ファイルレスマルウェアの巧妙な攻撃手口～有効な対策方法について考える～　後編

みなさんこんにちは。シーイーシーセキュリティオペレーションセンター（CEC SOC）のセキュリティアナリストです。近年猛威を振るうファイルレスマルウェアの脅威や対策、代表的なマルウェアについて、前編・後編に分けて解説しています。

後編にあたる今回は、「ファイルレスマルウェアの代表格“Emotet”」と「ファイルレスマルウェアの対策」について解説します。なお、前編では「従来型マルウェアとファイルレスマルウェアの違い」や「ファイルレスマルウェアの脅威」について紹介しております。ファイルレスマルウェアの特徴を知りたい方はぜひ前編からご覧ください。

ファイルレスマルウェアの代表格 “Emotet”

ファイルレスマルウェアにさまざまな種類があります。みなさんは“Emotet”と呼ばれるマルウェアをご存知でしょうか。Emotetとは2014年に発見された、ファイルレスマルウェアの一種です。日本でも度々大規模感染が発生しており、ファイルレスマルウェアの代表格と言えるでしょう。

Emotetはメールに添付された悪意のあるファイルを開き、マクロを実行することにより感染させる、典型的なファイルレスマルウェアの攻撃手法を用いています。添付されたファイルはWordやExcel形式が大半を占めますが、2023年に新たな手口としてOneNote形式を使用した攻撃も確認されています。

日本国内におけるEmotet検出数

【出典】

EMOTET （エモテット）とは| トレンドマイクロ

日本国内におけるEmotetの検出数を見てみると、2020年7～9月、2022年1月～6月に大規模感染が発生していたことが分かります。また、2022年1～3月には6万件を超えており、これは全世界で日本が最多検出数となりました。この時期は日本がEmotetの攻撃対象となっていたと言えるでしょう。

また、Emotet活動期間は、2022年11月に10日間活動後休止し、また活動をするなど、再開と休止を繰り返す性質を持っています。2023年の3月に活動を再開・休止して以降、Emotetが活動を再開したというニュースは出ていません。しかし、当社のCEC SOCでは2024年4月ごろから再開が確認されています。Emotetが休止と再開を繰り返す性質を持っていることから、今後も注視が必要です。 

また、Emotetの活動は2024年4月頃から再開が確認されています。Emotet自体が休止と再開を繰り返す性質を持っていることから、今後も注視したいところです。

ファイルレスマルウェアの対策

昨今脅威となっているEmotetなどのファイルレスマルウェアですが、取り組みやすい5つの対策方法をご紹介します。

◆対策１
OSやセキュリティソフトを常に最新の状態に保つ。

◆対策２
不審なメールや送信元が怪しいメールは警戒し、添付ファイルやメール本文中のリンクは開かない。

◆対策３
WordファイルやExcelファイルなどのマクロ自動実行を無効化する。

◆対策４
定期的に注意喚起や教育を実施し、フィッシング攻撃やEmotetなどのマルウェアに対するセキュリティ意識を向上させる。

◆対策５
ファイルレスマルウェアに有効なウイルス対策ソフトを導入する。

ファイルレスマルウェアへの対策としては、セキュリティ教育や注意喚起の定期的な実施などにより、セキュリティ意識を向上させることが重要です。また、直接的な対策として、ファイルレスマルウェアに有効な“EDR”（ Endpoint Detection and Response）などのエンドポイントセキュリティの導入が有効的と言えます。

EDRとは、マルウェアが侵入されることを前提に侵入後の脅威検知や対処を得意としたウイルス対策ソフトです。万が一EPP（Endpoint Protection Platform）でマルウェア検知できなかった場合でも、EDRを導入することにより被害の拡大を抑えることができます。CEC SOCではEDRを効果的に運用することで、Emotetの感染にいち早く気づき、お客様へ通報することができました。

EDRにも様々なさまざま製品が存在します。次の5点に着目し、自社の環境やセキュリティ事情に合致したEDRを選定できるよう、製品ごとの機能や特長を把握することが重要です。

◆分析処理機能
EDRは監視対象のエンドポイントから取得したログデータを分析し、未知のマルウェアや最新の脅威を正確に検知することが求められます。そのため、分析処理機能の精度が重要となります。

◆調査機能
マルウェア侵入後、迅速に復旧を行えるよう、原因や感染経路などを効率良く調査できる機能を備えた製品を選定する必要がります。

◆ネットワーク負荷
EDRは、監視対象のエンドポイントにエージェントソフトウェアを導入し、ログデータを常時取得します。その際ネットワークにどのくらいの負荷を要するか確認し、自社のシステム環境に合わせた製品を選定する必要があります。

◆監視・防御範囲
PCやサーバーなど、対応可能な監視・防御範囲はEDR製品ごとに異なるため、自社の実情に応じて適切な製品を選定する必要があります。

◆サーバー管理方法
EDRのサーバー管理方法には、サーバーを自社で保有するオンプレミス型と、インターネット上のサーバーを利用するクラウド型の２種類があります。現在の主流はクラウド型ですが、ネットワークへ接続できない機器や端末などのエンドポイントが監視対象として存在する場合はオンプレミス型を選定する必要があります。

まとめ

近年、ファイルレスマルウェアの検出数は増加の一途をたどっており、その手口も巧妙化が進んでおります。EPPでは検知が難しい厄介なマルウェアですが、不審なメールや添付ファイル、URLは開かないといったセキュリティ意識の向上で被害を防ぐことができます。

また、EPPなどマルウェアの侵入を防止するセキュリティ対策だけではなく、侵入後の被害拡大を防ぐためのEDR導入も対策として有効です。

セキュリティ対策は常に継続的な努力が求められます。マルウェア侵入の予防に留まらず、感染の早期検知や拡大防止など、多層的なセキュリティ対策を講じることが重要です。

CEC SOCは24時間365日で、ICT環境のセキュリティ運用を支援、被害を最小化しリスクを根絶【Cyber NEXT】