IPAの発表によりますと、2022年11月上旬よりEmotetの攻撃メールの配信は観測されていない状況が続いていましたが、2023年3月7日に確認された攻撃再開では、件名や本文にすでに日本語が使用されているケースもあり、日本国内企業や組織にも着信している可能性があります。
身に覚えのないメールの添付ファイルは開かない、メール本文中のURLリンクはクリックしないなど、基本的な対策が徹底されているか今一度、確認するようにしましょう。
再始動したEmotetは、アンチウイルス製品が行う検知機能の回避を図っているのが特徴です。詳細な動きを、以下に解説します。
再始動したEmotetの特徴として、Zipで圧縮されたMS Wordファイル(.doc)がメールに添付されています。
Zip圧縮時は600KB程度のファイルサイズですが、展開すると500MB以上のファイルサイズになります。これはアンチウイルス製品によるスキャン可能容量の上限値を超えることを目論んだもの、と考えられています。
サンプルとして「702fe11ec88304d7743824c5ba2f5ffc78b93de85bc089b8e23be7f72f9b33ee」(SHA256)のEmotetの検証結果をご紹介します。
※ 画像出典:株式会社Blue Planet-works|https://www.blueplanet-works.com/
Emotetのメールと知らずに添付ファイルを開くと、メールアドレスやパスワード、アドレス帳などの情報が搾取され、過去にやり取りされたメール内容が転用され、あたかも重要な顧客や取引先、あるいは知人からのメールのようにして感染メールが送信されます。そして、Emotetから別のウイルスへ感染させられるとランサムウェアなどによる大きな被害に繋がる可能性があります。
当社三菱HCキャピタルITパートナーズは、従来の検知駆除型のアンチウイルス製品では防ぎ切れない「未知のマルウェア」や「ゼロデイ攻撃」も阻止する、強固な防御力を誇る製品AppGuardをご紹介しております。
本サンプルのEmotet検体ファイルを実際に実行してAppGuardで防御されるか確認した結果、Emotetの挙動をすべて防止し、安全が保たれることが確認出来ました。
上記は、マクロを有効化し、ランダムな文字列のディレクトリが作成された後に出来たDLLの読み込みを開始した際に、AppGuardによって.dllファイルの起動が阻止された様子です。
下記は、Emotetが感染して攻撃を開始するまでの流れです。AppGuardによって攻撃を阻止した箇所にコメントを記載しています。
※ 画像出典:株式会社Blue Planet-works|https://www.blueplanet-works.com/
このように、AppGuardは過去の脅威情報に頼らない防御の仕組みのため、「未知のマルウェア」や「ゼロデイ攻撃」にも対応でき、これまでにない強固な防御力を誇る画期的な製品です。再始動したEmotetが生成した.tmpファイルは、AppGuardによって「読み込みが認められていないファイル」として防御され、その後に続く.dllファイルも「起動が認められていないファイル」として防御されます。
AppGuardで保護されたPCであれば、誤ってEmotetを開いてしまったとしても、日常の業務を妨げずにセキュリティを維持することが出来ます。
AppGuardの基本機能についてはこちら
ウイルスを「検知しない」セキュリティ製品 AppGuardとは
私ども三菱HCキャピタルITパートナーズは三菱HCキャピタルグループのIT戦略子会社として位置付けられ、PCを中心としたレンタルと、PCの保有・運用に付随するサービスを展開しております。さらにはセキュリティ全般に関するサービスを展開しておりAppGuard専門チームを有しています。AppGuardに関するご質問は、豊富な経験・ノウハウを有する当社にお気軽にご相談ください。