No300 Emotetがまたしても猛威をふるっています
数年前からEmotetというマルウェアが猛威をふるっています。
(補足)マルウェア:
いわゆるコンピュータウイルスを含む、悪意のあるソフトウェアの総称です。
通常はパソコン(PC)所有者に気付かれないようにコッソリと動作します。
マルウェアは Malicious(悪意のある) software を略した造語です。
最近は「ウイルス」と呼ばずに「マルウェア」と呼ばれるようになってきています。
Emotetは2019年に一度大流行し、その後も2022年に流行しました。
このメルマガでも何回か書いていますが、2023年の3月にも少し目先を変えた攻撃が行われています。
今回はEmotetについて今回登場した新たな手口も含めて解説をします。
なお、2019年と2022年に流行した時にもそれぞれ記事を書いていますので、ご興味のある方はご一読ください。
「No195 祝!Emotetサーバ摘発」(2021年2月配信)
https://note.com/egao_it/n/n98a17d62552e
「No249 Emotetとは?最新状況と有効な対策」(2022年3月配信)
https://note.com/egao_it/n/nfe3e2abbf36c
Emotetとは?
Emotet(エモテット)はマルウェアでもあり、その作成や拡散を行っているチーム名でもあり、他のマルウェア(ランサムウェアなど)を侵入/感染させるプログラムでもあります。
(補足)ランサムウェア:
直訳すると「身代金ウェア」。パソコン(PC)内のデータを勝手に暗号化し使えなくし、「元に戻して欲しければ身代金を払え」と請求する非常に迷惑で悪質なマルウェアの一種。
マルウェアの多くは感染すると、それ自身がパソコンやサーバに被害を与えることが多いのですが、Emotetでは被害者のパソコン(PC)に直接被害を与えることはせず、他のマルウェアを侵入させたりメールアドレスや認証情報を盗み、それを犯罪者集団が運営するサーバ(以下、Emotetサーバと書きます)に送り込むといった行動を取ります。
もともと(2014年ごろ)はオンラインバンキングのパスワードを盗むためのマルウェアだったようですが、開発チームが改修を繰り返し2019年と2020年に大流行してしまいました。
この時点で、利用者に知られずにEmotetサーバから最新版のEmotetを自動ダウンロードする機能、他のマルウェアをダウンロードした上でインストールができる機能なども実現されており、極めて危険なマルウェアでした。
その仕組みを利用して、他のマルウェア作者たちに「Emotetを使ってあなたのマルウェアも侵入させたげますよ。もちろん有料でね」という商売を行っているそうなのです。
あきれた商売を考え付いたものです。
このEmotetの拡散を行った犯罪者集団は2021年1月にユーロポール(欧州刑事警察機構)などによって摘発されました。
これでEmotetはなくなるかと思われたのですが、2021年の秋頃から別の犯罪者集団(複数)によって改され、再度攻撃がはじまりました。
警察機構も捜査を行ってはいますが、いたちごっことなっているのが現状です。
現状では、Emotetはマルウェアの侵透手段の一つとして定着してしまっています。
どうしてEmotetにひっかかるのか?
