2023年3月に再開したEmotetについて
2023年3月7日、Emotetの攻撃メールの配信が再開されたとの観測がなされました。攻撃メールの件名や本文には日本語が使用されているものもあり、国内企業・組織にも攻撃が及んでいる可能性があると考えられています。
攻撃の手口はこれまでと大きく変わっておらず、依然として正規のメールに返信を装った手口が主流です。ただし、今回は新たに添付されたZIPファイル内に500MBを超えるWord文書ファイルが含まれているものが確認されており、セキュリティソフトなどの検知回避を企図したものと思われます。
Word文書ファイルは、利用者のパソコンにEmotetを感染させるための不正なファイルです。しかし、メールが送られてきたタイミングや内容に多少の違和感があったとしても、自分が実際に送信したメールへの返信に見えた場合、相手から何が送られてきたのかと、添付ファイルを開いて確認しようと考えてしまう可能性があります。
対策としては、攻撃メールの特徴である「正規のメールへの返信を装う手口」に注意することが求められます。少しでも不信だと思ったら、その場で直接メールを送ってきた相手に確認し、メールを送った覚えがあるかを明確にする必要があるでしょう。もし、Emotetに感染した場合は、重要な情報が漏洩する可能性があるため、速やかにセキュリティ企業や専門業者への相談が必要です。また、こうした相談窓口を事前に決めておく必要もあります。
Emotetにかからないための対策
2023年3月にEmotetの攻撃メールが再開されたことから、今一度自社のメール設定を見直すことが重要です。Emotetの攻撃メールは、国内企業・組織にも届く可能性があるため、万全な対策が必要です。
メールの差出人や本文を詐称したり、添付ファイルにウイルスを仕込んだりする手口が用いられるため、以下の点を確認しましょう。
迷惑メールフィルターの設定
メールサーバーに迷惑メールフィルターを設定し、不審なメールをフィルタリングするように設定してください。GmailなどのSaaSサービスを利用している場合は、自動で迷惑メールフィルターが働くため、特段設定をする必要がありません。
パスワードポリシーの確認
不正アクセス対策として、パスワードの長さや複雑性についてのポリシーを設けて、適切な管理を行ってください。また、パスワードの期限切れについても適切な設定を行うことが重要です。
添付ファイルの受信制限
社内での添付ファイルの受信について、セキュリティ上の配慮から、特定の拡張子を禁止する設定や、サイズ制限を設けることが考えられます。また、受信制限を行う前には、社員への周知徹底が必要です。
社員教育の徹底
セキュリティ意識を高めるため、社員に対して定期的なセキュリティ教育を実施することが重要です。特に、迷惑メールの見分け方や、不審なメールに対する対応方法などを徹底して指導しましょう。効果的な方法としては、標的型攻撃メールの訓練サービスの利用がおすすめです。最近では、SaaSで提供されているサービスが多く、社内の開封状況が一目で分かります。
セキュリティソフトの更新
ウイルスやスパイウェアの検知・駆除に役立つセキュリティソフトの更新を、定期的に実施することが重要です。また、最新版へのアップデートを怠らずに行うよう、社員に呼びかけてください。セキュリティソフトは、従来のウイルス対策ソフトではなく、EDRの導入がおすすめです。EDRは、端末内の不正な挙動を監視してくれるセキュリティソリューションのため、仮にEmotetに感染したとしても、その後不正なコマンドの実行などをしたタイミングで実行を防止できます。
まとめ
2023年3月に再開したEmotetは、スパムメールに添付したWordファイルを通じて感染を広げ、被害者のパソコンに侵入し、その情報を盗み取るという悪質な攻撃を行います。また、Emotetは攻撃手法を改良し、防御されにくいように変化していることも判明しています。
この攻撃に対して、企業や個人がセキュリティ対策を強化することが大切です。具体的には、最新のセキュリティソフトウェアを導入することや、不審なメールを開かないことなどが重要となるでしょう。企業では、今回の対策を優先的に実施することが求められます。
文/長谷川貴之