Check Point社が2022年1月のマルウェアランキングを発表しました。
1月 マルウェアトップ10
| 順位 | 前月比 | マルウェア | 解説 |
|---|---|---|---|
| 1 | ↑ |
Emotet | トロイの木馬。情報窃取の他、マルウェアの追加ダウンロードなどを行う。 |
| 2 | ↓ |
Trickbot | バンキング型トロイの木馬。多目的トロイの木馬の一種で、多様な攻撃を可能とする。 |
| 3 | ↓ |
Formbook | 情報窃取マルウェア。ウェブブラウザなどから情報を窃取する。 |
| 4 | → | Agent Tesla | 遠隔操作マルウェア。モニターを遠隔で監視し、パスワードなどを窃取する。 |
| 5 | ↑ |
XMRig | クリプトマイナー。オープンソースのソフトウェアで、CPUを利用してマイニングを行う。 |
| 6 | ↓ |
Glupteba | トロイの木馬。情報窃取の他、感染マシンで仮想通貨のマイニングを行う。 |
| 7 | ↓ |
Remcos | バンキング型トロイの木馬。多目的トロイの木馬の一種で、多様な攻撃を可能とする。 |
| 8 | → | Ramnit | トロイの木馬。銀行口座の認証情報やFTPパスワードなどの情報を窃取する。 |
| 9 | ↑ |
Phorpiex | ボットネット。スパムメール経由で他のマルウェアを拡散する。 |
| 10 | ↑ |
Lokibot | 情報窃取マルウェア。主にフィッシングメールによって拡散し、機密情報を窃取する。 |
トロイの木馬「Emotet」がトップに返り咲き
2021年11月に活動を再開した Emotet。その検知回避能力の高さと拡散力から、僅か2ヵ月半でトップにランクインしました。
Emotet は検知回避能力が高く手口も巧妙なことから、活動再開から急速に感染を広めることは驚くことではなかったとCheck Point 社は述べています。さらに、Emotet の活動は短期間で終わらないと予想しています。
日本国内でも相次ぐ被害
Emotet の被害は国内でも相次いでいます。ライオン、積水ハウスなどの国内企業が、従業員のPCがEmotetに感染し、従業員を装ったなりすましメールが複数送信されているとして謝罪し、注意を呼びかけました。
弊社を装った不審メールに関するお詫びとお知らせ|ライオン株式会社
弊社グループ従業員を装った不審メールに関するお詫びとお知らせ|積水ハウス株式会社
日本国内の企業にとっても Emotet 対策は急務と言えるでしょう。
現在報告されているケースでは、感染を防ぐための一般的な対策は次の2点です。
- 不審なメールは安易に開かない
- Word の設定を確認し、マクロが自動実行されないようにする
上記に加え、Check Point UTM の対応状況について、注意点も含めて詳しくお伝えします。
Check Point UTM の Emotet 対応状況
Anti-Virus・Anti-Bot 等が Emotet に対応
Check Point UTM の Anti-Virus と Anti-Bot は Emotet に対応しており、これらのセキュリティ機能が動作する通信に対しては Emotet の検知、防御が可能です。更に、Emotet の亜種についても検知、防御が可能です。
Check Point 社の脅威データベース ThreatWiki で実際に「Emotet」と検索してみると、約37万件の関連項目がヒットします(記事執筆時点)が、これらは最新のシグネチャの適用された Anti-Virus または Anti-Bot で検知、防御が可能です。
Check Point ThreatWiki で Emotet を検索した結果(2022年2月14日時点)
しかし、絶えず発生する亜種に対し、シグネチャの更新はどうしてもそれを追いかける格好になります。未登録の亜種が検知をすり抜ける可能性は、常に考慮する必要があります。
また、Anti-Virus、Anti-Bot 以外の機能も Emotet 対策に有効です。Emotet に関する報告では、Emotet に感染させる際や追加で別のマルウェアに感染させる際に外部サーバーと通信することが判明しています。URL Filtering はこうした通信のドメイン情報を検査し、不審な接続先であればその通信を自動的に遮断します。
メールを受信した際の処理について
Check Point UTM では、受信メールに対してAnti-Virus による添付ファイルの検査の他、Anti-Spam によるスパムメール判定を実施しています。
しかし、暗号化通信については検査対象とならない他、JPCERT/CC の報告事例にあるようなメールについては、通常のメールとして受信する可能性もあるため注意が必要です。
JPCERT/CC の報告するところによると、Emotet の主な感染経路は次の通りです。
2021年11月後半より観測されているEmotetは、主にマクロ付きのExcelやWordファイル、あるいはこれらをパスワード付きZipファイルとしてメールに添付する形式で配信されており、ファイルを開封後にマクロを有効化する操作を実行することでEmotetの感染に繋がります。このような手法の他にも、メール本文中のリンクをクリックすることで悪性なExcelやWordファイルがダウンロードされたり、アプリケーションのインストールを装いEmotet感染を狙うケースも観測しています。
メールの本文には添付ファイルの開封を、ExcelやWordファイルにはマクロの実行を促す内容が記述されています。
一見すると業務に関係がありそうな内容で、取引先や知り合いから送付されているようにみえる添付ファイルであっても、Emotetの感染につながるメールや添付ファイルである可能性があるため、信頼できるものと判断できない限りは添付ファイルやリンクは開かず、確実な手段で送信元へ確認するといった対応を行うようご注意ください。
マルウェアEmotetの感染再拡大に関する注意喚起 – JPCERT/CC
報告されているケースの場合、普段から利用しているメールアドレスで、正規のやり取りへの返信を装ってメールが送られてくる、と言うことになります。
こうしたケースは一般的なスパムメールとは様々な点で異なるため、スパムとは判定されない可能性があります。また、先に引用した報告では「ファイルを開封後にマクロを有効化する操作を実行することでEmotetの感染に繋がります」ともあります。このような、添付ファイルそのものがマルウェア本体では無いケースでは、Anti-Virus の除去対象とならない可能性もあります。
メール受信後、不審なファイルのマクロを実行した場合
前提として、不審なファイルのマクロは実行しないことがベストな対策です。
しかし、万一マクロを実行したことによる外部との通信、つまり Emotet 本体のダウンロードを行う通信は、Anti-Virus ・ Anti-Bot ・URL Filtering 等による検知、防御対象となります。
内部感染について
UTM は、主に入口対策、出口対策を行うための機器です。
Check Point UTM は内部通信に対する検査を行っていないため、もし既に社内に感染端末が存在していた場合、内部感染を防ぐことはできません。
内部感染の防止は、エンドポイントセキュリティ製品など、異なるセキュリティ製品で対策を行ってください。
参照元
January 2022’s Most Wanted Malware: Lokibot Returns to the Index and Emotet Regains Top Spot