2020年9月、マルウェア「Emotet」の感染が急速に広がっています。
「Emotet」と呼ばれるウイルスへの感染を狙うメールについて | IPA
マルウェア Emotet の感染拡大および新たな攻撃手法について | JPCERT/CC
Emotetはメールに添付されたファイル(主にWordドキュメント及びWordを圧縮した暗号化zipファイル)を開き、「マクロを有効にする」ボタンを押すことで感染が始まります。
それだけ聞くとフィッシングメールやマルウェア、ランサムウェア等様々な脅威があって、今更怪しいメールの添付ファイルを開く奴なんかそんなにいるの?よっぽどリテラシー低い人くらいなんじゃない?と思う人もいらっしゃるかもしれません。
また「Emotetってよく聞くけど、感染すると何が起こるの?」「ウイルス対策ソフトインストールしていれば問題ないんじゃないの?」等の疑問をお持ちの方もいらっしゃるでしょう。
そこで今回は「何故Emotetは恐ろしいのか」と銘打って、Emotetの特徴と脅威を説明していきたいと思います。
送付されてくるメールが巧妙過ぎて恐ろしい
まずEmotetの恐ろしさの一つ目はそのメールの巧妙さです。
後述するようにEmotetは感染したパソコンのメールソフト(Outlook等)からメールの送受信方法等を抜き取って、その情報を元に添付付メールを作成します。
作成されたメールには以下のような特徴があります。
- 送信元に表示される名前は実際にメールのやり取りがあった相手である。(メールアドレスは本人と違うが、表示されている名前で判断してしまいがち)
- メールタイトルは「Re:」や「Fwd:」ではじまり、以前のメールの続きを装う。
- 自分の名前が記載してあり、自分を知っている相手からのメールと思わせる。
- 最新のパターンでは添付ファイルがパスワード付きZIPファイルになっており、内部のコードを判別できずスパムメールフィルターをすり抜けてくる。(セキュリティ製品のフィルタを過信して、受信できるメールは無条件に信じてしまう)
取引先からの連絡や請求書を装った文面のものもあるし、本文には添付ファイルの複合化用パスワードだけが記載されたものもあります。
みんながみんなご丁寧に定型の挨拶文や署名を付けたメールを送っているわけではなく、特に自社の部門内で「あのファイルちょうだい」と口頭で言われた場合などタイトルも本文も無いようなメールに添付だけ付けて送る人もいます。
受け取った人によっては「らしさ」と感じられるような文面になっているところも、スパムメールであることを見分けづらくしている要因です。
一昔前の「レ〇バンのサングラスが超特価!」みたいなフィッシングメールと「過去にメールのやりとりのある相手から送られてくるビジネスメール」とでは受信した人がスパムメールと気付かない確率は後者が圧倒的に高いでしょう。
メール添付という古典的な手法を媒介にしながら、ビジネスにおける人間の行動を巧みに利用した巧妙な手口によってスパムメールと気付かず開封してしまう可能性が高くなっている点が、Emotetの「恐ろしい」ところなのです。
ウイルス対策ソフトで検知されにくくて恐ろしい
いくら巧妙なメールで添付ファイルを開かせたとしても、ウイルス対策ソフトに検知されてしまえば感染することはできません。Emotetの恐ろしいところはウイルス対策ソフトに検知されにくいところにあります。
感染に使用されるのはOfficeのマクロやWindowsPowerShell
メール添付のWordファイルのマクロを有効にするとEmotetは動き始めます。
とはいえWordのマクロがいきなり情報を抜き取るわけではありません。
マクロはWindowsの標準機能であるコマンドプロンプトを起動してコマンドを渡します。
コマンドを受け取ったコマンドプロンプトはさらにWindowsPowerShellを起動して、こいつがURLを生成してインターネットからEmotetのプログラム本体をパソコンにダウンロードします。
マクロやコマンドプロンプト、WindowsPowerShell自体はパソコンに備わっている機能であり、プロセスそのものに危険性があるわけではありません。しかも最初のマクロを起動したのは添付ファイルを開封した利用者本人であり、一連のプロセスは利用者によって実行されたものと判断されてしまいます。
これまでのマルウェアは外から侵入したソフト自身が危険な挙動を行うため、「お前見かけない顔だな、怪しい奴め」となってウイルス対策ソフトに捕まるのですが、マクロやPowerShellが動いていても元々パソコンの中にある普通のプログラムなのでいきなり「怪しい奴め」とはなりません。まして利用者の意思で実行が開始されたプログラムですから、ウイルス対策ソフトとしても「利用者自身が何か目的があってマクロやPowerShellを使っているんだな」となってしまいます。
