2023年版多様化するEmotetと攻撃手法について最新動向を解説（vol.18）

2023年04月28日（金）

AppGuard

Emotetは主にメールを経路としたマルウェアの一種であり、2014年ごろから確認されています。2019年からは日本国内でも被害が確認され、それ以降世界的に大規模な拡大・停止措置や休止・新手法による攻撃といったサイクルを繰り返してきました。

2022年11月に10日間ほど活動が観測されて以降、攻撃はしばらく沈静化していたものの、2023年3月に再び急増していることが確認されています。

さらに、今回の攻撃は従来とは違ったファイル形式を利用して展開されていることが特徴です。Emotet対策を意識した機能を搭載したセキュリティ製品でも攻撃を避けられないように周到に計画されたものと考えられます。

本記事では、Emotetによる従来の攻撃について一度おさらいした上で、新たに用いられるようになった二種類の方式について紹介していきます。 Emotetの最新情報です！

Emotetによる従来の攻撃
大容量ファイルによる攻撃
.oneファイルによる攻撃
まとめ

Emotetによる従来の攻撃

Emotetは、主に攻撃者からのメールに添付されたファイルを開くことで感染します。一度感染してしまうと他のマルウェアへの感染や重要な情報の窃取、他の端末への感染拡大、さらには社外への感染拡大の踏み台として利用されるなど、企業に甚大な被害をもたらします。

Emotetの攻撃には、一見すると’脅威とは気づかれにくい’という特徴があります。

送信元のアドレスは攻撃対象の企業の取引先や協力会社を装っており、件名や本文の内容なども通常の業務メールとの見分けが難しい巧妙なものです。

そのため、業務上確認が必要なメールと判断した受信者は、メールに添付されたZipファイルやマクロ付きファイル（.xlsmなど）、ショートカットファイル（.lnk）を開いたり、本文に記載されたURLにアクセスしたりしてしまいます。それによって悪意のあるプログラムが実行されたり、呼び込まれたりして、Emotetに感染してしまうのです。

メールを受信する側の行動が感染のきっかけとなるため、不審なメールやURLを開かない、万が一添付ファイルを開いてしまってもコンテンツの有効化（マクロ実行）を行わない、などが基本的な対策方法となります。また、現在各企業がリリースしているセキュリティ製品にはEmotet対策を強く意識されたものが多くなっています。そのことからも、どの企業にとっても注目すべき厄介なセキュリティ課題であることが伺えます。

しかし、冒頭でも述べた通り、2023年3月に入って確認された新たな攻撃手法は、従来のセキュリティ製品の検知を潜り抜けるようなものになっています。つまり、各企業が今後の対策を再検討しなくてはならない時期を迎えています。

ここからは、Emotetによる新たな攻撃手法である「大容量ファイルによる攻撃」、および「.oneファイルによる攻撃」について解説していきます。

大容量ファイルによる攻撃

2023年3月のEmotetによる攻撃では、500MBを超える大容量ファイルが用いられたケースが観測されています。メールを経路とした攻撃という点は従来のEmotetによる攻撃と変わりません。今回の Emotet 攻撃において特徴的なのは、添付ファイルの形式とその容量です。

この攻撃においては.docファイルが圧縮された660KB程度のファイルがメールに添付されるのですが、これを解凍してみると500MBを超えるファイルサイズとなります。そして、組み込まれたマクロを有効化することによってEmotetに感染してしまうのです。これほどの大容量にするために、実際のファイル内では大量の0を羅列することでファイルを嵩増しする「Binary Pudding」（ゼロ埋め）などの手法が用いられています。

従来のセキュリティ製品では、このような大容量のファイルがそもそも検査対象外とされているために、マルウェアとして検知できないという問題が発生しています。このような大容量ファイルによる攻撃が2023年のEmotet最新動向です。

この攻撃形式においても、取引先等からのメールを巧妙に装っているため人の目による判別は難しくなります。やはり不審なメールを開かないこと、ファイルを開いてしまってもコンテンツの有効化をしないことなどが基本の対策となるでしょう。

.oneファイルによる攻撃

特徴的な事例として、.oneファイル、つまりOneNoteの機能を装った攻撃が展開されているものがあります。

この形式のファイルは圧縮されておらず、メールに直接添付されます。

添付された.oneファイルを開こうとすると、中身のコンテンツを確認するために「View」ボタンをクリックするよう誘導するポップアップが表示されます。この時点で表示されているのは偽の画像であり、Viewボタンの背後には悪意のあるスクリプト（.wsfや.js、.vbsなど）が埋め込まれています。

Viewボタンをクリックすると警告ウィンドウが表示されます。その警告を無視してファイルを開いてしまうと埋め込まれたスクリプトが実行され、Emotetに感染してしまいます。

.oneファイルについても、大容量ファイルの悪用と同様に、「従来のセキュリティ製品で検知されにくい」ことが特徴となります。

マクロブロックなどの機能においてはそもそも.oneファイルは対象外であり、サンドボックスを利用していてもファイル自体は検知の対象外となります。アンチウイルスソフトでも検知率は低くとどまっています。

さらに.oneファイル内に埋め込むことのできるファイル拡張子の種類も多いため、多様な攻撃を仕掛けることができてしまうのです。このような.oneファイルによる攻撃が2023年のEmotet最新動向です。

この攻撃手法への対策として、OneNoteを業務利用していない企業については、メール等で送付された.oneファイルを開かないことが根本的な対策となるでしょう。OneNoteを利用している企業においては、不審なメールを開かない対策は必須です。不自然なポップアップが表示された場合は、そのまま処理を継続せずに中断することなどが基本的な対策となります。

まとめ

本記事ではEmotetによる攻撃手法として新たに観測された二つのケースをご紹介しました。従来の攻撃とも共通することですが、Emotetによる攻撃ではメール本文なども本物の業務メールに見えるよう巧妙に作られており、人の目で確認して疑うには限界があります。不審なメールを開かないなどの基本的な対策は徹底し、セキュリティ製品等を導入して防御しつつ、新種の攻撃手法の情報についてもアンテナを張っておく必要があるでしょう。

セキュリティ製品AppGuardは本記事でご紹介した最新の脅威に対しても有効なOSプロテクト型の製品となっています。不審なプログラムの実行そのものをブロックするという特徴があり、攻撃メールの添付ファイルを開いてコンテンツを有効化してしまったとしてもその後の処理を止めることが可能となります。電通総研社では数多くのAppGuard導入支援実績がございますので、どうぞお気軽にお問い合わせください。AppGuardの概要についてはこちらをご覧ください！

『ランサムウェア対策ソリューション AppGuard基本ガイドブック』

参考URL
独立行政法人情報処理推進機構「Emotet（エモテット）と呼ばれるウイルスへの感染を狙うメールについて」最終更新日2023年3月17日。
https://www.ipa.go.jp/security/security-alert/2022/1202.html　

「ランサムウェア対策」と「emotet（エモテット）対策」について学習できる資料があります。

弊社ではランサムウェア対策やEmotet（エモテット）対策を学びたい方に参考になる資料「ランサムウェア被害・EMOTETの脅威をこっそり学べるガイド」をご用意しています。本資料は企業のセキュリティ強化に向けて必見の資料です。ぜひダウンロードいただき、ご覧ください。