マルウェア「Emotet」との戦い – 最前線からの報告

Octopus

本記事のリサーチに協力してくれたソフォス エキスパートの Peter Mackenzie に謝意を表します。

Emotet は、検出を回避し、深く侵入して増殖するように設計されたマルウェアです。

Emotet は頻繁に更新される、ポリモーフィック型のモジュール設計、そしてさまざまな手法を用いてネットワーク経由で感染が可能という特徴があるため、管理者とセキュリティソフトウェアにとっては、形を変えながら動き続ける手ごわい相手です。

この 5 年の間に、銀行の認証情報を盗み出すトロイの木馬だった Emotet は、他の種類のマルウェア (Emotet 以外のバンキング型トロイの木馬など) を拡散する極めて高度なプラットフォームへと進化しました。

Emotet は悪意のあるスパムキャンペーンを介して配布されます。今年になってからは、バンキング型トロイの木馬である TrickBot や QBot と一緒に配布されていることが確認されていますが、数十万ドルの身代金をゆすり取る高度なランサムウェアの一種 BitPaymer との関連性も指摘されています。

2018 年 7 月に US-CERT (米コンピュータ緊急事態対策チーム) が発行したアラートでは、次のように説明されていました

(引用文日本語訳) 州政府・地方政府に影響を及ぼす最も高コストで破壊力の強いマルウェアの 1 つです。ワームのような特徴を持ち、感染がネットワーク全体に急速に広がることから、対抗するのは容易ではありません。Emotet に感染した州政府・地方政府ではこれまで、1 件のインシデントの修正に最大 100 万ドルの費用がかかっています。

Emotet は依然として実環境で非常に強い威力を発揮しており、Emotet 問題の解決はシステム管理者や脅威ハンターが直面している最も困難な課題の 1 つです。

そこで筆者は、Emotet の大流行との戦いで得られた教訓をソフォスのグローバルマルウェアスペシャリストであるピーター (Peter Mackenzie) に尋ねました。

1. すべてのマシンを保護する

予防は治療に勝ります。そして、最善の予防策の 1 つは、ネットワーク上のすべてのコンピュータを保護することです。ピーターは次のように述べています。

(引用文日本語訳) Emotet の攻撃に見舞われた組織で感染源となるのは、常にネットワーク上の保護されていないマシンです。多くの場合、お客様はそうしたマシンに気付いていません。

無料のネットワークスキャンツールを使用すれば、ネットワーク上のすべてのアクティブデバイスのリストを取得して、セキュリティ管理コンソールに登録されているデバイスと比較することができます。未知のデバイスが見つかった場合は、できるだけ早くパッチを適用し、最新のエンドポイント保護機能を実行します。

安全ではない未知のマシンが存在していると、Emotet が隠れたり適応したりできる場所を与えることになり、状況はさらに悪化します。

他のマシンに導入されているセキュリティソフトウェアのおかげで、保護されていないマシンに Emotet が隔離されていたとしても、Emotet は脱走するチャンスを常に伺っています。ポリモーフィック型のマルウェアであること、頻繁に (場合によっては 1 日に複数回) 更新されること、そしてペイロードを簡単に変更できることから、Emotet は次々に新しい問題を突きつけてきます。

感染を放置している時間が長くなればなるほど、更新されたりペイロードが変更されたりした Emotet が、保護機能の隙間を見つけてネットワーク中に拡散する危険性が高まります。

その隙間を何が発見するのかを予測することは不可能です。新しいエクスプロイトかもしれませんし、シグネチャベースのウイルス対策機能から Emotet を一時的に隠す突然変異型のマルウェアかもしれません。つまり、多層防御が不可欠であり、また、ディープラーニング、エクスプロイト対策、EDR のような高度なマルウェア対策機能を使用することで、感染の封じ込めと発生源の特定が可能になります。

2. パッチを迅速かつ確実に適用する

Emotet は他のマルウェア感染の入り口になるため、Emotet の拡散を封じ込めることで、Emotet を阻止するだけでなく、Emotet と一緒に配布される他のマルウェアも阻止することができます。何が一緒に配布されるのかは不明であるため、できる限り最善の策を講じる必要があります。中でも最初に行うべきは、既知の脆弱性へのパッチの適用です。

古臭いアドバイスだと思われるかもしれませんが、最初に実行するだけの理由があります。実際に Emotet の流行を拡大させ、封じ込めを難しくしているのは、パッチが適用されていないソフトウェアです。

分かりやすい例が、2017 年に WannaCryNotPetya のおかげで有名になったエクスプロイト EternalBlue です。信じ難いことに、あれほど大きく報道され、Microsoft がセキュリティ情報 MS17-010 でパッチを公開してから 2 年近くが経過したにもかかわらず、このエクスプロイトを利用するマルウェアが今でも存在しています。そうしたマルウェアの 1 つが TrickBot です。TrickBot は、Emotet によって配布される最も一般的なペイロードです。

今この記事を読んでいる方は、今すぐパッチを適用してください。

3. PowerShell をデフォルトで「ブロック」する

通常 Emotet は電子メールの悪意のある添付ファイルに含まれており、感染は次のように始まります。

  1. ユーザーが Word 文書が添付された電子メールを受信します。
  2. Word 文書を開いたユーザーが騙されて、マクロを実行します。
  3. 実行されたマクロによって、Emotet をダウンロードする PowerShell が起動します。
  4. Emotet 感染が始まります。

ユーザーがいくつかの間違ったこと実行しなければ、感染は成功しません。したがって、「不審な電子メールを開いたり、マクロを実行したりしないようにスタッフをトレーニングする」というのが最後のアドバイスになるところですが、実際は違います。なぜなら、これは容易には実現できないアドバイスであり、一度失敗すれば終わりです。

電子メールを使った Emotet 攻撃を鈍化させる効果があり、管理者にとっても実装が容易なのは、ユーザーの PowerShell へのアクセスをデフォルトでブロックする方法です。

全ユーザーのアクセスをブロックしろと言っているわけではありません (PowerShell が必要なユーザーもいます)。まずは、管理者を含めた全員にとって PowerShell は不要という仮定に基づいて全ユーザーをブロックしてから、本当に必要としているユーザーのブロックのみを解除します。

ここで言う「ブロック」とは、ポリシー設定で PowerShell を無効するのではなく、「ブロック」することを意味します。ポリシーはバイパスされる可能性があるため、PowerShell をブロックリスト設定する必要があります (これを行うソフォスの機能は「アプリケーションコントロール」と呼ばれます)。

ソフォス製品が Emotet を阻止する仕組み (リンク先: 英語) の詳細については、姉妹サイトの Sophos News をご覧ください。また、ソフォスのお客様向けにナレッジベースの記事 (Emotet および TrickBot マルウェアの大規模感染を解決する) もご用意しています。