再流行のマルウェア「Emotet」、再利用される古い手法とは?
●
マルウェア「Emotet」の感染拡大の経緯
2021年1月に、世界各国の捜査機関の連携によってテイクダウン(壊滅)されたマルウェア「Emotet」だが、それから1年も経たない2021年11月に活動の再開が確認された。2022年2月からは活動が活発になり感染が拡大し、多くの企業で被害が発生している。この状況を受けて、情報処理推進機構(IPA)やJPCERTコーディネーションセンター(JPCERT/CC)、警視庁などが注意喚起を発表する事態となった。
Emotetはメール経由の脅威の典型と言われており、Emotetメールの着信状況がそのままサイバー攻撃者の活動状況といえる。Vade Secure(以下、Vade)でもEmotetに感染させようとするメールを大量に確認しており、1日に100通以上の着信が確認されている企業もあることがわかっている。そのログをチェックすると、かなりの有名企業にも数多くのEmotetメールが着信していることがわかる。
Emotetには複数の特徴があり、非常に危険性の高いマルウェアである。Emotetはメールの添付ファイルやメール本文に記載されたURLリンクにアクセスすることで感染するケースが多い。しかし、感染により企業に侵入した後、サイバー攻撃者はさまざまなマルウェアを追加したり、サイバー攻撃を実施したりする。このため、さまざまな被害を受ける危険性がある。
例えば、ランサムウェアに感染させて業務に使用するファイルを暗号化して使えなくし、復号のために“身代金”を要求するケースがある。感染した企業は業務が停止してしまうため、大きな被害を受けることになる。この他にも、認証情報を窃取して重要な情報を盗み出したり、他者への攻撃の踏み台にしたりするのだ。
Emotetはまた、ソーシャルエンジニアリングに長けていることも大きな特徴である。Emotetのルーツはオンラインバンキングの認証情報を盗み出すバンキングマルウェアといわれているが、当時から件名や文面が巧妙で、だまされてしまうユーザーが少なくなかった。その巧妙さは、現在のEmotetにも受け継がれているのだ。
巧妙に感染を拡大するEmotet
通常、マルウェアメールは不自然な日本語が使われており、差出人や件名が意味不明の文字列になっているなど、人の目で見れば不正なメールであることが明らかだった。しかし、2020年に猛威をふるったEmotetは、感染したユーザーの環境からメール情報を盗み出し、ユーザーが過去にメールのやり取りをした相手に、やり取りしたメールの文面を使ってEmotet感染メールを送っていた。メールの差出人や文面に心当たりがあるため、だまされてしまうユーザーが多く、感染が拡大した。
このように、Emotetではまるで攻撃者がテーラーメイドしたような精巧な脅威メールが作り出される。身に覚えのある情報を含めて、人の心理をつくような手法をソーシャルエンジニアリングと表現することがある。
また、日本のビジネス習慣に合わせていることもEmotetの特徴だ。例えば、添付ファイルのファイル名が「2022-02-14_1033.zip」というようなものが観測されている。YYYYMMDDhhmm(西暦・月・日・時分)を連想させるファイル名だが、このような順番で表記するのは日本の特徴で、実際にこのようにファイル名を設定する企業も少なくないだろう。
さらにEmotetは、いわゆる「PPAP」を使ったメールも送信する。PPAPとは、「パスワード付きZip圧縮ファイルを送信し、後からパスワードをメールで送る、日本ならではのメール送信手法だ。Emotetもこの手法を採用しており、別送されたパスワードで添付ファイルを解凍するとWordやExcelファイルになる。これらのファイルにはマクロが設定されており、マクロを有効にする指示に従ってしまうとマクロが実行され、Emotetに感染することになる。
●
最新のEmotetの特徴
Vadeが把握している最近のEmotetの傾向をいくつか紹介する。まず、送信者は、必ずしもメールアドレスと表記が一致しない場合がある。例えば、メールアドレスはsuzuki.ichiro@xxxx.yyyyとなっていても、日本語表記は“田中太郎”となっているケースが多く確認されている。田中太郎は、Emotetがよく使用する受信者名である。
件名は受信者の名前が入るケースが多く確認されており、これにはローマ字だけでなく、漢字の表記も存在する。例えば、“田中太郎”や“Re :田中太郎”と表記されている。ユーザーが過去にやり取りしたメールの件名を使うものも多く観測されており、ターゲットの心理を突き、メールを開かせやすいように工夫されていることがわかる。
添付ファイルは、前述のように日本のビジネスでよく使われるファイル名の法則を利用している。また、数字.zipというパターンも多く、桁数などは一定でなく、さまざまな形式が確認されている。なお、添付ファイルの代わりにメールの本文にあるURLリンクからEmotetをダウンロードさせる手法もあったが、現在は確認されていない。
