マルウェア
注意!「EMOTET」被害が拡大中
2021年1月に一旦テイクダウンされたものの、2021年11月から活動を再開したマルウェア「EMOTET」が、その後、日本国内でも被害が拡大する状況となっています。トレンドマイクロの観測では2022年2月の日本国内における総検出台数は18,785件となっており、「最恐ウイルス」とも呼ばれていたテイクダウン前の状況に戻ったと言えます。
2021年1月に一旦テイクダウンされたものの、2021年11月から活動を再開したマルウェア「EMOTET」が、その後、日本国内でも被害が拡大する状況となっています。トレンドマイクロの観測では2022年2月の日本国内における総検出台数は18,785件となっており、「最恐ウイルス」とも呼ばれていたテイクダウン前の状況に戻ったと言えます。本ブログでもテイクダウン時及び活動再開時に取り上げてまいりましたが、改めて活動再開後のEMOTETの動向について報告いたします。
図1:日本国内におけるEMOTET検出台数推移(トレンドマイクロSPNによる)
■EMOTET活動再開後の被害状況
EMOTETの日本国内への本格流入が確認された2019年10月以降の検出台数推移を見てみると、テイクダウン後の活動再開当初である2021年11月には、日本語を使用した攻撃メールもまだ稀だったためか、日本国内での検出台数はそれほど大きな動きを示していませんでした。しかしすぐに日本語の攻撃メールも確認され始め、12月以降は一気に増加が見られました。そして2022年に入っても検出拡大が続き、2月の総検出数は1万8千を超え、過去のピークである2020年10月前後に迫る状況です。IPAやJPCERT/CCなどからも立て続けに注意喚起が出る状況となっており、トレンドマイクロへのEMOTET関連問い合わせも3月に入り急増しています。
またEMOTETの検出台数の推移の中で、着目すべき点としてはEMOTET本体の検出増加があります。EMOTETとして検出される検体は、攻撃メール経由で入ってくるEMOTETのダウンローダ(主にOffice文書ファイル)と、ボットであるEMOTET本体の二種に大別されます。この二種の検出からEMOTETの状態を解釈すると、ダウンローダの検出は攻撃メールの拡大を、本体の検出は攻撃メールからダウンローダをオープンしてしまったことで本体の侵入が発生したことを表しているものと言えます。2021年12月以降のEMOTET本体の検出台数は過去のピーク時を超えるものとなっており、単にEMOTETメールが着弾しただけでなく、ダウンローダを開いてしまい本体の侵入が発生するなど実害に至るケースが多くなっているものと考えられます。実際、2月以降には様々な法人組織におけるEMOTETの被害発生が報じられています。
■EMOTET活動再開後の活動内容
活動再開後、現在に至るEMOTETの表面的な活動内容はテイクダウン前と大きな相違はありません。感染経路はメール経由で、不正マクロを含むOffice文書ファイルがダウンローダとして使用されます。
- 拡散経路:
- EMOTETを拡散させる攻撃メールには、不特定多数へのばらまき型マルウェアスパムメールや、感染環境から盗んだメールの返信形式で送信される返信型の攻撃メールがあります
- ばらまき型の場合も件名に「RE:」や「FW:」など返信や転送を偽装して受信者の誤解を誘う場合があります。
図2: EMOTETを拡散させるメールの例(2021年12月確認)
不正マクロ入りEXCEL文書ファイルを直接添付、件名はFW:で転送メールを偽装、本文は英語
送信者として「co.jp」を偽装しているが実際の送信アドレスは「co.in」(インド)
図3: EMOTETを拡散させるメールの例(2022年1月確認)
実際の送信アドレスは「com.ar」(アルゼンチン)、件名は宛先にFwd:で転送メールを偽装
不正マクロ入りEXCEL文書ファイルを直接添付
本文は日本語で以前のメールを想起させるメールヘッダ情報が含まれている
図4: EMOTETを拡散させるメールの例(2022年2月確認)
添付ファイルとしてパスワード付き圧縮ファイルを使用し、日本語の本文内にパスワードを記載
- 感染手法
- 攻撃メールからダウンローダを経由してEMOTET本体が感染します。
- ダウンローダは、メールに直接添付される場合、添付圧縮ファイル内に含まれる場合、本文内のURLリンク経由の場合、添付PDF内のURLリンク経由の場合、などのパターンが確認されています。
- ダウンローダとして、不正マクロを含んだOffice文書ファイルが使われます。文書ファイルを開くと不正マクロからPowerShellなどが実行され、最終的にEMOTET本体がダウンロードされ感染します。
図5:不正マクロを含むEXCEL文書ファイルの例(2021年11月確認)
図6:不正マクロを含むEXCEL文書ファイルの例(2022年2月確認)
