ちばぎんコンピューターサービス

ちばぎんコンピューターサービス

BLOG

ブログ

2022.07.04

Emotet(エモテット)の新しい感染手法と対策

セキュリティ

近年脅威としてあげられるマルウェアのEmotet。
そんなEmotetから攻撃を1番受けている国はどこだと思いますか。アメリカでしょうか、中国でしょうか。
なんと、正解は「日本」なんです。びっくりですよね。
今年の2~4月のEmotet合計検知数は、日本はヨーロッパの8倍、アメリカの11倍でした。企業規模は大小関わらず、業種もさまざまなようです。
そんなEmotetに対し、私たちは一体なにができるのでしょうか。

emotet_001.jpg

Emotetの攻撃手法とは

Emotetの攻撃形式はいくつかありますが、大きく2つに分けられます。
不正なOffice文書ファイルを「手動」でダウンロードし感染する従来のパターンと、「自動」でダウンロードし感染してしまう新しいパターンです。

Emotetの感染:従来のパターン

  1. メールに添付されたOffice文書を開く
  2. 「コンテンツの有効化」ボタンをクリック
  3. 不正マクロからPowerShellが実行されEmotet本体がダウンロードされると感染

Emotetは、「コンテンツを有効化」を手動でクリックし、マクロを有効化することで感染します。メールを受信しただけでは感染しません。そのため、マクロを無効化することが効果的です。

Microsoftではデフォルトでマクロを無効化

感染予防として、Microsoftでは、2022年2月から「マクロを無効化」および「保護ビューの有効化」へとデフォルト値が変更になりました。

Emotetの感染:新たなパターン(2022年4月下旬から)

  1. メールに添付されたファイルを開く
  2. ショートカットリンクをクリックすると感染

新たなパターンの最大の特徴は、「PowerShellを直接起動させることができるため、マクロ起動が不要である」ことです。従来の感染パターン対策に有効とされていた「マクロ無効化」をすり抜け、感染させることができます。

emotet_002.jpg

ではどうすれば

Emotetは日々ハッシュ値を変更し、亜種によるパターン検索のすり抜けを狙っています。
そのため、既知のEmotetだけでなく、未知のEmotetを検知する必要あります。

emotet_003.jpg

「エンドポイントセキュリティを入れてるから絶対大丈夫!」
いえいえ、そんなことはありません。
パターンファイルを持つセキュリティ製品は、既知の脅威には強いですが、未知の脅威には対応できません。
また、不正にファイル添付されてない、かつURLからダウンロードする形式だと、すり抜けられてしまいます。

そのため、エンドポイントセキュリティに加え、URLサンドボックスを行うなど、多層防御としてさまざまなパターンに耐えうる設計が必要です。
今一度、会社・自宅のセキュリティを改めてみてはいかがでしょうか。

Create Customer's Satisfaction

お客様の満足度を追求し続けています。

お問い合わせフォーム

043-213-8881(代表)