全1943文字
PR

 トレンドマイクロの調査により、マルウエア(悪意のあるソフトウエア)のEmotet(エモテット)に感染した端末が国内で爆発的に増加していることが分かった。2020年8月と比較すると、同年9月に検出した感染台数は約8倍。検出数は過去最大規模という。

国内におけるEmotet検出数の推移
国内におけるEmotet検出数の推移
(出所:トレンドマイクロ)
[画像のクリックで拡大表示]

 トレンドマイクロの山外一徳セキュリティエバンジェリストは「検出数は2019年のピーク月(12月)を大きく上回る。Emotetに感染したパソコンを踏み台にして他組織を攻撃したり、他のマルウエアに感染させたりするので要注意だ」と警鐘を鳴らす。

 Emotetはメール経由で拡散するマルウエアである。Microsoft Officeファイルに含まれる不正なマクロを実行すると感染してしまう。Emotetによる攻撃は、この不正なマクロ付きOfficeファイルをメールに添付したり、メール本文に記載したURLをクリックさせてダウンロードさせたりする。不正なマクロを実行したパソコンはWindowsの標準コマンドラインツールであるPowerShellを起動し、PowerShellのコマンドでマルウエア本体をダウンロードして実行する。

Emotetに感染する流れ
Emotetに感染する流れ
(出所:トレンドマイクロ)
[画像のクリックで拡大表示]

 Emotetに感染すると、パソコンのログイン情報やメールのアカウント、パスワード、メール本文の内容、アドレス帳などの情報が攻撃者に窃取され、情報がネット上の指令サーバー(C&Cサーバー)に送られる。厄介なのは、窃取したメールの文面などをそのままコピーして攻撃メールを作成することだ。普段やり取りするメールと同じ文面が届くため見抜くのが難しい。

フィルタリングによる検知を回避

 トレンドマイクロによれば、Emotetは2019年秋から冬にかけて猛威を振るったが、その後2020年2月上旬から7月中旬までC&Cサーバーが休止。活動は沈静化した。ところが2020年8月から活動を再開し、爆発的な感染につながっている。

 活動再開後は「セキュリティー製品が検知しづらい仕組みを備えるようになった」(山外エバンジェリスト)という。それが、パスワード付きZIPファイルを添付してセキュリティー製品による検知を回避する仕組みと、マルウエア本体のハッシュ値を変えてパターンマッチングによる検知を回避する仕組みの2つだ。