2021/02/16

EMOTET は本当に消えたのか?

2021 年 2 月 16 日 Iratxe Vázquez Rodríguez 著

このタイトルへの答えは明言できませんが、ウォッチガードは、なんらかの形で復活すると予想します。確かに EMOTET のテイクダウンには成功しました。しかしサイバーセキュリティの世界では、マルウェアは巧妙かつ意外な方法で復活するというのが常識です。したがって、EMOTET ボットネットにも大いに復活の可能性があります。

EMOTET とは?

非常に活発に稼働しており危険なボットネットである EMOTET は、国際機関であるユーロポール (欧州刑事警察機構) とユーロジャスト (欧州司法機構) 共同の作戦によって一度テイクダウン (解体) されました。

ほとんどのマルウェアと同様、EMOTET は攻撃方法として電子メールを利用してリモートサーバにアクセスします。攻撃者が管理するボットネット (EMOTET にすでに感染しているコンピュータ) がスパムメールやフィッシングメールを送信し、そのほとんどに Word ファイルやハイパーリンクが添付されています。添付ファイルがある場合は、新型コロナウイルス関連の請求書や書類に偽装されている場合が大半です。受信者が Word 文書を開くとマクロや編集、コンテンツを有効にするように促されますが、これによって攻撃者が EMOTET のトロイの木馬やボットクライアントを隠れてインストールできる仕組みです。攻撃者は次に EMOTET のトロイの木馬を利用して TrickBot や Qbot といった別のマルウェアをインストールし、他のコンピュータやサーバへ、さらに迅速に拡散できるようにします。

他の多くのボットネットと同様、EMOTET はボットネットを管理するサイバー犯罪者が被害者のマシンに任意の実行ファイルをインストールしたり、ボットネットを構成するデバイスのリソースを悪意のある目的 (DDoS 攻撃、スパムやフィッシング、悪意のあるトラフィックのためのプロキシなど) に使用したりできるようになります。特にインストールされた EMOTET はマルウェアローダとして機能するため、このサイバー犯罪者は他の犯罪者にオークションで売ることができます。EMOTET を操るサイバー犯罪者はまさにこれを行い、被害者のデバイスへのアクセスを第三者の入札者に売りつけ、その入札者がランサムウェアなど他の悪意のあるプログラムをインストールしました。ユーロポールによると、EMOTET が当時最も危険な脅威の 1 つとなった理由は、それがインストールプラットフォームとして活用され、多数の犯罪用マルウェアを配布していたためです。

2021 年 1 月 27 日に起きたこと

1 月 27 日、ドイツ、オランダ、米国、英国、リトアニア、フランス、ウクライナ、カナダの法執行機関の共同作戦により、マルウェアのC2 (コマンド & コントロール) インフラストラクチャの停止に成功しました。

法執行機関はボットネットにコマンドを送信するために使用されていた C2 インフラストラクチャを制御し (2021 年 1 月 25 日)、まさにそのボットネットのコマンドを使用して EMOTET をアンインストールするモジュールを配布しました。つまり、ボットクライアントを感染したマシンから削除し、ボットネットに参加できないようにしました。
EMOTET のインフラストラクチャには世界中の数百台のサーバが組み込まれており、感染したコンピュータを管理するためのさまざまな機能を実装していました。多くの場合、当局は法執行機関として、ISP やホスティング会社などのインフラストラクチャに存在する悪意のあるサーバへのアクセスを要請しなければならなかったと思われます。

容疑者への対応

インフラストラクチャのテイクダウンに加えて、ウクライナのサイバー警察は、ボットネットのインフラストラクチャ整備に関与していたとみられる 2 人の人物を逮捕しており、有罪判決を受ければ 12 年の懲役となる可能性があります。また、インフラストラクチャを利用したサイバー犯罪グループの他の関連会社も特定されています。逮捕に向けた措置もとられています。

何をすべきか?

EMOTET ボットネットはテイクダウンされたものの、同様の感染を防ぐためには、エンドポイントのセキュリティを強化する必要があります。

EMOTET のインフラストラクチャのテイクダウンは大きな成果でした。当局がボットネットを制御しているため、EMOTET の亜種も以前の状態への復帰が困難になっていると見られます。ウォッチガードのデータによれば、EMOTET のインフラストラクチャを停止したことで、新たな攻撃も即座に減ったようです。

EMOTET の復活が困難を極めているように見えるかもしれませんが、過去に解体された他のボットネットは、排除のための協力作戦にも関わらず復活しています。ウォッチガードのアナリストによると、今日のマルウェアの 97% が何らかのポリモーフィック技術を使用しています。Cryptolocker や Wannacry といった有名なランサムウェアもその一部です。しかしここで重要なのは、マルウェアによって複雑さと暗号化の程度が異なり、EMOTET のような特に洗練されたマルウェアは従来のエンドポイントセキュリティソリューションでは検出が困難な場合があるということです。さらにこのようなマルウェアの亜種の多くは、過去にアンダーグラウンドで流出したマルウェアのソースコードを共有しています。EMOTET のコードの一部は、大昔に流出した Zbot のソースコードを含むボットネットの亜種が由来です。まとめると、ボットネットは何らかの形で復活することが多く、時には非常に馴染みのあるボットネットの新しい亜種が、別のサイバー犯罪者の制御下で復活することもあるということです。

世界の捜査機関がもたらしたこの勝利は喜ぶべきものですが、ボットネットに対する警戒を怠ってはいけません。EMOTET ボットネットなどのような攻撃から身を守るために、ウォッチガードは従業員にフィッシングメールを判別するためのトレーニングをすることをお勧めします。DNSWatch やネットワークベースのマルウェア対策など、さまざまなウォッチガード製品を使えば、最低でもこのメールにあるリンクや添付ファイルを無効にすることができます。

最も重要なのは、エンドポイントにおける強力な防御です。セキュリティレイヤーをいくつ重ねたとしても、なんらかの脅威が従業員のコンピュータに侵入します。Panda Adaptive Defense 360 (AD360) のような完全なエンドポイントプロテクション (EPP) スイートは、多くの方法で保護を提供します。例えば、脆弱性を修正するためにオペレーティングシステム (OS) やソフトウェアをアップデートする必要がありますが、AD360 では Panda Patch Management がそれを行います。さらに Panda Full Encryption は、エンドポイントのデータを暗号化することで、サイバー犯罪者が入手および悪用できるデータを最小限に抑えます。最後に、AD360 にはマルウェアの識別と抑止のための多くのレイヤーがあり、EMOTET のような回避型マルウェアもシステムに寄せ付けません。

以下のインフォグラフィックでは、EMOTET による攻撃と、Panda Adaptive Defense 360 とその多層防御アプローチがこのボットネットや他の多くの複雑な脅威にどのように対処するかを図解しています。最後の防御策は、あらゆるマルウェアの実行を回避するゼロトラストアプリケーションサービスです。実行しようとするすべてのアプリケーションが、まず直ちにクラウド上のこの AI ベースのサービスで分類されます。そのため、正規のアプリケーションのみが動作し、マルウェアは常にブロックされます。

EMOTET による攻撃と Panda AD360、その多層防御アプローチ

ネットワーク内外のマルウェアだけでなく、脅威からエンドポイントを保護しましょう。30 日間無料でお試しいただけます(申し込みサイトは英語)。

トライアルの前にご不明な点がある、または弊社の営業担当から話を聞いてみたいという方は、ウォッチガード・ジャパンのサイトの問い合わせフォームからご連絡ください。

スパムメール対策機能強化のためのエンジン移行について(2021/4/1)