多いため、精巧になりすますことができる。
2つ目は、感染した企業の取引先を騙りメールが送付されるケース。送信元に騙られた企業・組織が、必ずしもEmotetに感染しているとは限らず、感染端末のアドレス帳などから、メールで騙る送信者情報が作られることがある。
3つ目は、メールサーバーが悪用されるケース。Emotetに感染した端末より窃取されたメールアカウントの認証情報が悪用されるほか、メールサーバー自体がマルウェアに感染し悪用される事例も報告されている。
自分たちの企業・組織になりすましてばらまかれるメールにはどのように対処するか
ばらまかれるメールに対し、どのように対応すれば良いのだろうか。自分たちの企業・組織になりすまされたメールが出回っていると判明した場合は、まずは内部にEmotet感染端末がないかを調査することを強く推奨する。
メールサーバーのマルウェア感染の可能性もあるので、メールサーバーの調査を行うことも必要だ。そして、Emotetへの感染が見つからなかったとしても、関係各所に周知する必要がある。
出典元:デジタルアーツ株式会社
構成/こじへい
最新号
