マルウェア
攻撃再開から1か月、EMOTETの新たな変化は?
2023年3月7日、攻撃メール送信を再開したEMOTET。前回2022年11月の攻撃メール再開時には10日間経過後にまた休止状態に入りましたが、今回は10日以上活動を継続しています。EMOTETは攻撃手法を変化させていくことでも注目されていますが、新たな活動変化はあったのでしょうか?
その活発な活動で「最恐ウイルス」などとも呼ばれてきた「EMOTET」ですが、2022年下半期の活動休止状態から、日本時間の2023年3月7日夜、攻撃メールの再開を確認しました。前回2022年11月の攻撃再開時には10日間経過後に再び活動休止状態に戻っており、今回の活動再開も一時的なものか継続的なものであるかが注目されています。
活動再開3週間での攻撃メール送信状況: 1か月経過を待たずにまた休止の兆候
以下のグラフはトレンドマイクロのメールハニーポット上で観測したEMOTETの攻撃メール送信試行件数の推移を1時間単位でまとめたものです。期間は送信再開の3月7日から3週間経過後の3月29日で集計しており、メール送信が観測できた時間帯の送信件数は、1時間あたり最大で約8000件、平均で約2000件となっています。この件数はあくまでも特定のハニーポット上で観測できたメール送信の集計であり、EMOTETのボットネット全体の活動規模を表すものではないことに留意してください。
EMOTETの攻撃メール送信活動は以前から、「平日」にのみ行われ、日本時間の金曜午後あたりから翌週の火曜か水曜までの「週末」には休止するサイクルを見せてきました。このグラフではその活動サイクルが読み取れます。日本時間7日火曜の夜21時から再開した今回の攻撃メール送信は、10日金曜22時にいったん「週末休み」に入りました。第2週は、14日火曜19時から18日土曜の朝9時、第3週は22日水曜の朝5時から24日金曜の朝9時と、以前と同様の「営業日」サイクルを見せています。
ただし、24日金曜日から週末の休止に入って以来、3月最終週(3月27日の週)には攻撃メール送信が確認できませんでした。(※:本記事公開直前の、4月6日0時時点でもメール送信を観測しておらず、休止が継続しています)。本稿執筆の4月1日時点では、このまままた活動休止に入る可能性も考えられるところです。実際、現在活動しているEMOTETボットネット2系統のうち、Epoch5(E5)と呼ばれる系統に関しては3月18日から活動が観測されていません。このためか、活動再開3週目のメール送信試行は全体的な減少が見られています。
攻撃メール活動の地域的傾向
この活動再開後の3週間で観測した攻撃メールについて、地域的傾向を見てみます。以下の円グラフは、3月7日から29日までの3週間に観測できたメール送信約36万件における送信元IPアドレスの国別割合です。100か国以上が送信元となっており、特に大きく偏った傾向はありませんでした。日本国内のIPアドレスは全体の10%を占めており、ユニークIPとしては600件以上が確認できました。
また送信先、つまり攻撃メール受信者のメールアドレスのトップレベルドメイン(TLD)別割合では、「.com」が全体の約3割を、日本を表す「.jp」は約1割を占めました。「.com」など他の TLD でも日本国内で使用するメールアドレスがあることを考え合わせると、日本への攻撃メール送信は他の地域と比べても有意に多いと考えられます。
この送信先アドレスの TLD が「.jp」のものについて、送信された時間帯を日本時間で整理したところ、8時台~18時台の一般的な「営業時間帯」を狙って送信している状況が見て取れました。
同様の傾向が他国でも見られるかを検証するため、 TLD 別の割合が3位の「it」(イタリア)についても現地時間で同様の整理を行いました。すると、8時台~17時台に送信が集中しており、ほぼ「jp」の場合と同様の傾向が確認できました。
これらの統計結果からは、EMOTETの背後のサイバー犯罪者は攻撃対象国の利用者が一般的に生活している時間帯を狙い、攻撃メール送信を行っていることが類推できます。
再開から3週間での攻撃手法変化:OneNoteファイルの悪用を確認
活動再開後も攻撃メールの内容に大きな変化はなく、以前同様の「返信型」が主になっています。ただし、ダウンローダである添付ファイルに関しては変化が見られています。
3月7日の活動再開直後は、パスワードがかけられていないZIP圧縮ファイル内に、解凍後にファイルサイズが500MBを越える大きなWord文書ファイルが使われました。その後すぐ、3月9日には、前回2022年の11月の活動再開時にも見られた、Officeの「信頼できる場所」の設定を悪用するタイプの文書テンプレートも確認できました。これは昨年からOfficeの最新バージョンで行われている、インターネットから入手した文書ファイルに対するマクロ無効の対策を回避するために利用者を騙そうとする手口です。
