メール経由で拡散するマルウエア「Emotet」が三たび猛威を振るっている。トレンドマイクロの調査によれば、2022年2月から国内で感染した端末の検出数が増え始め、3月には4万件を超えた。4~5月はいったん減少したものの、6月には2万6000件超と再び増加に転じている(図1)。
今回の検出数の増加は、いわば「第3波」である。Emotetが初めて登場したのは2014年だが、世界的に注目された「第1波」は2017~2018年。Emotetがトロイの木馬やランサムウエアといった他のマルウエアの搬送役として利用されるようになり、日本や米国の政府が注意喚起する事態となった。その後いったん収束したものの、2019~2020年にかけて再び検出数は増加。この「第2波」も国内外に大きな被害をもたらした。そして2022年に入り「第3波」がやってきたというわけだ。
通信がHTTPからHTTPSに
Emotetは1度「消滅」したはずだった。欧米8カ国の法執行機関や司法当局などが「第2波」後の2021年1月に、攻撃者がEmotetを遠隔操作するC&Cサーバー▼を一斉停止(テークダウン)させたのだ。しかし10カ月ほどでC&Cサーバーは復活し、第3波を起こした。復活の背景をトレンドマイクロのセキュリティエバンジェリストである岡本 勝之氏は「Emotetはランサムウエアなどのマルウエアに感染させるのに使い勝手がよかったため、再び利用されるようになったのではないか」と推測する。
しかも復活したEmotetはセキュリティー機器による検出を回避する機能を強化していた。具体的には、Emotetが使う通信プロトコルが2021年11月に変化した。それまではC&Cサーバーへの通信にHTTP▼を利用していたが、復活後はHTTPS▼を使うようになり通信内容を把握するのが一段と難しくなった。
さらに感染力も高まった。2021年12月には、Windowsが標準搭載するアプリケーションのインストール機能Windows App Installerを悪用するEmotetが確認された。具体的には、Windows App Installerに含まれるWindows AppX Installerの脆弱性を利用して、正しいアプリをインストールするかのようにEmotetをインストールさせる。
それまでメール受信者のパソコンをEmotetに感染させるには、不正なマクロを含んだ添付ファイルを実行させる必要があった。これに対し新たに登場した手法では、添付ファイルではなくメールの本文中にURLを記述する。URLをクリックすると、インストーラーがダウンロードされ、他のアプリと同じようなインストール画面が表示される。ユーザーが誤って「Install」ボタンを押してしまうと、Emotetがダウンロードされて感染してしまう(図2)。
