脅威が続くEmotet、ショートカットリンク形式の感染手法を追加した最新動向

2021年に活動を停止していたEmotetですが、2021年11月中旬より活動を再開し、半年が経過した現在も感染被害が続いています。ラックからは、2021年12月のEmotetの活動再開時、そして2022年4月に注意喚起をしました。

その後のEmotetの動向や対応するサービスの状況、対策例をご覧いただこうと思います。

背景

Emotetは2021年11月15日に活動を再開して以来、マルウェアの改修や感染手法を変化させるなど手口を変えて感染を広げています。2022年4月26日頃には感染させるためにばらまいているメールの添付ファイルの形式に、新たなファイル形式「ショートカットリンク」を追加し、約1ヵ月が経過した現状について報告します。

Emotetの検知・お問い合わせの状況

2022年5月末日時点、ラックのセキュリティ監視・運用サービスの拠点であるJSOCにおけるEmotetのインシデント発生状況(図 1)、ならびにサイバーセキュリティに関する緊急対応サービスを行っているサイバー救急センターへEmotet感染インシデント発生による問い合わせがあった状況(図 1)は以下の通りとなっております。

図 1 JSOCにおけるEmotetのインシデント発生件数、サイバー救急センターへの感染お問い合わせ件数

ラックで確認しているEmotetのインシデント発生件数、およびEmotet感染に関するお問い合わせの件数についてはどちらも同じようなデータの推移がみられており、3月に比較すると4月のインシデント発生件数、お問い合わせ件数ともに大きく減少しています。
4月末に新たな感染手法を追加されていることから5月のインシデント発生件数は増加傾向にありますが、お問い合わせ件数は減少しています。感染の確認を相談するお問い合わせがJPCERT/CCが提供するEmocheckなどの実施により感染を企業で確認する手法が確立し広まったことで減少しているのではないかと推測しています。

2022年5月のインシデント発生件数の増加から、Emotetによる被害は継続して脅威となっていることが見てとることができます。
6月以降も継続して脅威が拡大する恐れがあり警戒が必要です。

Emotetを防御できない理由

図 2 JSOCが検知したEmotet攻撃メール件数

Emotetは活動再開後、約半年が経過しておりラックで検知している攻撃メールの件数は減少傾向にあります(図 2)
こうした状況にありながら、Emotetが継続して感染被害を引き起こしている理由には以下のような要因があり、根気強く継続した対策を講じる必要があります。

  • ばらまかれるメールが、件名・本文ともに巧妙であり、一見して悪性のメールと判断しにくい
  • 日本独自のメール授受の文化として、PPAPが浸透している
  • パスワード付きZipファイル形式を悪用しているため、メールゲートウェイ製品で検知できないケースがある
  • マルウェアを配布する手法が多彩である
  • 難読化手法の変更を繰り返し、マルウェアの検知を困難なものとしている

対策

2022年4月末以降、ショートカットリンクファイルをパスワード付きZip形式で圧縮されたものが添付ファイルされたメールによる攻撃が確認されています。また従来のOffice文書ファイルを添付ファイルとして悪用している攻撃も継続していることから、合わせて感染対策を提案します。

Emotetの主な感染原因は受信したメールの添付ファイルを開き、マルウェアをダウンロードさせられることにあります(図 3)
従来のEmotetは悪意のあるマクロプログラムを含んだ「Office文書ファイル」を開かせて、Emotetをダウンロードさせる形式が主な感染手法でした。新しく「ショートカットリンクファイル」を開くことにより、PowerShellのスクリプトが実行され、Emotetをダウンロードさせる感染手法が追加されています。

図 3 Emotetの感染経路

どちらの手法を用いてEmotetをダウンロードさせられたケースでも、現時点では感染後、「regsrv32.exe」という正規のプロセスを使用してEmotetを起動しているように見受けられます。こうしたEmotetの動作状況から、以下のような対策を推奨します。

ショートカットリンクファイルを添付ファイルとしたメールに対する対策

Emotetをダウンロードさせるために悪用される「.lnk」拡張子を使用したショートカットリンクファイルは、Windowsエクスプローラーの設定で「ファイル名拡張子」を表示する設定を行っても表示されない拡張子であり、別の形式のファイルと判断して実行してしまう可能性があります。

メール(図4)で送付されたパスワード付きZipファイル内のショートカットリンクファイル(図5)を開かないことが大切ですが、開いてしまった場合に備え、ショートカットリンクファイルが実行するpowershell.exeファイルによる外部通信をWindowsファイアウォールにより遮断することを推奨します。

図 4「ショートカットリンク 」ファイルがパスワード付きZIPファイルで添付されたメール
図 5  図4のメールに添付されていた「ショートカットリンク」ファイル

図6のように、ショートカットリンクファイル(図5)がpowershell.exeを起動し、Emotetをダウンロードして実行すること(図7)を防ぐ効果があります(図8)。

図 6 Emotetの感染対策
図 7  Emotetに感染した場合のProcess Tree
図 8 powershell.exeをWindows Firewallで外部通信を遮断した場合のProcess Tree

