【2021年12月追記】―――
2021年11月16日、情報処理推進機構(IPA)よりEmotetが活動を再開したと発表があり、国内でも感染が確認されています。攻撃手法は、前回同様、メールの添付ファイルを通じて悪意のあるプログラムを仕込む手法です。
本記事では2021年1月に収束の見通しがついていると記載されていますが、引き続き、OSのセキュリティホールなどの対策や覚えのない添付ファイルを開かないこと、メールに添付されたOfficeファイルを開いた場合も「コンテンツの有効化」ボタンをクリックせずファイルを閉じることなど、注意喚起がされています。
―――
世界で最も危険なコンピュータウイルスと称されていたマルウェア「Emotet(エモテット)」。 2021年1月、そのサーバーが摘発され、今後収束していくことが予想されています。しかし、Emotetが収束しても未知なるマルウェアへの対策は必要とされ続けています。
本記事では、その背景と今後取るべき対応策をご紹介します。
ページコンテンツ
Emotet(エモテット)とは?
まず初めに、Emotetの概要についておさらいしておきましょう。
Emotetは、「なりすましメール」を自動作成・自動送信する拡散型のマルウェアです。このマルウェアの厄介な点は、「ユーザーが過去に送信したメールの文面が引用されているため、メールの受信者がマルウェアの仕業だと気付かないこと」にあります。
マルウェアの中には、偽サイトにアクセスすることで感染したり、無料アプリを利用したりすることで感染するものが存在します。しかし、Emotetの場合には、それらに触れていなくても感染する恐れがあることが特徴でした。過去にやり取りをしたことのある人物からのメールであれば、思わず開封してしまう可能性が高いからです。
とは?広がる危険性といま行うべき方法-120x120.png)
こうした脅威をはらんでいたEmotetですが、2021年1月27日、世界中の警察機関が連携してサイバー犯罪グループからその制御を奪い取ることに成功しました。
制圧されたEmotet(エモテット)
ユーロポール(ヨーロッパ刑事警察機構)の発表によると、Emotetを拡散させるネットワークの情報基盤に侵入して制圧し、内部から停止させたことが明らかになりました。Emotetは世界中にある数百台のサーバーを経由する広域ネットワークにより機能していたわけですが、今回はそのネットワークを司るメインサーバーを奪取したことになります。
この合同捜査に参加したウクライナ警察によると、Emotetによって欧米金融機関では約25億ドル、日本円に換算すると2600億円の被害が出ていたということです。世界的な被害の大きさや注目度から考えても、今回の出来事は大きな節目になると考えられます。
期待される収束、今後の対応は?
ハッカー集団を支援していたメンバーが拘束されたこともあり、Emotetは今後、収束に向かっていくと見られています。しかし、Emotetは極めて巧妙なマルウェアであることに加えて、既に感染していた場合でも、感染の事実に気付きにくいことが特徴です。
そこで重要なことが、感染の有無の調べ方を知ることと、感染してしまっていた場合の対処法を抑えておくことです。そのポイントを見てみましょう。
感染してしまっているかどうかを確認する
まずは、感染の有無の調べ方です。コンピュータセキュリティの情報収集・インシデント対応の支援などを行っているJPCERT/CC(一般社団法人JPCERTコーディネーションセンター)のブログでは、Emotet の感染有無を確認できるツール「EmoCheck」が紹介されています。
こちらで紹介されているツールを利用し、「Emotetのプロセスが見つかりました」と表示されていた場合には、Emotetに感染していることになります。万が一、そのようなことが判明した場合には、次の対処を試みましょう。
感染していた場合の対応
Emotetへの感染が判明した場合、次の対応を速やかに実施しましょう。
- 感染端末のネットワーク環境からの隔離
- 証拠保全、および被害範囲の調査
- 感染端末で利用していたメールアカウントなどのパスワード変更
- 感染端末が接続していた組織内のネットワーク全端末のログの調査 (およびWindowsUpdate最新化、データのバックアップ取得など)
Emotetは一度感染すると、別のマルウェアの感染を誘発するなど悪さを続けます。だからこそ、いち早く感染していることに気付き、適切な対処を取ることが大切です。対応方法の詳細については、次の記事も参考にしてみてください。
サイバー攻撃はいたちごっこ!新しいマルウェアへの備えを
Emotetの脅威は去ったものの、今後もこのような巧妙な手口のマルウェアが登場し続けることが容易に考えられます。見覚えのないメールに添付されているファイルを開いてしまったり、気付かぬうちに偽サイトに誘導されてしまったりと、少しの油断でマルウェア感染を誘発してしまうことが考えられます。
クラウド活用や一人ひとりが分散して働くことが当たり前となった今、新たなマルウェアへの感染リスクをゼロにすることは不可能です。サイバー攻撃への対処はいたちごっこが続いているからこそ、未知のマルウェアが登場した際にも慌てず対処できる万全の対策を用意することが重要です。
そこで新たなサイバーセキュリティの形として注目されているのが、万が一感染しても通常業務に支障をきたさないための対応策です。
未知なるマルウェアも防ぐOSプロテクト型セキュリティ「AppGuard」
未知の脅威にも対応できるセキュリティソリューションとして注目されているのが、”侵入されても感染させない”といった発想でシステムの正しい動作と機能を守る「AppGuard(アップガード)」です。
従来のセキュリティソフトに見られる「検知型」の仕組みでは、対策が後手に回ってしまうことが多いことをご存じでしょうか。新種のマルウェアが1日平均40万個以上発生する今、既知のマルウェアのみならず、未知の脅威に対する対応策が自社を守る鍵といえます。
そこで、「OSプロテクト型」の形をとるAppGuardは、マルウェアを探し出すのではなく、攻撃が行われた段階で脅威を遮断。システムへの正常な動作のみを許可する、という新概念によって、不正な挙動からシステムを守ります。
一度設定を行った後はほとんど管理が不要となるため、管理者の負荷を軽減することが可能です。サイバーセキュリティの新時代が訪れている今、新たな対策の必要性を感じている企業さまはぜひ一度、お問い合わせください。
マルウェアが動いても「感染させない」。
不正な動作をすべてシャットアウトする新型セキュリティ「AppGuard」については、下記よりご覧いただけます。
