近年脅威としてあげられるマルウェアのEmotet。
そんなEmotetから攻撃を1番受けている国はどこだと思いますか。アメリカでしょうか、中国でしょうか。
なんと、正解は「日本」なんです。びっくりですよね。
今年の2～4月のEmotet合計検知数は、日本はヨーロッパの8倍、アメリカの11倍でした。企業規模は大小関わらず、業種もさまざまなようです。
そんなEmotetに対し、私たちは一体なにができるのでしょうか。

Emotetの攻撃手法とは

Emotetの攻撃形式はいくつかありますが、大きく2つに分けられます。
不正なOffice文書ファイルを「手動」でダウンロードし感染する従来のパターンと、「自動」でダウンロードし感染してしまう新しいパターンです。

Emotetの感染：従来のパターン

1. メールに添付されたOffice文書を開く
2. 「コンテンツの有効化」ボタンをクリック
3. 不正マクロからPowerShellが実行されEmotet本体がダウンロードされると感染

Emotetは、「コンテンツを有効化」を手動でクリックし、マクロを有効化することで感染します。メールを受信しただけでは感染しません。そのため、マクロを無効化することが効果的です。

Microsoftではデフォルトでマクロを無効化

感染予防として、Microsoftでは、2022年2月から「マクロを無効化」および「保護ビューの有効化」へとデフォルト値が変更になりました。

Emotetの感染：新たなパターン（２０２２年４月下旬から）

1. メールに添付されたファイルを開く
2. ショートカットリンクをクリックすると感染

新たなパターンの最大の特徴は、「PowerShellを直接起動させることができるため、マクロ起動が不要である」ことです。従来の感染パターン対策に有効とされていた「マクロ無効化」をすり抜け、感染させることができます。

ではどうすれば

Emotetは日々ハッシュ値を変更し、亜種によるパターン検索のすり抜けを狙っています。
そのため、既知のEmotetだけでなく、未知のEmotetを検知する必要あります。

「エンドポイントセキュリティを入れてるから絶対大丈夫！」
いえいえ、そんなことはありません。
パターンファイルを持つセキュリティ製品は、既知の脅威には強いですが、未知の脅威には対応できません。
また、不正にファイル添付されてない、かつURLからダウンロードする形式だと、すり抜けられてしまいます。

そのため、エンドポイントセキュリティに加え、URLサンドボックスを行うなど、多層防御としてさまざまなパターンに耐えうる設計が必要です。
今一度、会社・自宅のセキュリティを改めてみてはいかがでしょうか。

• PREV働くあなたに伝えたいこと
  ～おじさんのつぶやき「シャーデンフロイデ」～
• NEXT当社経理担当者が語る！
  V-ONEクラウド（入金消込システム）を導入してみた