イエラエセキュリティ CSIRT支援室 第 20 回 猛威を振るうマルウェア Emotet について

　こんにちは。イエラエセキュリティ ディフェンシブセキュリティ部の高橋です。

　マルウェア「Emotet」が活動を再開して以来、過去に無いレベルで感染報告が上がっています。弊社フォレンジック調査窓口でも非常に数多くの相談が寄せられています。

　Emotet の感染被害を受けてしまうと、次は自身が加害者になってしまうというとても凶悪な特徴を持っています。そんな Emotet について、弊社へフォレンジック調査をご依頼いただく前に読むことで、少しでも状況の切り分けになるようにブログにまとめてみたいと思います。

　自組織では Emotet に感染しているのだろうか？ といった場合や、実際に Emotet付きメールが届いた場合など、事故調査の観点でまとめています。

●はじめに

　まずは JPCERT/CC から公開されている「マルウェアEmotetへの対応FAQ」をご確認ください。
https://blogs.jpcert.or.jp/ja/2019/12/emotetfaq.html

　3/3 付けで更新が行われており、2 月後半から感染爆発している Emotet の特徴や実際に届くメール文面の例などがまとめられています。
https://www.jpcert.or.jp/at/2022/at220006.html

●Emotetとは

　Emotet（エモテット）とはマルウェアの名称です。メールに添付されたマクロ付きOfficeドキュメントファイルが原因で感染します。感染フローは以下の通りです。

1.マクロ付きExcel (もしくはWordドキュメント)が添付されたメールを受信する

2.該当メールを開き、添付ファイルを実行し、「マクロの有効化」を押下する（デフォルトでマクロが有効化される設定の場合、有効化ボタンは表示されず、3 の状態になります）

3.Excelマクロの実行により複数の URL へアクセスが発生する

4.それぞれの URL から Emotet本体がダウンロード試行され感染する

5.感染すると、端末に保管されているメールアドレスの ID/パスワードが奪取されメールアカウントを乗っ取られる

6.乗っ取られたメールアカウントの連絡先リストやメールボックスの過去のメールの返信で、マクロ付きExcelファイルを添付したメールが大量に送信される

●Emotet に感染しているかも？というときに確認する項目

・マクロ付きExcelファイルを添付したメールを受信している
・マクロを有効化してしまったという従業員からの報告がある
・自社メールアドレスから大量のメール送信履歴が発見された
・従業員からエラーメール (バウンスメール)を受信したと報告を受けた
・取引先などから「御社のなりすましのようなメールが届いた」と通報を受け取る
・プロキシログなどで Emotet通信先URL へのアクセスが確認された

※Emotet の通信先は URLhaus などをご覧ください。掲載URL のフルパスでマッチングが確認された場合は高確率で感染しています。（URLhaus に登録が無い場合もあるため、メールログなども併せて確認してください。）
https://urlhaus.abuse.ch/browse/tag/emotet/

※また Feodo Tracker では、Emotet の C2サーバ（マルウェアに対して命令を送るサーバ）の IPアドレスのリストも公開されています。記載の IPアドレスをブロックリストに追加することで被害拡大を防ぐことが期待できます。
https://feodotracker.abuse.ch/

●感染したときに取るべき行動

・JPCERT/CC から公開されている EmoCheck を実行する
https://github.com/JPCERTCC/EmoCheck/releases

・該当端末にて使用していたメールアドレスの凍結、またはパスワード変更や MFA の有効化

・自社HP などに Emotet感染のお知らせの掲載を行い広く周知する

●自組織では感染していないが、Emotetメールを受信している場合

・被害に気づいていない可能性があるため、メール送信者の組織へご連絡ください（くれぐれも Emotet付メールには返信しないようご注意ください）

・メールフィルタルールの見直しをご実施ください

・Microsoft Excel で「マクロの有効化」を自動的に許容する設定になっていないかご確認いただき、許容する設定になってい居た場合はすぐに無効化してください

●HP掲載文

・Emotet に感染しているかどうか
・自社メールアドレスからメールが送信されているかどうか
　・件数が判明しているようであれば件数もご記載ください
・メールは開かず削除するように案内

●再発防止

・Windows Update を実施し、最新の状態を保つ
・アンチウィルスソフトの定義ファイルを最新にアップデートする
・メールの監査ログの監視を行う
・Emotet の通信先を UTM などでブロックする（併せてログの保管期間の見直しやログの保全もご実施ください）
・従業員教育を行う
　・JPCERT/CC の FAQ などを参考に、メール文例や Emotet の特徴などをご周知ください
　・Emotet と疑わしいメールを受信した際に取る対応内容を今一度ご周知ください
　・今一度、社内通報フローや連絡先などをご周知ください

●その他注意点

・メールの添付ファイルを自動的に圧縮して暗号化するソリューションを導入している組織からのメール受信の場合、アンチウィルスによるメールスキャンをすり抜けますのでご注意ください。

・非常に流暢な日本語での Emotetメール送信が増加しています。より一層ご注意ください。

・一部検体では、Emotet に加えて侵入テストに用いられるツールがインストールされたり、Emotet を踏み台としてランサムウェアに感染したりなどの報告が上がっています。より一層ご注意ください。

●フォレンジック調査を依頼いただく際は

・現在もメール送信が続いているのかどうか
・該当端末は NW から切断されているのかどうか
・該当メールアカウントは凍結したか
・プロキシや DNS などのログはあるか
・UTM や EDR などのセキュリティセンサーのログはあるか
・事態発覚から現在までに行った作業のタイムライン
・何を調査したいのか（感染原因、被害範囲、送信件数、等）

などを整理の上ご相談ください。
CSIRT支援サービス概要