これによってEmotetの感染はウイルス対策ソフトで検知しにくくなっているのです。
Emotetを検知するプログラムが動作していないか確認する
ダウンロードされたEmotetのプログラムはC&Cサーバ(ウイルスに指示を出すサーバ。「C&C」はCommand and Control(コマンド&コントロール)。)と通信をはじめます。
何を通信しているかというと、感染したパソコン上で動いているプロセスの一覧をC&Cサーバに送っているのです。情報を受け取ったC&CサーバはEmotetを検知するプログラムがパソコン上で動作しているかどうかを確認し、検知プログラムが無ければ次の挙動に動きます。
こうした判断をパソコン側にあるEmotetプログラムで行わずC&Cサーバ上で行わせることで、パソコン側のEmotetプログラムは「プロセス一覧を取得して送信するだけ」という挙動になり、これもウイルス対策ソフトで危険なプロセスと判断することを困難にさせます。さらに対策ツールが入っていないことまで念入りにチェックした上で攻撃を開始するので、家人の留守を確認し終わった空き巣のようなものです。
しかもこの確認作業は後述のEmotetが持つ役割に非常に重要な意味を持ちます。
自分自身で最新プログラムにアップデートする
家人の留守は確認しましたが、もしかしたら家に帰ってくるかもしれない=後追いでEmotetを検知できるウイルス対策ソフトの最新パターンファイルが適用されるかもしれません。
そのためEmotetはC&Cサーバと通信して、最新バージョンのEmotetに自分自身でアップデートしていきます。マルウェアとパターンファイルはただでさえイタチごっこなのに、自己アップデートで最新化を繰り返されてはいつまでたっても追い付けません。
実行文を記載したファイルが無い
ここまで用意周到に手筈を整えました。いよいよパソコン内の情報の取得を行い始めます。しかしこの動作にも対策ソフトが感知しにくい仕組みが組み込まれています。
通常のマルウェアは自分自身にコーディングされたプログラムによって自身がどういう動作をするか決められています。コードが直接読めない形式になっていても、バイナリ形式で比較する等により危険な挙動パターンが含まれるプログラムであるかどうか判別できる場合があります。
しかしEmotetの実行文は本体には無く、別途ファイルがダウンロードされるわけでもありません。Emotetは不正な処理を行うコードを含む部品をダウンロードして、ファイルとして保存はせずにメモリ上に展開します。そのため対策ソフトがファイルスキャンを行っても物理的なファイルが無いので検知できませんし、不正処理を完了した部品はメモリ上から消去してしまえば痕跡はほぼ残りません。
正規プロセスになりすます
さらに巧妙なのは実際に実行されるプロセスです。プロセスとはプログラムなどを起動してCPU上で実行される処理です。プロセス名はそれを実行するプログラム名となります。例えばWindowsのメモ帳であれば「notepad.exe」というプログラムが実行され、「notepad.exe」というプロセスが実行されます。
「notepad.exe」というプロセスが実行されているのであれば処理されているのはメモ帳である、というのが当然と考えられますが、Emotetはこの「当然」を逆手にとります。実行されるプロセスはWindows標準のプログラム(をコピーしたもの)なのですが、実行される処理だけ書き換えるという「プロセスハロウイング」という方法で処理を実行します。
実行されたプロセス名もそれを起動したexeファイルも正規のプロセスなので、そのファイルをいくら調べても不正な実行文は見つかりません。しかも処理を実行後にはご丁寧に実行ファイルを削除しており、「標準プログラムをコピーして正規プロセスに偽装した」という形跡すら残さないという徹底ぶりです。
メールの送受信履歴を利用して感染を拡大させるので恐ろしい
感染したEmotetはパソコン本体に格納されているデータやブラウザに保存されているログイン情報等を奪っていきます。これはEmotetに限らず様々なマルウェアが行っています(だから大丈夫というわけではないのですが)。
