2021年1月に Europol のテイクダウンにより活動を停止していた「Emotet」。
この世界中を騒がせた Emotet が、2021年11月に活動を再開し、大幅に感染を拡大しています。
Emotet の被害は国内でも相次いでおり、日本国内の企業にとっても Emotet 対策は急務と言えます。
本記事では、非常に高い感染力と拡散力を持つ Emotet にどのように対処すれば良いのかご紹介します。
Emotet 攻撃メールの手口
Emotet の主な感染経路は、 メールの添付ファイルです。
添付された Word 形式のファイルのマクロを実行すると、Emotet がダウンロードされます。
Emotet は感染端末を踏み台に連絡先情報などを盗み出し、 広範囲への拡散を試みます。
メール本文が悪用され、 返信を装った巧妙な手口も確認されています。
Emotet に感染すると?
個人情報が悪用される
窃取されたメールアカウントや本文などが悪用され、取引先に自分の名前やメールアドレスを用いられて Emotet に感染してしまうメールが送信されます。
認証情報が窃取される
端末やブラウザに保存された認証情報が窃取されます。
二次感染の被害
Trickbot 等の不正送金マルウェアや、ランサムウェアに二次感染します。
一般的な対策
Emotet の感染を防ぐためには、OS やソフトウェア、アンチウイルスソフトを常に最新の状態に保つほか、次のような対策が有効です。
対策1:不審なメールは安易に開かない
添付ファイルそのものは Emotet をダウンロードするためのマクロが書かれているだけで、マルウェアとして検知されない可能性があります。
そのため、ユーザー側の意識が重要となります。自分が送信したメールへの返信に見えるメールでも、不自然な点があれば添付ファイルを開かない。
また、誤って開いてしまった場合も、マクロを実行しないように気をつけましょう。
対策2:Microsoft Office マクロ全般の自動実行の無効化
Microsoft Office マクロの自動実行を有効化していると、誤って添付ファイルを開いてしまった場合、自動的に Emotet がダウンロードされてしまう可能性があります。
Microsoft Office マクロの自動実行は無効化しておきましょう。
※ Microsoft Office 各アプリのセキュリティセンターのマクロの設定で、「警告を表示せずにすべてのマクロを無効にする」を選択してください。
Emotet 対策が可能な製品は?
Check Point UTM
Emotet 対応状況
Check Point UTM の Emotet 対応状況についてはこちらの記事をご確認ください。
エンドポイントセキュリティ
Emotetは感染の手口も巧妙で多岐に及ぶため、UTMだけでは防ぎきれないケースもあります。
例えば、パスワード保護が掛かったファイルはUTMで検査できないため、受信時の検査をすり抜けてしまいます。
このようなケースはUTMのみでは防ぎきることができませんが、エンドポイントセキュリティを併用することで、多層防御による対策が可能になります。
WithSecure™ Elements Collaboration Protection
■ ディープガードによる振る舞い検知で対応可能
Emotet の検知については、 Emotet オリジナルであれば、既に F-Secure の全製品で検知可能です。
更に、亜種についても、既知の Emotet 情報による検知と F-Secure Elements EPP の機能「 ディープガード」 による振る舞い検知で対応可能です。 ※
※ディープガード が Emotet を 100% 検知することを保証するものではありません。
■ メールを受信した際の処理について
メールを受信し、添付ファイルがローカルに保存されたら自動でスキャン・検知を実行します。
脅威発生時の警告メールを有効にしていると、下記のようなメールが自動送信されます。
■ メール受信後、不審なファイルのマクロを実行した場合
「侵入検知機能」で Emotet の侵入を通知、ブロック。
亜種に対しても「ディープガード」による振る舞い検知で対応します。
■ Emotet が他のマルウェアの追加ダウンロードを実行しようとした場合
F-Secure Elements EPP の「振る舞い検知」機能で怪しい暗号化の振る舞いなどを検知。
バンキングマルウェアに対しても「バンキングプロテクション」で保護します。
FFRI yarai
■ 5つの振る舞い防御エンジンでEmotetを検出
FFRIyaraiは5つの検知エンジンを搭載。検知エンジンの多層化のより、あらゆる攻撃を防御します。