そして3月16日には、Microsoft OneNoteファイル(.one)を圧縮ファイルではなく、直接添付するパターンを確認しました。これはファイルを開いた際に、OneNoteからのメッセージを偽装した画像表示をダブルクリックさせることにより、その裏に埋め込まれたスクリプトファイルを実行させようとする手口です。既に2022年末からQAKBOTなど他のマルウェアを拡散するマルウェアスパムで確認済みの手法ですが、EMOTETの攻撃メールでは今回初めて確認されたものです。
攻撃メールにおける添付ファイルの傾向: OneNoteファイルへのシフトが鮮明に
このような攻撃手法の変化を踏まえ、活動再開後3週間で観測した攻撃メールの添付ファイルの傾向を見てみます。以下の円グラフは、3月7日から29日までの3週間に観測できたメール送信約36万件における添付ファイルの種別割合です。再開当初から使用された「.zip」が6割を占めました。
ただし、OneNoteファイルの悪用を観測した3月16日以降に期間を絞ると「.one」が8割を占めており、攻撃手法がOneNoteファイルにシフトしている状況が見て取れます。
このような攻撃手法変化の背景には、不正マクロを含むWord文書による攻撃が攻撃者にとって思うような「成果」をあげられていないことがあるものと推測されます。これは同時に、昨年に行われたOfficeでのマクロ無効化の仕様変更が、不正マクロ対策として大きな効果を上げていることも示しています。
また24日以降攻撃メール送信が観測されていないことも考え合わせると、OneNoteファイルによる攻撃も、攻撃者にとっての大きな成果につながっていない可能性もあります。マイクロソフトは既にOneNoteファイルの悪用に対しても仕様変更のロードマップを公表しています。メールでのマルウェア拡散を目論むサイバー犯罪者にとっては、このような対策に対抗した新たな手口を編み出すことができるかどうかが今後の動向を左右することになるでしょう。
被害に遭わないためには
EMOTETが駆使するスパムメール経由の感染を阻止するため、ユーザはメールの添付ファイルや本文内のURLからダウンロードされるファイルに細心の注意を払う必要があります。このようなメールは、多くの場合、受信者がリンクをクリックしたり、マルウェアを含む添付ファイルをオープンしたりするように設計されたソーシャルエンジニアリングの手法と組み合わされています。
EMOTETを始め、最近の攻撃メールでは不正マクロを含むOffice文書ファイルがダウンローダとして悪用されてきました。これに対し、最新バージョンのMicrosoft Officeアプリケーションでは、インターネットから入手したファイルでは文書内のマクロは無効となります。被害に遭わないためには、可能な限り最新バージョンのOfficeを使用することを推奨します。
最新バージョン以外の場合にも、マクロが無効になっていることを確認し、ファイルオープン時にマクロ有効化のプロンプトが表示されても有効にしないことが重要です。
さらにスパムフィルターを使用することで、疑わしいメールや不要なメールが受信トレイに届く前に自動的にフィルタリングすることができます。これらの注意事項を守ることで、個人ユーザも企業もスパムメールに感染するリスクを大幅に軽減することができます。
トレンドマイクロの対策
トレンドマイクロ製品では、「ファイルレピュテーション(FRS)」技術により、EMOTETの本体を「TrojanSpy.Win32.EMOTET」、ダウンローダである不正マクロを含むOffice文書ファイルを「Possible_OLEMAL」、「Trojan.W97M.EMOTET」などとして順次検出対応しています。従来型技術での検出を免れるために継続して登場する新たな亜種に対しても、機械学習型検索や振る舞い検知、サンドボックスなどの多層の対策技術により防護します。また、「Web レピュテーション(WRS)」技術によりC&Cサーバなど関連する不正サイトのブロックに、「E-Mail レピュテーション(ERS)」技術によりマルウェアスパムなど不正メールのブロックに対応しています。
その他、EMOTETの概要と対策方法についてはEMOTET特設ページにまとめていますので参照ください。特にEMOTETメールを開いてしまった場合の対応についてはサポートFAQを参照してください。
※調査協力:サイバーセキュリティ・イノベーション研究所スレット・インテリジェンス・センター