「いくら悪質なマルウェアと言ったって、最初はメールでしょ?オレはそんなのひっかからないね」と自信のある方もおられることと思います。
Emotetでは、そのあたりの偽装がかなり巧妙です。
多くの場合、実在の人物を騙ってメールが送られてきます。
Emotetはどこかのパソコン(PC)に侵入すると、そのPCにあるメール情報を盗み取り、誰にどんなタイトルでメールを送っているかをEmotetサーバに集めます。
これを利用して、あたかも返信に見せかけた偽メールをでっちあげ、Emotetサーバから次の被害者となるメールアドレスに向けて発信をするわけです。
このメルマガのNo298でも解説しましたが、メールの送信元というのは簡単に偽装ができます。
お客さんと何かの課題で交渉をしているパソコンがEmotetに感染すると、その相手先情報を利用してEmotetサーバから偽メールを送信します。
その偽メールを受信した側は、偽だとは夢にも思わず添付書類を開く、するとさらにそのパソコンもEmotetに感染して、情報を盗まれさらに別の相手先に...ということがくり返されるわけです。
Emotetはまさにこのパターンでマルウェアの拡散をしていくのです。
また、Emotetでは添付書類がMicrosoftOfficeのファイル(ExcelやWord)形式となっています。
これも、ExcelやWordの文書ファイルを開いたってまさか感染するまい、という(誤った)安心感を利用しているのですが、その点でも悪質と言えます。
マルウェアは実行しないと何もできない
マルウェアの作者視点で考えると、目的のマルウェアをいかに利用者を欺いて実行させるかが最大の難関です。
マスコミでも頻繁に情報漏洩だの不正侵入だのといった報道がなされますから、普通の利用者の中には「なんかメールに添付されたアプリを実行するのは良くないらしい」くらいの意識を持つ方は増えてきています。
特に実行形式と呼ばれる形式のファイルが添付されている場合は危険です。
実行形式というのは、Windows上で動作するプログラムそのもののことです。
一般的には、ファイル名の末尾が.EXE となっているものを指しますが、それ以外にも .COM や .SCR などいくつかの名称があります)
プログラムは、実行するとコンピュータ内の情報(ファイルや管理情報)に自由にアクセスできます。(特別な権限がないと読み書きできない情報もありますが基本的には全てにアクセス可能です)
これは、プログラムが情報にアクセスできないと困るシーンがたくさんあるからです。
コンピュータ内のファイルの読み書きができないと、データの保管や読込みできません。
また、組織内ットワークが使えないと、共有サーバやプリンタが使えません。
どんなによくできたマルウェアであっても、実行できなければ何もできません。
だからこそ、マルウェア作者は疑われずに実行させようと、手法を駆使するわけです。
マクロウイルスというもの
もう10年以上も前から、メールに.EXEなどの実行形式を添付した場合は、メールを受け取った時点で削除されたり、マルウェア対策ソフトにガードされるケースが増えてきています。
そのため、マルウェア作者側は実行形式以外のマルウェアを生み出します。
その一つがEmotetでも使われているマクロウイルスと呼ばれる手法です。
実行形式をメール添付しても削除されるから、削除されないようにしようとしたわけです。
そのため、ExcelやWordの標準機能である「マクロ」を使います。
ご存知の方も多いと思いますが「マクロ」というのはExcelやWordでの一連の動作やコマンドをまとめて実行させるための機能です。
ここでのポイントは、マクロではWindowsのコマンドも実行できる点にあります。
通常のマクロでは、Excelの機能(値を入力する、セルの値によって色を替える、シートを増やすなどなど)を羅列します。
ですが、マクロではWindows自身の機能を利用することもできます。
例えば、ファイルサーバのファイルを開く、シートを印刷する、ファイルを保存する、そのファイルをメールで送る、といったことです。
この時点でも既に十分以上に危険です。
だって、マクロ上で人事情報にアクセスし、コピーをマルウェアの作者に送ることができるのです。
ですので、マクロを使うにあたっては、Excelが「ホントにマクロを実行してもいいの?」と聞くことになっています。
実際のEmotetのマクロはこれよりもはるかに悪質なことを行います。
1) Emotetの配布サイトからEmotet本体(実行形式のファイル)をダウンロードさせます。
2) ダウンロードしたEmotetを実行させます。
3) Emotetはさらに招かざる客(他のマルウェアなど)をダウンロードします。
4) 情報が盗み放題になります。
2023年のEmotet
