現代は企業や自治体のICT化が進み、事務処理は効率的になりました。 しかしそれと比例するように、脅威も様々な態様が生まれてきました。 ICT・セキュリティ担当者に気づかれることなく侵入して機密情報を盗み取ろうとするマルウェア「エモテット(Emotet)」もそのうちのひとつです。 この記事では、「エモテット(Emotet)」の脅威について、その概要から想定被害、予防策について解説します。
エモテットとは、2019年ごろから広く知られるようになったマルウェアの一種です。
実際のところエモテットと呼ばれるマルウェアが初めて検知されたのは2014年のことでした。
エモテットと呼ばれているマルウェアはトロイの木馬とも呼ばれ、感染したコンピュータへ他のマルウェアを送り込む役割を担っています。
こうして送り込まれる脅威はおおむね2種類に分類することができます。
そのうちのひとつが「Trickster」と呼ばれるタイプのもので、銀行口座へのログインデータのアクセス権の取得を目的とするマルウェアです。
もうひとつが「Ryuk」と呼ばれるタイプのもので、コンピュータのデータを暗号化してしまい、そのデータやシステム全体へアクセスさせないようにすることを目的としています。
この「Ryuk」タイプのものは、「ランサムウェア」という呼称のほうが馴染み深いという方もいるでしょう。
現代において、エモテットを含めサイバー攻撃の標的とならないコンピュータはありません。
エモテットの感染経路は主にメールです。
企業の担当者同士のメールのやりとりの間に攻撃者が割り込んで、担当者にエモテットを仕込んだ添付ファイルを実行させ感染させるという攻撃手法が多く用いられます。
また、エモテットを仕込んだ不正メールを、対象を特定せずにばらまくという「ばらまき攻撃」も行われています。
こうして不正に送信されたメールには、多くの場合Excelファイル・Wordファイルが添付されており、これらのファイルにはマクロが記述されています。
Officeでは、ファイルにマクロ等が記述されている場合に、そのコンテンツを実行するかどうかをユーザーに確認します。
しかし、受信者がそれに気づくことなく、またはこうした攻撃手段を知らない担当者であった場合、無警戒に「コンテンツの有効化」を行います。
その結果、記述されたマクロが実行され、受信者のコンピュータはエモテットに感染するのです。
コンピュータに侵入して不正に情報を盗み取る、あるいはコンピュータの正常な動作を妨げるプログラムはエモテットだけではありません。
しかしながら、従来のコンピュータウィルスやマルウェアとは一線を画す脅威としてエモテットが位置づけられたのには、エモテットのもつ性質にその理由を見出すことができます。
エモテットと呼ばれるマルウェア本体に危険なコードが含まれる場合、多くのコンピュータ利用者が採用しているセキュリティソフトによって、簡単にエモテット本体が除去されます。
しかしエモテットは、セキュリティ担当者やアンチウイルスソフトをすり抜けるために、エモテット自身には不正なコードを含まないという特徴があります。
エモテットは端末に侵入しても、エモテット本体が端末への不正な動作を起こすのではなく、エモテットはその端末へ他のマルウェアを侵入させるための「トンネル」や「輸送トラック」のような存在であると考えるとわかりやすいでしょう。
エモテットはこのような特徴を持つことで、簡単に除去されることなく、多くの端末へ感染しやすいという性質を手に入れたのです。
エモテットのコードが、セキュリティ担当者やセキュリティソフトを欺くための偽装であるとするならば、エモテットを感染させるためのコードが記述されたファイルは、実際にコンピュータを利用している担当者を欺くための偽装といえます。
かつてのコンピュータウィルスが「.exe」などの実行ファイルで添付されており、こうしたファイルは比較的対策の手法が確立されていました。
しかし、近年話題となったエモテットはExcel・Wordファイルなど、企業間で日常的にやりとりされるファイル形式を使っています。
このため、正規の送信者から添付されたファイルという誤認を生み、受信者が無警戒にファイルを開き、コードを実行してしまうのです。
エモテットを感染させるために攻撃者から送信されるメールの特徴は、「メールのやりとりの間に自然に割り込んでくる」ということです。
この偽装は、たとえばメールの件名に、返信であることを示す「Re:」をつけたメールとなっていたり、受信者が日常的に受信していそうなメールであることを偽装して送られてくるということも、エモテットが脅威とみなされた理由のひとつです。
先に言及したとおり、エモテットはそれ自体がコンピュータへの損害をもたらすというよりも、他のマルウェアが侵入するための手助けをするという役割があります。
エモテットにはワーム機能、つまり自己増殖機能があるため、組織内の1台のコンピュータが感染した場合、ネットワーク上の他のコンピュータへ感染が拡大することも警戒する必要があります。
さらに、情報を盗み取るだけではなく、コンピュータを使用できなくなるタイプの攻撃が行われることもあります。
エモテットはこれまで述べてきたように、既存のセキュリティ対策や、サイバー攻撃などへの知識をすり抜けて感染させられる可能性が高いという特徴があります。
このようなエモテットへの脅威に対して、コンピュータのユーザーはどのように対策を行うべきなのでしょうか。
まずは、エモテットへの感染が起こらないよう、感染の脅威を未然に防ぐことが重要です。
エモテットがメールを主な感染経路としていることを知識として持っていることは、感染対策に大きく役立ちます。
メールの送信者が正規の相手であることを確認する習慣、たとえば受信したメールのドメイン・送信元を確認するなどの従業員教育は、今すぐにもできる対策のひとつです。
また、受信したメールに添付されているファイルのマクロを安易に実行しないことも対策のひとつとして有効です。
マクロの実行を抑止するための対策としては、従業員への教育はもちろんですが、それに加えてOfficeソフト側での対策も有効です。
設定項目より、「マクロを無効にする」などの設定を行うことで、不用意に受信したファイルのマクロが実行されることを防ぐことができます。
メールに添付されたファイルからエモテットに感染するケースの場合、問題となるのが、送信者はあくまで攻撃の意図を持った第三者でありながら、受信側のメールアドレスさえ知っていればマクロを実行させうるという点です。
この問題は、ファイルの共有方法の選択肢からメールを排除することで、いくらか軽減することができます。
例として、クラウドストレージサービスの共有機能を利用するなどの方法が考えられます。
ただし、クラウドストレージへのアクセスURLが不正なリンクとなっていないかのチェックは必要です。
また、予め関係先とのクラウドストレージ上のファイルの置き場所を決めておき、それ以外の共有方法を禁止するという対策も有効です。
エモテットへ感染した場合の対応手順を定めておくことは、エモテットの感染を防止することには役立ちませんが、感染後の対応には雲泥の差が生まれます。
例として、感染したコンピュータのネットワーク上からの隔離手順や、関係各所への連絡手順の整備、万一ランサムウェアタイプの感染を受けてコンピュータが使用不能となった際に業務に支障をきたさないためのバックアップ・代替端末や代替手順の策定などが挙げられます。
近年ICT環境において話題を集めるエモテットは、コンピュータウィルスなどへの既存の対策手段がほぼ通用しないことが大きな脅威と考えられています。
また、エモテットはそれ自体が他のマルウェアを導く手順として利用されるために、エモテット本体を検知し完全に除去するセキュリティソフトウェアというものも未だ開発されてはいません。
エモテットへの対策は、何よりもコンピュータを扱う個人、または企業の担当者自身の攻撃手法への知識、対応手順の策定など、知識面・ナレッジの分野での対策が有効なのです。