Emotetの特徴と言える動きとして、メールソフト「Outlook」からメールの送受信情報を窃取することです。メールソフトは送受信を行ったメールをファイルとしてパソコンのローカルドライブ内に保存しています。Emotetはそのファイルから送受信を行ったメールのメールアドレスと表示名(山田太郎<yamadataro@sample.com>の場合「山田太郎」が表示名で「yamadataro@sample.com」がメールアドレス)を取得します。その中にはメールのやり取りをしている相手の情報もあれば、自分自身の情報もあります。
Emotetはこうして窃取したメール情報を利用して、さらにスパムメールを送ります。冒頭の「送付されてくるメールが巧妙」という中で記載したような「実際にメールのやり取りがあった相手から自分の名前が記載してあるメール」はこうして作り出されているのです。
Emotetの特徴ともいえるこの性質を元に、「Outlookを使っていないから大丈夫」とは一概には言えません。現在確認されているのがOutlookを対象としたものであるだけで、ThunderbirdやSylpheedを対象とした新型が発生しないという保証はどこにもありません。
それにOutlookからメール情報が窃取されなければ問題ないかと言えば、それ以外の情報の窃取を防げるわけではありません。
Webメールを使用する等で被害の度合を多少軽減することはできるかもしれませんが、あくまで「軽減」であり100%の対策ではない点はお気をつけください。
他のマルウェアをさらに感染させるので恐ろしい
Emotetの機能として「Emotetを検知するプログラムが動作していないか確認する」というものがありますが、確認しているのは「Emotetを検知するプログラム」だけではありません。ここまで述べたようにEmotetはウイルス対策ソフトに非常に検知されにくく、さらにC&Cサーバと通信して最新モジュールや実行文を受け取ることができます。
これがどういうことかというと、「Emotetが偵察を行って、問題なければ他のマルウェアをダウンロードする」ことが可能になるのです。
これだけ手の込んだEmotetの真の目的は単に情報窃取ではなく、他のマルウェアの感染・拡散を支援するプラットフォームとして販売したり運用サービスを提供するというビジネスにあります。マルウェア側としては検知されない環境に確実に感染することができ、ウイルスとして検知されないため対策されたパターンファイルの展開も遅れさせることができるメリットがあります。
まるで正規のビジネスのような仕組みが構築されており、その根幹となる「サービス」がEmotetなのです。
ビジネスメールが標的なので(情シスにとって)恐ろしい
EmotetがOutlookを標的にした理由は、恐らく「ビジネスユースで最も使われている可能性の高いメールソフトだから」だと思われます。またスパムメールの文面に「請求書」や「協力会社へのお知らせ」等が確認されていることからも明らかにビジネスメールを意識したものです。
ビジネスメールの流通量は個人利用のメール件数と比べても圧倒的に多いです。ビジネスチャットやWebミーティング等コミュニケーションツールの多様化が進んできていますが、未だビジネスコミュニケーションの中心はメールであると言えます。
多数のメールにスパムメールを紛れ込ませることで添付ファイルが開封される確率は上がりますし、企業が保持している情報を窃取するほうが個人の情報を窃取するよりも攻撃者にとって大きな利益を得られます。
スパムメールを判別しづらく、ウイルス対策ソフトで感知しにくく、社内や取引先に感染を拡大させる機能を有している上に、標的は「企業」。しかも感染が発生してメール情報が窃取された場合、社内だけではなく取引先にまでスパムメールが送付されてしまい、対外的な対応まで求められる可能性があり、情シスにとってこれ以上厄介な相手はいないと言えます。
Emotetの脅威から逃れる術は無いのか
これだけ書くと「そんなマルウェアどうやって対処しろというんだ」となってしまいます。メール添付で拡散するという古典的な手法でありながら、ベンダーの人さえも「あのメールで『開けるな』は無理。開けた人を責めても対策にならない」と言うような代物です。
かといって対策側も手をこまねいてもいられません。今すぐに対策できる方法はないか、有償ソフトで対策するにしてもどのような対策方法が適しているのか、色々調べて見ました。
もちろん「これだけやっておけば絶対に大丈夫!」というものでもありません。マルウェアは日々進化していっています。それでも実施できる対策を怠れば最新でないマルウェアにも対抗することができません。次回は行っておくべきEmotetへの対策についてお話していきたいと思います。
この記事が気に入ったら
いいね!をお願いします
