キヤノンMJ/サイバーセキュリティ情報局
マルウェア「Emotet」が10ヵ月ぶりに活動再開、「2021年11月マルウェアレポート」
本記事はキヤノンマーケティングジャパンが提供する「サイバーセキュリティ情報局」に掲載された「2021年11月 マルウェアレポート 」を再編集したものです。
2021年11月(11月1日~11月30日)に ESET 製品が国内で検出したマルウェアの検出数の推移は、以下のとおりです。
国内マルウェア検出数*1の推移(2021年6月の全検出数を100%として比較)
*1:検出数にはPUA(Potentially Unwanted/Unsafe Application; 必ずしも悪意があるとは限らないが、コンピューターのパフォーマンスに悪影響を及ぼす可能性があるアプリケーション)を含めています
2021年11月の国内マルウェア検出数は、2021年10月と比較して微減しました。検出されたマルウェアの内訳は以下のとおりです。
国内マルウェア検出数*2上位(2021年11月)
| 順位 | マルウェア | 割合 | 種別 |
| 1 | JS/Adware.Agent | 22.1% | アドウェア |
| 2 | HTML/Phishing.Agent | 12.5% | メールに添付された不正なHTMLファイル |
| 3 | JS/Adware.Sculinst | 8.3% | アドウェア |
| 4 | JS/Adware.TerraClicks | 4.2% | アドウェア |
| 5 | JS/Adware.Subprop | 3.5% | アドウェア |
| 6 | HTML/FakeAlert | 2.4% | 偽の警告文を表示させるHTMLファイル |
| 7 | JS/Adware.PopAds | 1.5% | アドウェア |
| 8 | HTML/ScrInject | 1.3% | HTMLに埋め込まれた不正スクリプト |
| 9 | Win32/Exploit.CVE-2017- 11882 | 1.1% | 脆弱性を悪用するマルウェア |
| 10 | JS/Redirector | 0.9% | 別のページに遷移させるスクリプト |
*2 本表には PUA を含めていません。
11月に国内で最も多く検出されたマルウェアは、JS/Adware.Agentでした。
JS/Adware.Agentは、悪意のある広告を表示させるアドウェアの汎用検出名です。ウェブサイト閲覧時に実 行されます。
11月は、欧州刑事警察機構(Europol)によってテイクダウンが報告されたマルウェア「Emotet」について、およそ10ヵ月ぶりに活動再開が確認されました。ESET製品では活動再開したEmotetおよびそのダウンローダーを、「Win32/Emotet」、「DOC/TrojanDownloader.Agent」などの検出名で検出します。これらの検出数は 11月半ば頃から増加しており、Emotet再開の影響を窺うことができます。
活動再開後の Emotet およびそのダウンローダーに対する、ESET 製品による検出名の例
| 検出対象 | ESET 検出名 |
| Emotet | <Emotet> ・Win32/Emotet <汎用検出名> ・Win32/GenKryptik ・Win32/Kryptik ・Win64/Kryptik 他 |
| Emotet ダウンローダー | <ダウンローダー> ・DOC/TrojanDownloader.Agent ・VBA/TrojanDownloader.Agent ・VBA/TrojanDropper.Agent <汎用検出名> ・GenScript ・Generik 他 |
11月に活動再開した Emotet およびそのダウンローダーに関連する検出数の推移
(検出数が最も多い11月26日を100%として表示)
Emotetの感染経路としては、以下の4つのパターンが確認されています。
(1) 電子メールに添付されたダウンローダー(不正なVBAマクロを含むMicrosoft Officeファイル)を実行することによって感染
(2) 電子メールに記載されたURLリンク(Adobe PDFファイルのダウンロードを促すウェブサイト)にアクセスし、そのウェブサイト上からEmotetをダウンロードしてしまうことで感染
(3) 既にEmotetに感染した別の端末から横展開されて感染
(4) マルウェア「Trickbot」によってダウンロードされることで感染
このうち活動再開後から出回っているダウンローダーについて、サイバーセキュリティラボではWordファイルやExcelファイル、これらを内包したパスワード付きZIP圧縮ファイルという3つの形式を確認しています。
これまでに確認されているEmotetの感染経路
11月から出回っているEmotetダウンローダーの例
ダウンローダーの実行から Emotet 感染までの挙動については、テイクダウン前の検体と比較して大きな変化はありません。まずダウンローダーであるMicrosoft Officeファイルの「コンテンツの有効化」を行なうと、不正なVBAマクロが実行されます。続いて PowerShell にコマンドが渡され、複数の通信先に対して順に接続を行います。
通信が成功するとDLLファイル形式の Emotet がダウンロードされます。最後にrundll32.exeを使用してEmotetが実行されます。
今回確認した挙動では、ダウンローダーが実行されるとEmotetをダウンロードし、「%ProgramData%\」配下に配置します。ダウンロードされたEmotetはrundll32.exeを使用して自身を4回起動*3し、最終的にC&Cサーバーに対して通信を行ないます。