PowerShellは貴組織の業務やシステム運用で使用されているケースがあり、また、ローカルプロキシ等の設定などの要因によりWindowsファイアウォールによる外部通信遮断が有効にならないケースもありますので、貴組織の環境に合わせて対応をご検討ください。

従来の攻撃手法であるOffice文書ファイルを添付ファイルとしたメールによる攻撃のケース

メールに添付されているOffice文書ファイルは安易に開かない、本文内にあるメールのリンクにはアクセスしないことが重要です。また、Office文書ファイルを開いてしまった場合でも、「コンテンツの有効化」ボタンをクリックしなければ、マクロは実行されず、Emotetへ感染はしません(図 9)。このようなOffice文書ファイルを開いてしまった際は、ボタンをクリックせずに、ファイルを閉じてください。

図 9 感染を引き起こさないために注意すべき操作

また、Office製品のマクロ実行を強制的に無効に設定することも可能です。自組織内の業務でマクロ実行が不要という場合には、以下のMicrosoft社やIIJ社のサイトを参考に設定を変更することもご検討ください。

※ファイル内Officeマクロ

Office 文書ファイルのマクロを有効または無効にする方法について記載があります。

https://support.microsoft.com/ja-jp/office/office-ドキュメントのマクロを有効または無効にする -12b036fd-d140-4e74-b45e-16fed1a7e5c6?ui=ja-jp&rs=ja-jp&ad=jp

マルウェア感染対策を目的としたVBAマクロ実行の無効化

https://wizsafe.iij.ad.jp/2020/09/1044/

Emotet感染に備えた対策

Emotetは、現時点においてWindowsに備わっている正規ファイル「regsrv32.exe」を悪用して実行します。
「ショートカットリンクファイル」から実行される「powershell.exe」の外部通信と同様に、Windowsファイアウォールによって「regsrv32.exe」からの外部通信を遮断することを推奨します。

Emotetによる感染被害は現在も継続しており、警戒が必要です。

上述させていただいたような対策に加えてバックアップをとるなどのデータ復旧準備や、添付ファイル付きのメールは個人の判断で開かないなどセキュリティポリシーを徹底していただくなどの事前対策により被害を最小限に抑えることが大切です。

また、攻撃メールの内容や添付ファイルの種類、使用するアプリケーション、Emotetの機能などは今後変わっていく可能性があります。各組織のセキュリティ担当の皆さまは、ラックを含めたセキュリティ企業および組織の情報発信で、定期的にEmotetの動向とその対策をご確認ください。また、Emotetへの感染の有無の検知、防御を検討する際には、以下のツールを利用するかラックへご相談いただけると幸いです。

「Emocheck」による感染有無の確認

一般社団法人JPCERTコーディネーションセンターよりEmotetのPC感染を検知するツール「Emocheck」が公開されています。感染有無の確認にご活用ください。

※マルウェアEmotetへの対応FAQ

https://blogs.jpcert.or.jp/ja/2019/12/emotetfaq.html

ラックが提供するサービス

セキュリティ製品の監視をすり抜けたメールの添付ファイルを万が一開封してしまった場合に備え、感染前のマルウェアをダウンロードする直前の遮断・検知、感染後の通信の遮断・検知に有効な脅威情報提供サービス「JLIST®」サービスを提供しています。ラックの知見を結集して作成した悪性通信先のブロックリストをご検討ください。

脅威情報提供サービス「JLIST®」

資料ダウンロードフォーム

https://krs.bz/lac/m/jlist_material

JLISTは、国産の脅威情報(ブロックリスト)提供サービスです。

添付ファイルを実行してしまった際の悪性通信先も含まれております。通信時の検知にご活用ください。最新のサイバー攻撃を未然に防御するために、セキュリティ対策製品と連動可能な国産脅威情報を提供するサービスです。セキュリティ製品の防御・検知機能と連動であることから、お客様の手を煩わせることなくインシデント発生前に防御を可能とするサービスを提供しています。

JSOC® マネージド・セキュリティ・サービス(MSS)

マルウェア感染に備えて、機器のセキュリティ監視・運用サービスを提供しております。

https://www.lac.co.jp/operation/mss.html

JSOCのマネージド・セキュリティ・サービス(MSS)はお客様の不正侵入検知能力を大幅に向上させるセキュリティ監視・運用サービスです。巧妙なサイバー攻撃が増加するIT環境において、不正アクセス監視によるセキュリティ対策の水準を上げます。また、複雑なセキュリティ監視機器を運用し、不正アクセスを防ぎます。

サイバー救急センター

Emotetが検知された場合などには緊急対応窓口:サイバー救急センターをご活用ください。

https://www.lac.co.jp/corporate/unit/cyber119.html

セキュリティに係るお客様の緊急事態に際し迅速にお客様をご支援する緊急対応サービスです。
緊急事態が発生したら今すぐ「サイバー救急センター」にご相談ください。

投稿者

芝村 崇
芝村 崇
デジタルビジネス推進部 兼 サイバー救急センターの芝村です。
SI客先常駐業務においてプロジェクト管理などに従事した後、セキュリティエンジニアに転身し、インシデントレスポンス、CF、マルウェア解析業務、脅威分析業務、マルウェア解析の講師などに携わってまいりました。
皆さまのお役に立てる記事を執筆していきたいと思います。