メールを使ったウイルス感染は昔から行われていますが、ここ数年はEmotetが最も大きな脅威となっています。2019年頃から登場して一時は下火になったのですが、また最近になって感染が拡大しています。
そんなEmotetについて、知っておきたいポイントを紹介します。
Emotetの感染手段は多彩
Emotetはメールを使って感染拡大を行っていますが、その時々によって手法が異なります。初期の頃はOfficeのマクロを使って感染していましたが、最近では.lnkファイル(ショートカットファイル)を使った感染が確認されています。一つの手法に固定されていないため、特定の対処法だけでは防ぎ切れていないのが実情です。
「“拡張子を表示”にしていても表示されない拡張子」を使った攻撃を確認 デジタルアーツがEmotetに関するレポートを公開:侵入経路は従来と同じ「メールの添付ファイル」 - @IT
それらしいメールを送ってくる
Emotetが感染を拡大させた原因として、メールの件名や文面が本物のようである点が挙げられます。これまでメールのやりとりをしている相手から、件名にRe:を付けた状態でメールが送られてきます。そのため、仕事上のやりとりだと思って添付ファイルを開いてしまうケースが多くなっています。
暗号化Zipファイルが危険に
Emotetが拡大したことで暗号化Zipファイルを止める動きが出ました。これは暗号化Zipファイルはウイルス対策ソフトウェアでチェックできないため、感染ファイルであってもすり抜けてしまうためです。
企業によっては、添付ファイルを自動的に暗号化Zipファイルにして送信するワークフローを組んでおり、Emotetを含んだファイルも暗号化Zipファイルとして送信されてしまっていました。そのため企業によってはPPAPを禁止にしています。
クラウドストレージ経由の共有が一般化
暗号化Zipファイル(PPAP)に替わる添付ファイルメール送付手段として注目されているのが、クラウドストレージを経由したURL共有方式です。この方法の場合、暗号化はせずにサーバー側でウイルスチェックを行います。
現在、PayPayやIIJなど、多くの企業で暗号化Zipファイルを添付したメールを受け付けない仕組みになっています。
Emotetに感染しているかチェックするには
Emotetには専用のEmoCheckを使って感染しているかどうかをチェックできます。感染したファイルの削除は行いませんが、プロセスを検知してくれます。後はこのファイルを編集、削除する流れになります
なお、EmoCheckは亜種が次々と生まれているようで、EmoCheckも最新版でそれを追いかけている状態です。EmoCheckで見つからなかったからと言って、100%大丈夫という訳ではないので注意は必要です。
「Emotet」感染確認ツールに新たな検知手法 「EmoCheck v2.3」 - ITmedia NEWS
感染するとどうなるか
Emotetに感染すると、メールを使って感染拡大を行います。その際使われるのは自分のメールアドレスなので、相手に対する信頼性損失は大きいでしょう。また、社内のファイル共有における脆弱性を悪用した拡散も行われています。
次に過去のメールや業務データを搾取され、情報漏洩につながる危険性があります。最後にランサムウェアを呼び込み、データの暗号化と身代金要求へとつながる可能性があります。これらのビジネスインパクトは相当大きなものになるでしょう。
感染しないためにできること
まずPCのセキュリティを最新のものにしましょう。OSやOffice、ブラウザなどは脆弱性が狙われている可能性が高いので、最新の状態を保つ必要があります。もちろんウイルス対策ソフトウェアのパターンも最新のものにする必要があります。次にOfficeのマクロは自動実行しないように設定しましょう。ここまではソフトウェアレベルの対策です。
ワークフローレベルでは、不用意に添付ファイルやリンクを開かないことでしょう。件名や本文が日本語であったり、送信元が知り合いであったとしてもEmotetから送られている可能性を考えるべきです。特に暗号化Zipファイルはウイルスチェックをすり抜けているので注意が必要です。
HTMLメールの場合、リンク先が目に見えているURLとは異なる可能性があります。これもまた不用意にクリックしないよう注意が必要でしょう。
まとめ
Emotetの感染は細菌になってまた拡大しています。多くの企業、大学などで感染したという発表が行われています。自社は大丈夫と考えず、ソフトウェアとワークフロー、両面からの対策を行いましょう。
メールには安心、安全に送信できる環境が必要です。メール送信を行う際にはCustomers Mail Cloudをぜひご利用ください。