さて、2022年まではEmotetは主にExcelのマクロでした。
2023年では、それに比べると利用者の少ないWordやOneNote(ワンノート)向けのマクロウイルスが流通しているそうです。
OneNoteというのは、Microsoft社のOfficeにオマケとして付いているプログラムです。
Officeを標準インストールすると導入されるため、入っていることに気付いていない方も多いと思います。
添付書類を開くと、OneNoteの画面が開くのですが、そもそもOneNoteを使っていないとどのような画面が通常で、どれが危険なのかが判断できません。
そのため、言われるがままにボタンをクリック(ダブルクリック)するとマクロが実行され、Emotetに感染してしまいます。
このようにEmotetは攻撃手法を変えてきているため、知らない画面が出てきた時には「OK」や「はい」といったボタンをクリックせず、終了させるようにしてください。
日本はEmotetの最大被害国
なお、2022年の流行時にはEmotet最大の被害国は日本とのこと。ある調査では被害の80%が日本という報告があがっています。
これにはいくつかの理由があるようです。
1) 「マクロの有効化」ボタンを気にせず押す人が多い
2) 添付書類をパスワード付きZIPファイルで添付している
前者については、利用者の意識をたかめる以外に方法はありません。
むしろ、海外で多くの方が「マクロの有効化」をクリックしないというのが筆者は解せません。添付書類を見たくならないんでしょうかね。
後者については、確かに日本独特の習慣のようです。
誰が言い出したのか知らないのですが、パスワード付きZIPというのは百害あって一利なしの方式と言えます。
2023年現在でも、この手順を金科玉条のごとく守っている組織もあるようですが、本当に価値のない方式ですので、是非改めていただきたいと思います。
(セキュリティを専業とされている方でこの方式を推奨されている方はおられません)
このパスワード付きZIPファイルについては、本メールマガジンの過去記事(2020年12月公開)で詳しく書いていますので、是非ご覧ください。
No187 パスワード付きZIPファイルがなくなる日
https://note.com/egao_it/n/nb7a4fddc3ec7
まとめ
2019年、2022年と大流行したEmotetが、再々度流行のきざしを見せています。
基本的には前回までと同様に、MicrosoftのOffice製品で利用できるマクロ機能を悪用したマクロウイルスです。
対策としては、添付されたファイルにマクロが付いている場合は、絶対に「マクロの有効化」ボタンをクリックしないことです。
また、よく知らない画面(警告画面など)が表示された場合、よく知らないアプリ(OneNoteなど)が起動した場合は「キャンセル」などをクリックし、マクロなどが実行されないように注意をしてください。
Emotetのマクロウイルスは外部のサーバに接続をして、Emotet本体のダウンロードやさらなるマルウェアのダウンロードを行います。
一度ダウンロードされてしまうと、同僚のパソコン(PC)だけでなく、お客さんにまで被害を拡げてしまう可能性があります。
おまけとして(2023年時点で有効な)Emotetメールの見抜き方をお伝えします。
実に簡単な見抜き方があります。
通常のビジネスメールでは、一行目に先方の名前を書きますよね。
ですが、Emotetに限らずマルウェアはあなたの名前(漢字の氏名)を知りませんから、一行目に氏名が書けません。
つまり、一行目に名前がなければ(現時点では)マルウェア付きメールの可能性が非常に高いといえます。
ただし、Emotetは進化しつづけているマルウェアです。
いつ一行目に氏名が埋め込まれるようになるかはわかりません。
ですので、永遠に有効というわけではないことはご注意ください。
今回は、またしても流行しつつあるEmotetについて解説をしました。
次回もお楽しみに。
御礼
おかげ様で、本メールマガジンは通算300号を迎えました。
2017年3月13日(月)に配信を始めてから6年になります。
この長期間にわたりご愛読をいただいております皆様には深く感謝いたします。
本当にありがとうございます。
また、私事となりますが、先日、永年お世話になった会社を定年退職いたしました。
今後は「えがおIT研究所合同会社」代表として精進を重ねて参ります。
「がんばりすぎないセキュリティ」ともどもよろしくお願いいたします。
(本稿は 2023年3月に作成しました)
本Noteはメルマガ「がんばりすぎないセキュリティ」からの転載です。
当所はセミナーなどを通して皆さんが楽しく笑顔でITを利用いただくために、 難しいセキュリティ技術をやさしく語ります。
公式サイトは https://www.egao-it.com/ です。