情報セキュリティの脅威はすぐそこに

「Emotet」の猛威はどこまで広がるか

11月末にJPCERT/CCが「マルウエア Emotet の感染に関する注意喚起」を発表しました。

元々は2014年頃に初めて存在が確認されたマルウェアですが、特に今年の10月から11月頃にかけて国内での観測・感染例の報告が増えてきたため注意喚起がなされたという背景です。
弊社でもこのEmotetに感染したと思われるメールを受信しており、その文面を見ると「油断していると無意識に添付ファイルを開いてしまいそうになる」クオリティに仕上がっていることに驚きました。


注目すべきはJPCERT/CCの注意喚起の中にもありますが、感染したPCのメールクライアントの情報を窃取し、実際のやり取りの内容を転用することで、あたかも実在する取引先の担当者から送られたように見えるメールが送信されてくるという点にあります。
技術的な詳しい解説は三井物産セキュアディレクションのブログが詳しいですが、OutlookのDLLが提供するAPIを経由してメール関連の情報を摂取するという点にあります。
これにより受信トレイや送信済みトレイにあるメールから実際の通常のやり取りが行われている内容を窃取し、それを装ったメールを送って自身の拡散を試みるということになります。
入り口はやり取り型の標的型メール攻撃のようであり、それ以外にも古くからあるSMBの脆弱性を突いて拡散を試みたり、C&Cサーバと通信したりと様々な手法や機能が盛り込まれているマルウェアですが、「OutlookのAPI経由で実際のメールの内容やサーバ設定を窃取する」という点はありそうでなかったと言えるかもしれません。
数年に一度、マルウェア界隈で起きる「ちょっとした大発明」と言えてしまう可能性すらあります。


通常の(と言っていいのかというのはありますが)標的型メール攻撃においても思わずURLをクリックしたり添付ファイルを開いてしまうほどの引っかかる何かがないと、攻撃者から見た「効率」は意外と上がらなくなっているのではないかと言えそうです。
つまり本当にメールのやり取りをしている人を送信するサーバの設定や文面も含めて装うことができれば、受信した人の心に引っかかりやすいというのは当たり前と言えば当たり前の事実です。
その発想がなかったのか、攻撃者側の視点から見て技術的な難しさがあったのかは不明ですし、最近になって国内で注意喚起を必要とするほど流行が起きている理由も謎ではあります。ウィルス対策ソフトの対応が遅れるほどのスピードで亜種が生まれているという話もありますので、その辺りの動きが活発になっているということなのかもしれません。

年末年始でいろいろと気が緩んだりセキュリティ対策にタイムラグが生まれがちな時期になるため、そこを狙ってさらに活動が活発になる可能性も指摘されています。
せめてOSやソフトウェアのアップデートやウィルス対策ソフトの定義更新を怠らないという日頃の行いを改めて見直すと同時に、怪しいメールを安易に開かないという心がけを新たにしたいところではあります。
しかし高度に巧妙化したあたかも本物のようなメールに対して「胆力」や「野生の勘」が最後の防壁になるかもしれないというのは心苦しいところもありますが、脅威に対して技術的な対策も重要ですが人的な対策もまた重要というのは今も昔も変わらないところです。
もしこのタイプのマルウェアが流行し続けたりさらなる進化を遂げるような事態があると、「メールにファイルを添付する」という当たり前の慣習すら疑わざるを得なくなってくるというのは、だいぶ不幸な未来かもしれません。