EMOTET急増に伴う警戒の呼びかけ~2021年12月以降の月平均検出数は昨年の約4倍以上に~
トレンドマイクロのクラウド型技術基盤Trend Micro Smart Protection Networkにおいて、日本国内のEMOTETの検出台数が急増していることがわかりました。
トレンドマイクロのクラウド型技術基盤Trend Micro Smart Protection Networkにおいて、日本国内のEMOTETの検出台数が急増していることがわかりました。
EMOTETは、2021年1月末EUROPOLによるテイクダウン※以降、活動が沈静化し、国内での平均検出数は約500件/月(2021年1月~11月平均)に留まっていましたが、2021年12月に検出が急増し、約4倍を超える検出状況が続いています。(グラフ;EMOTETの国内検出台数)
※トレンドマイクロセキュリティブログ サイバー犯罪の根本解決:EUROPOLによるEMOTETテイクダウン
https://blog.trendmicro.co.jp/archives/27132
EMOTETはメールで拡散する不正プログラムで、感染により自組織の情報流出のリスクのほか、攻撃の踏み台として利用され取引先や親会社などの関係・関連会社に攻撃被害が及ぶ可能性があります。
技術的な対策の要点を以下にご紹介しますので、自組織の対策状況のご確認にご活用ください。
攻撃の起点はメールであり、差出人をなりすます巧妙な手口も確認していることから(図:EMOTETメールのサンプル)、経営陣、従業員また取引先と情報共有することで、セキュリティ強化を図ることを推奨します。
- 情報流出:受信メール情報・感染端末の認証情報・メールクライアントの認証など
- 更なる攻撃の踏み台化:他組織への攻撃メール送信・ネットワーク内での感染拡大
- 他のマルウェアの感染:ランサムウェア・バンキングトロジャンなど
- 組織内ネットワークのアクセス権を売買される可能性も(Access-as-a-Service)
- Officeのマクロ機能を実行できないようにする
-「警告を表示せずにすべてのマクロを無効にする」に設定することで「コンテンツの有効化」を表示さ
せないことも有効
- セキュリティ製品による複数レイヤ・複数検知技術の多層防御
- パターンマッチングだけでなく、機械学習型検索・挙動監視・サンドボックス機能・パスワード付ZIPファイルの検査など
複数検知技術を備えた製品を利用する
- エンドポイント単体だけでなくメールセキュリティ、ネットワークセキュリティなど複数レイヤによる防御を行う
- メールにファイルを添付することをポリシーで禁止する
- ファイルをやり取りする際はメールに添付するのではなく、ファイル共有のクラウドサービス等を使うようにする。
少なくとも、現時点のEMOTETの手口に対しては有効
具体的な攻撃内容と対策については以下のページを参照ください。
https://www.trendmicro.com/ja_jp/business/campaigns/emotet.html
・トレンドマイクロ製品ご利用の法人のお客様
- サポート情報 [注意喚起]EMOTETの拡散と感染拡大について(2022年3月4日)
https://appweb.trendmicro.com/SupportNews/NewsDetail.aspx?id=4420
- 各製品の推奨設定
https://www.trendmicro.com/ja_jp/business/campaigns/emotet.html#recommendations-tm-anchor
-「EMOTET」に関連するメールを開いてしまった場合の対応
https://success.trendmicro.com/ja-JP/solution/KA-0012849
・関連情報
JPCERT マルウェアEmotetの感染再拡大に関する注意喚起(最終更新: 2022-03-03)
https://www.jpcert.or.jp/at/2022/at220006.html
更新日:2022年5月9日
Security GO新着記事
サイバーセキュリティの原点回帰:EPP・EDR・XDRの違いを理解する
(2024年11月22日)
ダークパターンとは?企業にとってのリスクを解説
(2024年11月20日)
PPAPだけじゃない?セキュリティリスクにつながりかねない商習慣3選
(2024年11月20日)