- 2021年12月にはMicrosoftの正規インストーラであるWindows App Installerを悪用するケースも確認されました。このケースでは本文中のURLから誘導される不正サイト上で、当時ゼロデイであったWindows App Installerの脆弱性「CVE-2021-43890」により、あたかもAdobe社正規のPDFコンポーネントであるかのように偽装する手口が使われました。Microsoftは2021年12月14日公開の更新プログラムにより一旦この脆弱性に対処したのち、2022年2月にWindows App InstallerのMSIXプロトコルを無効化する対応も行っています。
図7:Windows App Installerの脆弱性により、
正規のPDF関連コンポーネントに偽装したEMOTETインストール画面の例
図8:これまでに確認されているメールからEMOTET本体感染手法概念図
その他、活動再開後に見られた変化としては、遠隔操作のためのC&C通信のHTTPS化、遠隔操作用のC&CサーバのIPアドレスを16進や8進で表記する、などが確認されています。いずれも検出や監視の回避を狙った活動変化と考えられます。
図9:URLの難読化のためにIPアドレスを16進表記している例
■EMOTET感染で想定される被害
EMOTETは外部からの指令を受けて活動するボットであるため、感染環境により被害内容は異なりますが、2022年に入り国内で公表された被害では、主に感染端末から攻撃メールが送信された事例が報告されています。また、感染環境からの情報流出、ランサムウェアなど他のマルウェアに感染させられる、といった被害も以前から報告されています。
- 情報流出:特にメールクライアントの認証情報や受信メールの情報を窃取します
- 感染端末の踏み台化:感染端末からマルウェアスパムを送信します。この際、送信元情報として窃取したメールアドレスの情報を使用します。また、感染端末のメールアドレスを乗っ取ってなりすましでメール送信を行う場合もあります。
- 他のマルウェアの感染とアクセス権販売:Trickbot、Qakbotなど他のボットの感染や、最終的にランサムウェアの感染に繋がる場合が確認されています。また遠隔操作の権利を他のサイバー犯罪者に販売・レンタルするアクセス権販売(Access-as-a-Service)が行われることで、複数のサイバー犯罪者が異なる目的で侵入する場合もあります。
■被害に遭わないためには
テイクダウン前も活動再開後も、EMOTETは典型的なマルウェアスパムで拡散します。返信や転送を偽装する、以前にやり取りしたメールの内容を含んだメールを使用する、など受信者の誤解を誘う内容により添付ファイルに対する警戒心を薄れさせます。ただし、対策として何か特別な注意が必要となるわけではなく、これまで同様に侵入経路となるメールとその添付ファイルについて正当性を判断し、不審なものは開かないようにする心がけが必要です。正規のメールと誤解して添付の文書ファイルを開いてしまった場合でも、マクロ機能が有効化されなければ不正活動は開始されません。以下のようなアクティブコンテンツやマクロの無効化を確認するセキュリティ警告表示があった場合、いったん立ち止まり、けして「コンテンツの有効化」ボタンは押さないでください。ファイルを閉じてから、メールとファイルの正当性を再確認してください。
図10:不正マクロを含む文書を開いた場合のセキュリティ警告表示の例
また、Microsoftではこの2月にOfficeの仕様変更を行い、インターネットから入手された文書ファイルについてはマクロをデフォルト無効化し「コンテンツの有効化」を廃止しました。安全のためにもOfficeを最新バージョンに更新することを推奨します。
■トレンドマイクロの対策
トレンドマイクロ製品では、「ファイルレピュテーション(FRS)」技術により、EMOTETの本体を「TrojanSpy.Win32.EMOTET」、ダウンローダである不正マクロを含むOffice文書ファイルを「Trojan.X97M.EMOTET」などとして検出対応しています。従来型技術での検出を免れるために継続して登場する新たな亜種に対しても、機械学習型検索や振る舞い検知、サンドボックスなどの多層の対策技術により防護します。また、「Web レピュテーション(WRS)」技術により、C&Cサーバなど関連する不正サイトのブロックに、「E-Mail レピュテーション(ERS)」技術によりマルウェアスパムなど不正メールのブロックに対応しています。
その他、EMOTETの概要と対策方法についてはEMOTET特設ページにまとめていますので参照ください。特にEMOTETメールを開いてしまった場合の対応についてはサポートFAQを参照してください。
※調査協力: Trend Micro Research(小林 恵子)、サイバーセキュリティ・イノベーション研究所スレット・インテリジェンス・センター