GMOサイバーセキュリティ byイエラエ株式会社

セキュリティブログ

猛威を振るうマルウェアEmotetについて
フォレンジック

猛威を振るうマルウェアEmotetについて

更新日:2022.03.08

こんにちは。イエラエセキュリティ ディフェンシブセキュリティ部の高橋です。 マルウェア「Emotet」が活動を再開して以来、過去に無いレベルで感染報告が上がっています。弊社フォレンジック調査窓口でも非常に数多くの相談が寄せられています。 Emotetの感染被害を受けてしまうと、次は自身が加害者になってしまうというとても凶悪な特徴を持っています。そんなEmotetについて、弊社へフォレンジック調査をご依頼いただく前に読むことで、少しでも状況の切り分けになるようにブログにまとめてみたいと思います。 自組織ではEmotetに感染しているのだろうか?といった場合や、実際にEmotet付きメールが届いた場合など、事故調査の観点でまとめています。

はじめに

まずはJPCERT/CCから公開されている「マルウェアEmotetへの対応FAQ」をご確認ください。
https://blogs.jpcert.or.jp/ja/2019/12/emotetfaq.html

3/3付けで更新が行われており、2月後半から感染爆発しているEmotetの特徴や実際に届くメール文面の例などがまとめられています。
https://www.jpcert.or.jp/at/2022/at220006.html

Emotetとは

Emotet(エモテット)とはマルウェアの名称です。メールに添付されたマクロ付きOfficeドキュメントファイルが原因で感染します。感染フローは以下の通りです。

  1. マクロ付きExcel (もしくはWordドキュメント)が添付されたメールを受信する
  2. 該当メールを開き、添付ファイルを実行し、「マクロの有効化」を押下する(デフォルトでマクロが有効化される設定の場合、有効化ボタンは表示されず、3の状態になります)
  3. Excelマクロの実行により複数のURLへアクセスが発生する
  4. それぞれのURLからEmotet本体がダウンロード試行され感染する
  5. 感染すると、端末に保管されているメールアドレスのID/パスワードが奪取されメールアカウントを乗っ取られる
  6. 乗っ取られたメールアカウントの連絡先リストやメールボックスの過去のメールの返信で、マクロ付きExcelファイルを添付したメールが大量に送信される

Emotetに感染しているかも?というときに確認する項目

  • マクロ付きExcelファイルを添付したメールを受信している
  • マクロを有効化してしまったという従業員からの報告がある
  • 自社メールアドレスから大量のメール送信履歴が発見された
  • 従業員からエラーメール (バウンスメール)を受信したと報告を受けた
  • 取引先などから「御社のなりすましのようなメールが届いた」と通報を受け取る
  • プロキシログなどでEmotet通信先URLへのアクセスが確認された

※Emotetの通信先はURLhausなど をご覧ください。掲載URLのフルパスでマッチングが確認された場合は高確率で感染しています。(URLhausに登録が無い場合もあるため、メールログなども併せて確認してください。)
https://urlhaus.abuse.ch/browse/tag/emotet/
※またFeodo Trackerでは、EmotetのC2サーバ(マルウェアに対して命令を送るサーバ)のIPアドレスのリストも公開されています。記載のIPアドレスをブロックリストに追加することで被害拡大を防ぐことが期待できます。
https://feodotracker.abuse.ch/

感染したときに取るべき行動

  • JPCERT/CCから公開されているEmoCheckを実行する
    https://github.com/JPCERTCC/EmoCheck/releases
  • 該当端末にて使用していたメールアドレスの凍結、またはパスワード変更やMFAの有効化
  • 自社HPなどにEmotet感染のお知らせの掲載を行い広く周知する

自組織では感染していないが、Emotetメールを受信している場合

  • 被害に気づいていない可能性があるため、メール送信者の組織へご連絡ください(くれぐれもEmotet付メールには返信しないようご注意ください)
  • メールフィルタルールの見直しをご実施ください
  • Microsoft Excelで「マクロの有効化」を自動的に許容する設定になっていないかご確認いただき、許容する設定になってい居た場合はすぐに無効化してください

HP掲載文

  • Emotetに感染しているかどうか
  • 自社メールアドレスからメールが送信されているかどうか
    • 件数が判明しているようであれば件数もご記載ください
  • メールは開かず削除するように案内

再発防止

  • Windows Updateを実施し、最新の状態を保つ
  • アンチウィルスソフトの定義ファイルを最新にアップデートする
  • メールの監査ログの監視を行う
  • Emotetの通信先をUTMなどでブロックする(併せてログの保管期間の見直しやログの保全もご実施ください)
  • 従業員教育を行う
    • JPCERT/CCのFAQなどを参考に、メール文例やEmotetの特徴などをご周知ください
    • Emotetと疑わしいメールを受信した際に取る対応内容を今一度ご周知ください
    • 今一度、社内通報フローや連絡先などをご周知ください

その他注意点

  • メールの添付ファイルを自動的に圧縮して暗号化するソリューションを導入している組織からのメール受信の場合、アンチウィルスによるメールスキャンをすり抜けますのでご注意ください。
  • 非常に流暢な日本語でのEmotetメール送信が増加しています。より一層ご注意ください。
  • 一部検体では、Emotetに加えて侵入テストに用いられるツールがインストールされたり、Emotetを踏み台としてランサムウェアに感染したりなどの報告が上がっています。より一層ご注意ください。

フォレンジック調査を依頼いただく際は

  • 現在もメール送信が続いているのかどうか
  • 該当端末はNWから切断されているのかどうか
  • 該当メールアカウントは凍結したか
  • プロキシやDNSなどのログはあるか
  • UTMやEDRなどのセキュリティセンサーのログはあるか
  • 事態発覚から現在までに行った作業のタイムライン
  • 何を調査したいのか(感染原因、被害範囲、送信件数、等)

などを整理の上ご相談ください。

CSIRT支援サービス概要を確認する
このエントリーをはてなブックマークに追加
セキュリティ診断のことなら
お気軽にご相談ください
セキュリティ診断で発見された脆弱性と、具体的な内容・再現方法・リスク・対策方法を報告したレポートのサンプルをご覧いただけます。
お問い合わせ資料ダウンロード

関連記事

イエラエセキュリティ漫画コラム 第2話「とっても大事な保全の巻」
2021.12.20
小規模CSIRT向けWindowsイベントログで押さえておくこと
2021.08.06
IoTフォレンジック 入門 -IoTフォレンジックとは-
2021.03.22
イエラエセキュリティ漫画コラム「Emotetの巻」
2021.01.14
Mac端末のフォレンジックについて 第二回「TimeMachine挙動の解析初歩」
2020.10.15
Mac端末のフォレンジックについて 第一回「保全」
2020.06.26
経験豊富なエンジニアが
セキュリティの不安を解消します

Webサービスやアプリにおけるセキュリティ上の問題点を解消し、
収益の最大化を実現する相談役としてぜひお気軽にご連絡ください。

疑問点やお見積もり依頼はこちらから

お見積もり・お問い合わせ

セキュリティ診断サービスについてのご紹介

資料ダウンロード
RECRUIT

私たちと一緒に、
脆弱性のない世界を創っていきませんか

脆弱性診断・ペネトレーションテスト
セキュリティインシデント対応支援
セキュリティ訓練/資格取得
イエラエアカデミー
脆弱性管理/セキュリティ対策ツール
サイバー攻撃防御・分析 SOC
セキュリティコンサルティング
アプリケーション開発
用語解説