近年電子メールに関連したリスクは巧妙化・多様化
しており、 ネットワーク管理者の悩みは尽きることが
ありません。 メッセージングセキュリティソリューション「Proofpoint」 は高い検知率と柔軟なポリシー設定、管理の容易さで、 企業インフラを防御します。

資料ダウンロード お問い合わせ

1.増加するEmotetの被害

最近、Emotet(エモテット)というワードを耳にすることはありませんか?

Emotetは、ロシアを拠点とするマルウェア亜種およびサイバー犯罪活動(Wikipediaより)と定義されていますが、もとはターゲットの資格情報を盗むことを目的としたトロイの木馬になります。
2022年5月現在においても、その被害は世界各地で報告されており、日本国内も例外ではありません。


[図1: Emotetに感染しメール送信に悪用される可能性のある.jpメールアドレス数の新規観測の推移 (外部からの提供観測情報)(2022年3月3日更新)]

図1はEmotetに感染したメールアドレス・ドメイン数の推移になりますが、2020年末頃に一旦落ち着きを見せた感染数は、2021年末頃から再び増加の兆候を見せ、2022年3月には急増しています。
直近では4月になって一度落ち着いたものの、下旬になると活動が再開されており、攻撃ファイルも64bitバージョンにアップデートされている兆候が見られますので、一過性ではなく、継続した警戒が必要となっています。

なぜ、Emotetはこれほどまでに流行しているのでしょうか?
ここではその要因について考察していきます。

2.Emotet流行の原因

A)効果的な攻撃手段
Emotetの攻撃の流れについて説明します。
攻撃者はまずなりすましメールを送り、標的にExcelやWordなどのマクロファイルを開かせます。マクロファイルを開いてしまったPCは、C&Cサーバのような攻撃用サーバにアクセスさせられ、制御下に置かれる流れとなります。

図2:Emotetによる攻撃の流れ

一度制御下に置いたPCは、ランサムウェアなど他のマルウェアにも感染させやすくなりますので、攻撃者にとっては様々な目的に用いることのできる有効な手段と言えます。
それゆえにEmotetによる攻撃機会が増加していると考えられます。

B)添付ファイルでのメールのやり取り(PPAP)
これまでファイルの送受信には、メール添付でのやり取りが多く用いられてきました。
添付したファイルは暗号化を行い、パスワードを付与することで他者から読み取られないようにしているものの、添付されたファイルを開くという日本文化特有の習慣をEmotetに利用されているとも言えます。

C)見分けにくい
最近の急激な感染増加については、Emotetの巧妙化も原因として考えられます。
以前は不自然な内容のものもあり、不正メールと判断するのに難儀することはあまりありませんでしたが、最近では正規のメールを巧妙に装い、受信者のアクションを促してくるため、判別が非常に難しくなってきています。

図3.実際の攻撃メール例(左はシンプルに添付ファイルを開かせようとしているのに対し、右はメールの返信を装い、URLにアクセスさせてファイルをダウンロードさせようとしている。)

3.Emotetによる被害をどう防ぐか

前項のとおり、Emotetが流行している原因は複数あり、何か1つ対策すれば解決する訳ではありません。

図2を再度見てみましょう。 ④で制御下に置かれてしまう前のステップにおいて阻止することができれば、と考えると何をすべきか見えてきます。

  • なりすましメールを止める
    • 攻撃者からのなりすましメールを判別できれば、ベストです。
    ただしCにもあるとおり、なりすましメールは巧妙化しており、見分けることは困難になってきていますので、このような最新の脅威にも対処できる優れたメールセキュリティソリューションが必要となります。

  • 添付ファイルの開封をさせない
    • なりすましメールがユーザに届いてしまった場合、添付されているマクロファイルを開くか開かないかはユーザの判断に委ねられます。中には社員や取引先を装った非常に巧妙なメールもあり、すべてを見極めることは困難ですが、ユーザ(従業員)に対しセキュリティ教育を実施することで、可能な限り開封率を下げることも一つの手段です。
    例えばユーザが最近のメール攻撃のトレンドを把握できていたり、添付ファイルを開くことでマクロが起動することを理解していれば、よりメールの処理に注意を払うようになり、なりすましに気づく可能性を高めることができます。
    また、Bで言及しているPPAPを廃止すれば、ユーザが添付ファイルを開封する機会が大幅に減少し、抑止に貢献できると考えられます。

  • C&Cサーバへの接続を遮断
    • ユーザがマクロファイルを開いてしまった場合、マクロによりC&Cサーバへ接続するよう誘導されます。しかしながら、水際で通信を遮断できれば、C&Cサーバへの接続を回避することが可能となる為、このような悪意のあるサーバを検知できる脅威インテリジェンスを保有しているセキュアウェブゲートウェイ(SWG)を採用することも有効です。

    このように、Emotetの攻撃を食い止めるにはサイバーキルチェーンを意識することが必要であり、優先順位も考慮しながら各フェーズにて対策を行っていくことが求められます。

    まとめ

    Emotetは日々巧妙化しています。
    なりすましメールのすり抜けを防ぐためには、最新の脅威も含め高度な検知が可能なメールセキュリティソリューションが必要であり、併せて従業員への教育やPPAPの廃止などにより、すり抜けたメールへの対策も行うことで感染の可能性を低減していくことができます。

    日商エレクトロニクスでは、これらEmotet対策に有効なメールセキュリティソリューションやセキュリティ教育ソリューションなどをご用意しております。また、実際にすり抜けているEmotetを可視化するサービスもご提供できますので、貴社の対策にお役立ていただければ幸いです。


    ▼Proofpointのメールセキュリティソリューション


    ▼Proofpointのセキュリティ教育ソリューション