エモテット(EMOTET)は世界中で流行しているメールウイルスで、約1億円の被害に遭った事例があります。
攻撃者によって以下の手法を用いられていることが特徴です。
- 送信元の名前やメールアドレスを、受信者の取引先や組織内関係者となるように詐称する
- 攻撃の成功確率が低下しないよう、攻撃手法自体を頻繁に変更する
結論として、厄介なエモテットを100%駆除する方法はないため、注意喚起を行う必要があります。
どういうことなのか見ていきましょう。
特徴1:送信元の名前やメールアドレスを、受信者の取引先や組織内関係者となるように詐称する
「取引先の〇〇商事△△さんからのメールだ!」
「〇〇部△△係長からメールが来た!」
もしあなたに届いたメールが身近な方からのメールであったら、思わずメールを開きたくなってしまいますよね。
身近な方なら安心という心理をつき、送信元を詐称して送り付けてくるのがエモテットの手法です。
送信元の名前の詐称は設定でできる気がするけど、メールアドレスはどう頑張っても詐称できないのではないだワンか。
その認識は正確ではありません。
メールの世界では、送信するときにメールアドレスを自由に設定できるので、メールアドレスを見て正当かどうか判断することはできません。
一般的なメーラであるOutlookやThunderbirdでも設定することができる場合があります。
では、なぜ攻撃者は関係者の名前やメールアドレスを知ってるだワンか?
一つ言えることは、攻撃者はエモテットでの攻撃を仕掛ける前に何らかの手法を用いて関係者の個人情報を入手したということになります。
例えば、〇〇商事からのメールがエモテットのウイルスメールであった場合、〇〇商事のサイバー攻撃して個人情報を直接入手したということが考えられます。
間接的な手法としては、名簿業者などの第三者が入手した〇〇商事の個人情報を、攻撃者が購入して入手するということも。
サイバー攻撃では、最終目的を達成するため、複数犯で計画的・段階的に実行されるケースが多いのです。
特徴2:攻撃の成功確率が低下しないよう、攻撃手法自体を頻繁に変更する
メールの世界では送信元が詐称されることがあるのは分かったワン。
実際にはどんなメールが届くワンか。
「エモテットのメールサンプルはこちらですよ」とは一概に言えません。
攻撃者は、以下のように次々と攻撃手法を変更しています。
- ボーナス(賞与)支払届を装うメール(2019年冬)
- 新型コロナウイルスに関連するメール(2020年春)
- パスワードのかかったファイル付のメール(2020年9月頃~)
ウイルスが世に出回るようになると、IPAやJP CERTといった公的機関やトレンドマイクロなどのセキュリティベンダーが攻撃手法の調査を行います。
その調査によって攻撃をブロックする方法が編み出され、ウイルスはいずれ収束に向かうことになります。
ボーナス支払や新型コロナに関するメールに関しては、攻撃手法の調査によってほぼ収束に向かった例であり、世の中でそこまで甚大な被害に及びませんでした。
しかし、パスワードのかかったファイル付きのメールに関しては攻撃をブロックする方法はなく、今後の被害規模は未知数なのです。
世のセキュリティベンダーは使えないワン!
専門家なら不審なメールは全てブロックしてほしいワン!
そう行かないのが、パスワードのかかったファイル付きメールの落とし穴です。
皆さんの中には、万が一誤送信してしまった際の情報漏えい対策として、添付ファイルにパスワードを付けることが義務付けられている企業・組織に属している方もいらっしゃるのではないでしょうか。
無論、セキュリティ対策として有効な手法であることは確かです。
そしてパスワードをかけることで、添付ファイルを暗号化することができます。
暗号化されているのであれば攻撃者に内容を見られることもないから安心だワン!
ご認識の通りです。
しかし、ファイルの内容を見ることができないのは攻撃者だけではなく、受信者(=パスワードを知っている人)以外の全てとなります。
このため、組織・企業で高度なセキュリティ機能を導入していて、ウイルスメールが受信者に届く前にファイル内容を検査しようとしても、エモテットを駆除できずに受信者に届いてしまうという結果をもたらしてしまいます。
参考:添付ファイルの検査手法
添付ファイルの検査を行うセキュリティ機能には大きく分けて以下の2つがあります。
既知のウイルスであるかの検査
最も一般的なメールのセキュリティ検査で、メールアンチウイルス機能と呼ばれています。
セキュリティベンダーは世の中で飛び交っているメールの中から怪しいと思われるファイルのパターンを日々調査しています。
例えば、添付ファイルAと添付ファイルBがあって、それぞれ名前が違って異なるファイルに見えるけど、内容は同じウイルスだったらそれをパターン化するだワンね!
たまには鋭いことも言ってくれますね、その通りです。
パターン化の作業が完了次第、パターンに合致したメールをブロックできるよう、組織・企業に導入しているセキュリティ機能に情報連携します。
情報連携は自動で行われることによって、人の手を介さずに怪しいメールをブロックするというしくみになっています。
しかし、メールアンチウイルス機能の検査を行うにはファイルの内容を確認することが必要であるため、暗号化されている場合はエモテットを駆除できません。
なお、不審メールの種類については以下の記事でも紹介しています。
未知のウイルスであるかの検査
ふるまい検知機能と呼ばれています。
メールアンチウイルス機能では過去のメールから攻撃パターンを調査することでセキュリティ対策を行います。
一方、ふるまい検知機能では以下の方法で過去に実績のない攻撃(ゼロデイ攻撃)までブロックすることができます。
- 受信者の環境に影響を及ぼさない隔離されたテスト環境を用意する
- テスト環境にて実際に添付ファイルを開き、実行させる
- 実行させた結果でウイルスに感染させるような挙動が行われないか確認する
まるで手品のような、とても考えられたしくみだワンね!
これでセキュリティ対策も万全だワン!
そう思いたいのですが、添付ファイルにパスワードがついていると、テスト環境でもファイルを実行できないことになってしまいます。
その結果、ふるまい検知機能でもパスワード付き添付ファイルを検査することはできません。
まとめ
エモテット(EMOTET)に関して重要なポイントをおさらいします。
総じて、エモテットを駆除できない場合があると言えます。
あなたが社内SEや情シス部門に所属している場合、エモテットに感染するリスクがあることを関係者に注意喚起する必要があります。
エモテットに関する重要事項をまとめると以下の通りです。
- 送信元が取引先など知っている名前・メールアドレスでも、詐称されている場合がある
- パスワード付き添付ファイルを用いた最新の手法では、セキュリティ機能でブロックできない
- ブロックできない可能性があることを想定し、不審なメールは開かないよう注意喚起を行う必要がある
攻撃者の手口が年々高度化して、エモテットを始めとしたウイルスメールを受信する可能性が高くなっているだワンね。
添付ファイルを開く際は細心の注意を払うよう関係者に促すだワン!