ただし、直近では短いサイクルで特徴が変化している。例えば、2022年1月はメール本文にURLリンクを記載する手法が多く使われていたが、2月になると影を潜め、添付ファイルを使用するケースが主流になった。3月には添付ファイルのファイル名の規則が変わっており、サイバー攻撃者もさまざまな手法を試し、試行錯誤を繰り返していると考えられる。今後も気が抜けない状況が続くだろう。
海外で確認された“古い手法”
Vadeでは2022年2月に、「20年前のテキストトリックを使って、ハッカーがMicrosoft 365ユーザーをフィッシングする方法」を確認した。これは、「拡張子偽装攻撃」(RLO)と呼ばれる手法で、実行ファイル(.exe)を安全なファイルのように見せかける手法である。かつては、ファイル名に拡張子まで含めてしまう“二重拡張子”と呼ばれる手法も存在した。
二重拡張子では、マルウェアへの感染に悪用される実行ファイルは、本来「ファイル名.exe」などとなるところが、Windowsでは一般的に拡張子は表示されない。そこで、例えば「ファイル名.txt」というファイル名にしてしまうのだ。実際には「ファイル名.txt.exe」となっているのだが、見た目でテキストファイルであると思い込んでしまう。
今回、確認されたRLOはヘブライ語やアラビア語を悪用したもので、例えば「HelloVade」というファイルに「Hello [U + 202e] Vade」というUnicode文字を追加すると、そのファイルは「HelloedaV」と表示される。この手法は、90年代から2010年代初頭にかけて流行し、破損した .exeアプリケーションなどの悪意のあるファイルを .txtファイルを開いていると信じ込ませ、実行させるために使われた。
実際に、RLOを使用してMicrosoft 365のアカウントを偽装したフィッシングが確認された。具体的には、Microsoft 365のボイスメールを悪用し、件名には受信者の名前が含まれており、本文の日付と時刻は実際のタイムスタンプと一致している。これらの情報から、被害者はこのメールを信用して添付ファイルを開いてしまうのだが、そのファイルに記載されているのは、フィッシングサイトへのURLリンクなのだ。
このように、過去に使用された手法が再度使用されるケースも見られている。EmotetのMicrosoft Officeファイルのマクロを悪用する手法も、一昔前に常套手段とされていたものだ。これにより、マイクロソフトはデフォルトでマクロを自動実行させないようにして、警告ダイアログを表示するように変更したという経緯がある。
さまざまな手法で攻撃を仕掛けてくる攻撃者に対し、精度の高いメールセキュリティを導入することはもちろんだが、Emotetのように人間の心理を利用するソーシャルエンジニアリングの手法が中心となっていることを考えると、各自が注意することはもちろん、ユーザーのリテラシーを向上する教育なども実施していく必要があるだろう。
○伊藤 利昭 Vade Secure株式会社 カントリーマネージャー
2020年1月に就任し、日本国内におけるVade Secureのビジネスを推進する責任者です。これまで実績を重ねてきたサービスプロバイダー向けのメールフィルタリング事業の継続的な成長と、新たに企業向けのメールセキュリティを展開するにあたり、日本国内のパートナーネットワークの構築に注力しています。Vade Secureは、AI(人工知能)を用いた脅威検出とその対応技術の開発に特化したグローバルなサイバーセキュリティ企業です。
マルウェア「Emotet」の感染拡大の経緯
2021年1月に、世界各国の捜査機関の連携によってテイクダウン(壊滅)されたマルウェア「Emotet」だが、それから1年も経たない2021年11月に活動の再開が確認された。2022年2月からは活動が活発になり感染が拡大し、多くの企業で被害が発生している。この状況を受けて、情報処理推進機構(IPA)やJPCERTコーディネーションセンター(JPCERT/CC)、警視庁などが注意喚起を発表する事態となった。
Emotetはメール経由の脅威の典型と言われており、Emotetメールの着信状況がそのままサイバー攻撃者の活動状況といえる。Vade Secure(以下、Vade)でもEmotetに感染させようとするメールを大量に確認しており、1日に100通以上の着信が確認されている企業もあることがわかっている。そのログをチェックすると、かなりの有名企業にも数多くのEmotetメールが着信していることがわかる。
Emotetには複数の特徴があり、非常に危険性の高いマルウェアである。Emotetはメールの添付ファイルやメール本文に記載されたURLリンクにアクセスすることで感染するケースが多い。しかし、感染により企業に侵入した後、サイバー攻撃者はさまざまなマルウェアを追加したり、サイバー攻撃を実施したりする。このため、さまざまな被害を受ける危険性がある。
