メールで感染するEmotetウイルスが国内で猛威、気をつけることは？

Emotetが国内で猛威をふるいはじめた

　「Emotet」（エモテット）と呼ばれるウイルスへの感染を狙う攻撃メールが、国内で猛威をふるっている。 

　JPCERTコーディネーションセンター（JPCERT/CC）は2019年11月27日、Emotetの感染に関する相談を多数受けているとして、国内企業などに注意を呼び掛けた（マルウエア Emotet の感染に関する注意喚起）。

　Emotetはもともと、2014年ごろに確認された、オンラインバンキングの認証情報などを盗み取るマルウェアだ。その後、サイバー犯罪者たちがさまざまな機能を追加したことで、不正プログラムの拡散や、オンライン詐欺などにも使われるようになった。

　これまで、日本の利用者を対象にした攻撃は報告されてこなかったが、2019年から国内でも多数の被害が報告されるようになった。

　国内で流行しているEmotetは、実在の組織や人物になりすましたメールに添付された、Wordファイルによって感染するケースが多い。まず、攻撃者は、Emotetに感染させるための不正なマクロを埋め込んだファイルが添付されているメールを送る。

　受信者がOfficeアプリケーションのマクロを有効にした状態でファイルを開き、コンテンツの有効化を実行してしまうことで、Emotetの感染に繋がることがわかっている。感染すると、デバイスやブラウザに保存されたパスワードなどの認証情報が盗み出されてしまうほか、感染したデバイスが組織内に残ったままの場合、感染を広げるメールの配信元として、攻撃者に悪用される可能性がある。

　不特定多数に攻撃するのみならず、実際の組織間のメールのやりとりの内容を転用することで、感染元から送信先への返信をよそおうものがあることが報告されている。これにより、Emotetの感染を狙うメールが、「取引先の担当者から送られている」ように見えてしまうので、注意が必要だ。

ファイルが添付されたメールに気をつけろ

　今回のEmotetの件では、メールや、Office形式のファイルが悪用されていることから、メールの経由によるマルウェア感染に気をつけたいところだ。

　具体的には、スパムメールや発信元が不明なメッセージは開かないこと、電子メールなどに記載されたURLをクリックする前に正規なものかどうか注意すること、クリックする前に可能であれば発信元に確認することなどの対策が有効。

　デバイスのOSを常に最新の状態に保つ、十分なセキュリティ対策でデバイスを保護するなどの、基本的な対策も重要。今回の場合は、マクロ機能が有効化されなければ、不正な活動はないので、マクロを無効にするのも手といえる。

　もし、感染が疑われた場合は、 感染したデバイスをネットワークから隔離し、メールアカウントのパスワードなどを変更し、ウイルス対策ソフトでのスキャンや、感染したデバイスを利用していたアカウントのパスワードも変更するなどの対応が必要になる。

　なお、JPCERTコーディネーションセンターでは、Emotetに関するFAQを掲載したブログを公開しているので、目を通しておくとよいだろう（マルウエアEmotetへの対応FAQ - JPCERT/CC Eyes JPCERTコーディネーションセンター公式ブログ）。

　今回はウイルスについての知識を深めるために、McAfee Blogの「ウイルスにはどんな種類があるのか？分類・特徴・マルウェアとの違い」を紹介しよう。（せきゅラボ）

※以下はMcAfee Blogからの転載となります。

ウイルスにはどんな種類があるのか？分類・特徴・マルウェアとの違い

1. ウイルスの定義

　他のプログラムファイル（宿主）に寄生して、そのプログラムの動作を妨げたり、自分のコピーを追加（感染・増殖）したり、ユーザーが意図しない挙動を行うプログラムです。独自で活動できず宿主のアプリケーションが実行された際に、感染・増殖を引き起こします。

　経済産業省のコンピュータウイルス対策基準では以下のように定義しています。

2. ウイルスとマルウェアの違い

　ウイルスと一緒によく聞く言葉にマルウェアがあります。ウイルスとマルウェアは広い意味では同義で使われることが多いですが、狭い意味においては使い分けられることもあります。

　PCに入り込んで不正な行為を行う不正プログラム全般を「マルウェア」、あるいは「広義のウイルス」と呼び、マルウェアは、「トロイの木馬」「狭義のウイルス」「ワーム」に大別できます。