rundll32.exeに関して、1回目はランダムな文字列、2回目はEmotet本体のエクスポート関数として定義されている「Control_RunDLL」という文字列を引数*3にして Emotet を実行します。2回目の実行によって、Emotetは「%ProgramData%\」配下から「%LocalAppData%\(ランダムな文字列)\」配下にファイルロケーションが変わります。そして 2回目は1回目と同様にランダムな文字列、4回目は2回目と同様に「Control_RunDLL」という文字列を引数*3 にしてEmotetを実行します。
テイクダウン前のEmotetは、C&Cサーバーへの通信時にHTTPプロトコルを使用していました。しかし活動再開後のEmotetでは、HTTPSプロトコルが使用されていることを確認しています。
*3 Emotet の起動回数やrundll32.exeの引数は、実行環境によって異なる可能性があります。
不正なマクロが実行されてからC&Cサーバーに通信するまでの挙動
C&Cサーバーに対してHTTPSプロトコルで通信を試みている様子
テイクダウン前のEmotetはEpoch1、Epoch2、Epoch3と呼ばれる3つのボットネットを形成することで猛威を奮っていましたが、Europolを含む世界各国の機関によってこれらのボットネットが無害化されたため、Emotetによる脅威は収束したと考えられていました。しかし、Trickbot経由でEmotetに感染する動きが11月に報告されたことで、活動再開が認知されるようになりました。同時に Epoch4やEpoch5と呼ばれる新たなボットネットが形成され、Emotetに感染した端末からマルスパムが配信されるようになったと推測されます。今後はEmotet 感染端末が増加し、大規模な攻撃キャンペーンが展開される可能性も考えられるため注意が必要です。
ご紹介したとおり、Emotetの活動再開が確認されましたが、感染対策としては2021年1月のテイクダウン前のEmotetと同様です。不審な電子メールを受信した場合、添付ファイルを開かないことやURLリンクにアクセスしないことが重要です。またダウンローダーであるMicrosoft Officeファイルを開いてしまった場合でも、コンテンツを有効化しないよう注意してください。
■常日頃からリスク軽減するための対策について
各記事でご案内しているようなリスク軽減の対策をご案内いたします。
下記の対策を実施してください。
1. セキュリティ製品の適切な利用
1-1. ESET製品の検出エンジン(ウイルス定義データベース)をアップデートする
ESET製品では、次々と発生する新たなマルウェアなどに対して逐次対応しています。最新の脅威に対応できるよう、検出エンジン(ウイルス定義データベース)を最新の状態にアップデートしてください。
1-2. 複数の層で守る
ひとつの対策に頼りすぎることなく、エンドポイントやゲートウェイなど複数の層で守ることが重要です。
2. 脆弱性への対応
2-1. セキュリティパッチを適用する
マルウェアの多くは、OSに含まれる「脆弱性」を利用してコンピューターに感染します。「Windows Update」などのOSのアップデートを行なってください。また、マルウェアの多くが狙う「脆弱性」は、Office製品、Adobe Readerなどのアプリケーションにも含まれています。各種アプリケーションのアップデートを行なってください。
2-2. 脆弱性診断を活用する
より強固なセキュリティを実現するためにも、脆弱性診断製品やサービスを活用していきましょう。
3. セキュリティ教育と体制構築
3-1. 脅威が存在することを知る
「セキュリティ上の最大のリスクは“人”だ」とも言われています。知らないことに対して備えることができる人は多くありませんが、知っていることには多くの人が「危険だ」と気づくことができます。
3-2. インシデント発生時の対応を明確化する
インシデント発生時の対応を明確化しておくことも、有効な対策です。何から対処すればいいのか、何を優先して守るのか、インシデント発生時の対応を明確にすることで、万が一の事態が発生した時にも、慌てずに対処することができます。
4. 情報収集と情報共有
4-1. 情報収集
最新の脅威に対抗するためには、日々の情報収集が欠かせません。弊社を始め、各企業・団体から発信されるセキュリティに関する情報に目を向けましょう。
4-2. 情報共有
同じ業種・業界の企業は、同じ攻撃者グループに狙われる可能性が高いと考えられます。同じ攻撃者グループの場合、同じマルウェアや戦略が使われる可能性が高いと考えられます。分野ごとの ISAC(Information Sharing and Analysis Center)における情報共有は特に効果的です。
この記事の編集者は以下の記事もオススメしています
-
デジタル
2020年9月のマルウェアレポート、Emotetのばらまきメールに注意 -
デジタル
マルウェア「Emotet」はいかにしてケベック州司法省を攻撃したのか -
デジタル
最近猛威を振るっているマルウェア「エモテット(Emotet)」からシステムを守る方法 -
デジタル
スマホのマルウェア感染を疑おう、対策はどうしたらいいのか -
デジタル
コロナ禍を受けて経営スタイルや働き方が変化、日本を狙うサイバー攻撃にはどう対応すればよいのか -
デジタル
Emotetへの感染を狙ったメールも確認、「2021年12月 マルウェアレポート」 -
デジタル
拡散手法を多様化するEmotetとセキュリティを強化するマイクロソフトとの攻防