ゆるっと広告業界

デザイナーのじたばた。

マルウェアEmotet手口まとめ。

こんばんは、さじです。

先日書きました情報流出の記事へのコメントでLSS (id:little_strange)さんより「既存の主な手口とその対策を、簡潔にまとめたものなどあるといいのかも。」との貴重なアドバイスをいただきました。確かに!と思いましたので、まずはウイルスに関することから調べてみました。SoftBankビジネスブログがほどよくまとまっています。

www.softbank.jp

最近ニュースで見かけたマルウェアEmotet(エモテット)。数年前に発生し、昨年一時的に制圧したものが復活したとのことです。せっかく調べたので共有したいと思います。対象はWindowsです。

Emotet(エモテット)

マクロ機能を利用したマルウェアExcelやWordなどに仕込まれ、ファイルを開くと実行、パソコンに感染。パソコンの中の機密情報を集め勝手に操作したり、メールや社内ネットワークを介して感染を広げる。Outlookでメールやアドレスの収集なども行う。昨年11月より復活した際にはOffice以外にもインストーラーに偽装するなど手口を広げ、メールソフト攻撃対象にThunderbirdが追加した。現在爆発的に増加中。
※赤字は復活時から新たに加わった手口です。

侵入手口
●日本語の返信を装ったメールにOfficeファイル添付以外にも、セキュリティ検知に弾かれないようパスワード付きZIPファイルにしたり、メール本文にURLを入れ遷移先で自らダウンロードするよう仕向けることもある。
●Officeファイルの場合は「コンテンツの有益化」ボタンを押させるよう警告が出る。
●アプリインストーラの場合はURLからPDF閲覧に遷移、PDFソフトのダウンロードに見せかけてウイルスファイルをダウンロードさせる。

感染時の挙動
●パソコンの動作が重い。
●アドレスが盗まれ、勝手にメール送信(ウイルスソフトのばら撒き)が行われる。

予防と対策
●送信元やメール内容が不自然とは限らない(メールソフトから自動収集され勝手に送信されたものである可能性もある)ため、メールの内容を精査し、必要に応じて先方への確認を行う。例えば、添付書類を送られてくる予定がないメールはまず疑ってみる。
●万一感染したOfficeファイルを開いてしまった場合は「コンテンツの有効化」「編集を有効にする」等のボタンは決して押さない。
Officeのマクロ自動実行を無効化に設定。
「メールの監査ログ」の有効化。

日頃の注意点
●OSのセキュリティアップデートを怠らない。
●Emotetの感染を診断するツール「Emocheck」の使用を警視庁が呼びかけている。定期的なチェックを行う。
※Emocheckの使い方は下記リンクにあります。
●感染した場合、OSの初期化が必要。定期的にバックアップをとり万一に備える。

警視庁の情報を中心に各セキュリティソフト会社、IT系メディアからの情報をまとめました。

www.keishicho.metro.tokyo.lg.jp

警視庁が作成しているPDF資料は平易な言葉でわかりやすいです。(ちょっとレイアウトが読みにくいのは許してあげてください。二つ折り資料のようです。)

ファイルのやりとりをGoogleドライブなどのクラウド共有サービスで行うことにしてメールへの添付は極力無くす、クライアントと共有サービスを決めておく、など日頃からセキュリティを意識したコミュニケーションも大事ですね。

今後はMacへの侵入が可能な進化をするかもしれませんので、引き続き警戒しようと思います。

さじ

追記:LSSさんありがとうございます。


*事情によりコメントの返信を停止しました。
コメントに関してのおしらせ。 - ゆるっと広告業界