　広い意味でいうとトロイの木馬もワームもウイルスの一種として表現されることがあります。

3. ウイルスの種類

　次に特徴に応じて以下のウイルスについて見ていきます。

3-1 ファイル感染型

　ウイルス単体で活動するのではなく、ファイルに付着してプログラムを勝手に改ざんし感染・増殖する種類のウイルスで、上書き型・追記型といった複数のパターンがあります。上書き型は感染したファイルを完全に書き換えて上書きするタイプで、追記型は元ファイルに書き加えるタイプです。

　上書き型は元ファイルの一部を書き換えるだけなので発見しにくいと言われています。一方、追記型はデータが追加された分ファイルサイズが大きくなることから上書き型よりは発見しやすいと言われています。また、上書き型はコードが書き換えられているため復元が難しいですが、追記型は不正コードを取り除くことで復元できることもあります。

3-2 マクロ感染型

　表計算ソフトなどに搭載されているマクロ機能を悪用したウイルスです。マクロ機能とは、Officeなどのアプリケーションソフトで頻繁に用いる定型化された処理手順をセットしておき、必要な時に呼び出してセットした処理を自動実行させることができる機能です。この処理がマクロ言語というプログラミング言語を使っていて、マクロウイルスが含まれたファイルを開くと感染活動を行うプログラムが自動実行される仕組みになっています。

　代表的な手口としてはOfficeソフトのファイルにマクロウイルスを組み込み、Ｅメールにファイルを添付してスパムメールで不特定多数に送り付ける方法があります。受信者側はExcelやWordといった普段使い慣れたファイルに仕込まれているため警戒しにくいといえます。開いた瞬間マクロのコマンドが実行され感染してしまいます。

3-3 ワーム型

　ワームはウイルス同様、自身を複製して伝染しますが、ウイルスと違って独自に活動できるため宿主を必要とせず、厳密にはウイルスと異なります。感染すると、システムやネットワークの性能を劣化させたり、コンピューター内のファイルを削除するなどの破壊活動を行ったり、別のコンピューターへ侵入するといった活動を実施します。

3-4 トロイの木馬型

　トロイの木馬の言葉の起源は、ギリシャ神話に登場する装置です。トロイア戦争において、戦闘が膠着状態になったとき、ギリシャが、巨大な木馬を作り内部に人を潜ませ、トロイア市内に運び込ませ、陥落させる決め手としました。このことから転じて「正体を偽って潜入し、相手を陥れる罠」を指すようになりました。

　同様に、セキュリティ用語におけるトロイの木馬も、正体を偽ってコンピューターに侵入し、データを盗み出したり、データを消去したりといったような相手を陥れる動作をするプログラムのことを意味するようになりました。

　トロイの木馬は、基本的には正規のソフトウェアのふりをしたマルウェアで、それと知らずにユーザーがインストールしてしまうことで感染します。感染すると、ユーザーに気づかれないように様々な動作を行います。最近では、マルウェアに感染させる際に、最初にトロイの木馬を送り込むケースが増えています。

3-5 コンセプトウイルス

　新しい技術が生まれた時や新しい脆弱性が発見されたときなどに、ウイルスが侵入できるかなど技術的な検証を目的として試験的に作成されるものです。本来悪意のあるものではありませんが、世間に出回ってしまい、悪用されたり、危険性のあるウイルスに作り替えられる可能性もあります。

4. 進化し、増加するウイルス

　近年は実行ファイルを持たないファイルレスマルウェアやBlueToothの脆弱性を悪用したマルウェア（Blueborne）など新しい攻撃が増えています。一方で、過去のウイルスもなくなることはなく、世間が忘れたころに昔のウイルスを改変して悪用することもあり、基本的に攻撃手段は増加しますが減ることはありません。海外で流行したものが国内で流行することもあり、ウイルスを捉えるときは過去に流行した種類や海外で発生しているものも含めて広い視野を持っておく必要があります。

5. まとめ

　代表的なウイルスの種類を概観しましたが、一言でウイルスといっても様々な行動をとり、それぞれ異なる被害を招きます。どんな種類のウイルスがどんな行動をとるのか知ることはセキュリティ対策でも重要なことです。亜種や新種は今後も増え続けますので、新しい情報をキャッチしながら対策も進化させていきましょう。