全2142文字
PR

 メール経由で拡散するマルウエア「Emotet(エモテット)」が三たび猛威を振るっている。トレンドマイクロの調査によれば、2022年2月から国内で感染した端末の検出数が増え始め、3月には4万件を超えた。4~5月はいったん減少したものの、6月には2万6000件超と再び増加に転じている。

Emotetの検出数の推移
Emotetの検出数の推移
(出所:トレンドマイクロ)
[画像のクリックで拡大表示]

 今回の検出数の増加は、いわば「第3波」である。Emotetが初めて登場したのは2014年だが、世界的に注目された「第1波」は2017~2018年。Emotetがトロイの木馬やランサムウエアといった他のマルウエアの搬送役として利用されるようになり、日本や米国の政府が注意喚起する事態となった。その後いったん収束したものの2019~2020年にかけて再び検出数は増加。この「第2波」も国内外に大きな被害をもたらした。そして2022年に入り「第3波」がやってきたというわけだ。

第3波では検出回避機能を追加

 Emotetは1度「消滅」したはずだった。欧米8カ国の法執行機関や司法当局などが「第2波」後の2021年1月に、攻撃者がEmotetを遠隔操作する「コマンド・アンド・コントロール(C&C)サーバー」を一斉停止(テークダウン)させたのだ。しかし10カ月ほどでC&Cサーバーは復活し、第3波を起こした。復活の背景をトレンドマイクロの岡本勝之セキュリティエバンジェリストは「Emotetはランサムウエアなどのマルウエアに感染させるのに使い勝手がよかったため、再び利用されるようになったのではないか」と推測する。

 しかも復活したEmotetはセキュリティー機器による検出を回避する機能を強化していた。具体的には2021年11月にEmotetが使う通信プロトコルが変化した。それまではC&Cサーバーへの通信にHTTPを利用していたが、復活後はHTTPSを使うようになり通信内容を把握するのが一段と難しくなった。

 さらに感染力も高まった。2021年12月には、Windowsが標準搭載するアプリケーションのインストール機能「Windows App Installer」を悪用するEmotetが登場した。具体的には、Windows App Installerに含まれるWindows AppX Installerの脆弱性を利用して、正しいアプリをインストールするかのようにEmotetをインストールさせる。

 それまでメール受信者のパソコンをEmotetに感染させるには、不正なマクロを含んだ添付ファイルを実行させる必要があった。これに対し新たに登場した手法では、添付ファイルではなくメールの本文中にURLを記述する。URLをクリックすると、インストーラーがダウンロードされ、他のアプリと同じようなインストール画面が表示される。ユーザーが誤って「Install」ボタンを押してしまうと、Emotetをダウンロードしてきて感染してしまう。

PDFファイル関連のアプリに偽装したインストール画面の例
PDFファイル関連のアプリに偽装したインストール画面の例
(出所:トレンドマイクロ)
[画像のクリックで拡大表示]