- HOME
- セキュリティ最新ニュース
- ’19/10 最多検出マルウェア – トロイの木馬「Emotet」がトップにランクイン
Security
’19/10 最多検出マルウェア – トロイの木馬「Emotet」がトップにランクイン
Check Point社が2019年10月のマルウェアランキングを発表しました。
2019年9月に活動を再開したトロイの木馬「Emotet」がトップにランクインしています。クリプトマイナ―以外のマルウェアがトップにランクインしたのは2年ぶりとなります。
Emotetとは?
Emotetはトロイの木馬の一種であり、非常に高い感染力と拡散力を持っています。
Emotetの感染は、Officeマクロを悪用して行われます。メールに添付されたOfficeファイルを実行すると、埋め込まれたマクロがEmotet本体となるファイルをC&Cサーバからダウンロードし、実行するのです。感染端末を踏み台にさまざまなアカウント情報を盗み出し、広範囲への拡散を試みます。
2019年10月末には、ハロウィンをテーマにしたスパムキャンペーンを展開して感染を広めました。「Happy Halloween」や「Halloween Party Invitation」などの件名で、ハロウィンをテーマにしたファイル名の悪意のある添付ファイルが含まれていました。
感染先の情報を元に機能を追加
感染環境に合わせて機能が追加されるのもEmotetの厄介な点です。
Emotetは感染環境のコンピュータ名や環境識別子、プロセスリスト等をC&Cサーバへ送信し、C&Cサーバ上で解析環境かどうかの判断を行います。感染先で解析ツールが起動させているかどうかを、C&Cサーバーからの応答情報に差異を持たせることで判断するのです。
一般的なマルウェアの場合、マルウェア本体にプロセスチェックなどの解析環境の判断機能が備わっています。そのため、マルウェア本体を解析することでその機能を明らかにすることが可能です。
ところが、Emotetはその機能をC&Cサーバ側に置くことで、判断機能を自身で持たず解析できないようにする仕組みを採用しています。マルウェア本体を解析しても挙動が把握できないため、自動解析システムなどを欺くのに非常に有効な手法であるといえます。
解析環境ではないと判断された場合、最新のEmotet本体をダウンロードし、機能のアップデートを行います。機能追加の例としては、C&Cサーバからダウンロードしたパスワードリストを用いた総当たり攻撃等が挙げられます。
ビジネスモデルの変化
2014年に初めて確認された当時、Emotetはオンラインバンキングの認証情報を盗むマルウェアでしたが、2017年頃から役割が大きく変化しています。
現在は拡散力を強化し、他のマルウェアの追加ダウンロードを行う感染インフラへとシフトしてきています。Emotetの開発グループは、他のサイバー犯罪集団のマルウェアを運搬する役となり、インストールごとに料金を徴収することで、ビジネスを成り立たせているのです。
被害事例
米ペンシルバニア州アレンタウン市の事例
2018年2月に感染が確認されたこの事例では、約100万ドルもの被害額が出ています。Emotetは、ログイン情報を盗みながら市のネットワークの隅々にまで感染を拡げました。さらに多くのマルウェアがダウンロードされ、最終的にはインフラシステムを再構築しなければならない状態に追い込まれ、100万ドルの被害額が生じました。
大学教員をターゲットとした標的型攻撃メールに利用された事例
Emotetは日本でも感染が確認されています。2019年11月の事例では、実在する雑誌社を騙る標的型攻撃メールを開封した大学教員のパソコンがEmotetに感染しました。攻撃はOutlookに関する情報の窃取を目的としたもので、当該教員とメールの送受信を行った一部のメールアドレスが窃取されました。
Emotetに感染しないための対策
Emotetに限らず、セキュリティ対策ソフトを最新の状態に保つことや、感染経路となる標的型攻撃メールへの対策を行うことは重要です。
このほかにも、Emotetのダウンロードに悪用されているPowerShellをブロックしておくことも有効です。PowerShellが不要なユーザーに対しては、PowerShellへのアクセスをデフォルトでブロックしておくとよいでしょう。ポリシー設定で制御すると、マルウェアによって変更される可能性があるため、管理者権限でPowerShell自体の起動をブロックする必要があります。
10月のマルウェアトップ10
| 順位 | 前月比 | マルウェア名 | 解説 |
|---|---|---|---|
| 1 | ↑ | Emotet | トロイの木馬。情報窃取の他、マルウェアの追加ダウンロードなどを行う。 |
| 2 | → | XMRig | クリプトマイナー。オープンソースのソフトウェアで、CPUを利用してマイニングを行う。 |
| 3 | ↑ | Trickbot | バンキング型トロイの木馬。多目的トロイの木馬の一種で、多様な攻撃を可能とする。 |
| 4 | ↓ | Jsecoin | クリプトマイナー。消費電力の少なさやユーザーの明示的な同意を求める信頼性などを強みとして打ち出している。 |
| 5 | ↑ | Dorkbot | IRC向けワーム。情報窃取の他、マルウェアの追加ダウンロードなどを行う。 |
| 6 | ↑ | Ramnit | トロイの木馬。銀行口座の認証情報やFTPパスワードなどの情報を窃取する。 |
| 7 | ↑ | Lokibot | トロイの木馬。仮想通貨のウォレット情報や、FTPパスワードなどを窃取する。 |
| 8 | ↑ | Agent Tesla | 遠隔操作マルウェア。モニターを遠隔で監視し、パスワードなどを窃取する。 |
| 9 | ↓ | Formbook | トロイの木馬。あらゆるウェブブラウザから認証情報を摂取する。 |
| 10 | ↓ | Cryptoloot | クリプトマイナー。CPUやGPUを利用する。Coinhiveより少ない手数料を打ち出し、Coinhiveと競合していた。 |
参考(外部サイト)
流行マルウェア「EMOTET」の内部構造を紐解く|三井物産セキュアディレクション
実在する雑誌社を騙る不審メールを開封した教員のパソコンがEMOTETに感染(首都大学東京)|ScanNetSecurity