例えば、ランサムウェアに感染させて業務に使用するファイルを暗号化して使えなくし、復号のために“身代金”を要求するケースがある。感染した企業は業務が停止してしまうため、大きな被害を受けることになる。この他にも、認証情報を窃取して重要な情報を盗み出したり、他者への攻撃の踏み台にしたりするのだ。
Emotetはまた、ソーシャルエンジニアリングに長けていることも大きな特徴である。Emotetのルーツはオンラインバンキングの認証情報を盗み出すバンキングマルウェアといわれているが、当時から件名や文面が巧妙で、だまされてしまうユーザーが少なくなかった。その巧妙さは、現在のEmotetにも受け継がれているのだ。
巧妙に感染を拡大するEmotet
通常、マルウェアメールは不自然な日本語が使われており、差出人や件名が意味不明の文字列になっているなど、人の目で見れば不正なメールであることが明らかだった。しかし、2020年に猛威をふるったEmotetは、感染したユーザーの環境からメール情報を盗み出し、ユーザーが過去にメールのやり取りをした相手に、やり取りしたメールの文面を使ってEmotet感染メールを送っていた。メールの差出人や文面に心当たりがあるため、だまされてしまうユーザーが多く、感染が拡大した。
このように、Emotetではまるで攻撃者がテーラーメイドしたような精巧な脅威メールが作り出される。身に覚えのある情報を含めて、人の心理をつくような手法をソーシャルエンジニアリングと表現することがある。
また、日本のビジネス習慣に合わせていることもEmotetの特徴だ。例えば、添付ファイルのファイル名が「2022-02-14_1033.zip」というようなものが観測されている。YYYYMMDDhhmm(西暦・月・日・時分)を連想させるファイル名だが、このような順番で表記するのは日本の特徴で、実際にこのようにファイル名を設定する企業も少なくないだろう。
さらにEmotetは、いわゆる「PPAP」を使ったメールも送信する。PPAPとは、「パスワード付きZip圧縮ファイルを送信し、後からパスワードをメールで送る、日本ならではのメール送信手法だ。Emotetもこの手法を採用しており、別送されたパスワードで添付ファイルを解凍するとWordやExcelファイルになる。これらのファイルにはマクロが設定されており、マクロを有効にする指示に従ってしまうとマクロが実行され、Emotetに感染することになる。
●
最新のEmotetの特徴
Vadeが把握している最近のEmotetの傾向をいくつか紹介する。まず、送信者は、必ずしもメールアドレスと表記が一致しない場合がある。例えば、メールアドレスはsuzuki.ichiro@xxxx.yyyyとなっていても、日本語表記は“田中太郎”となっているケースが多く確認されている。田中太郎は、Emotetがよく使用する受信者名である。
件名は受信者の名前が入るケースが多く確認されており、これにはローマ字だけでなく、漢字の表記も存在する。例えば、“田中太郎”や“Re :田中太郎”と表記されている。ユーザーが過去にやり取りしたメールの件名を使うものも多く観測されており、ターゲットの心理を突き、メールを開かせやすいように工夫されていることがわかる。
添付ファイルは、前述のように日本のビジネスでよく使われるファイル名の法則を利用している。また、数字.zipというパターンも多く、桁数などは一定でなく、さまざまな形式が確認されている。なお、添付ファイルの代わりにメールの本文にあるURLリンクからEmotetをダウンロードさせる手法もあったが、現在は確認されていない。
ただし、直近では短いサイクルで特徴が変化している。例えば、2022年1月はメール本文にURLリンクを記載する手法が多く使われていたが、2月になると影を潜め、添付ファイルを使用するケースが主流になった。3月には添付ファイルのファイル名の規則が変わっており、サイバー攻撃者もさまざまな手法を試し、試行錯誤を繰り返していると考えられる。今後も気が抜けない状況が続くだろう。
海外で確認された“古い手法”
Vadeでは2022年2月に、「20年前のテキストトリックを使って、ハッカーがMicrosoft 365ユーザーをフィッシングする方法」を確認した。これは、「拡張子偽装攻撃」(RLO)と呼ばれる手法で、実行ファイル(.exe)を安全なファイルのように見せかける手法である。かつては、ファイル名に拡張子まで含めてしまう“二重拡張子”と呼ばれる手法も存在した。
二重拡張子では、マルウェアへの感染に悪用される実行ファイルは、本来「ファイル名.exe」などとなるところが、Windowsでは一般的に拡張子は表示されない。そこで、例えば「ファイル名.txt」というファイル名にしてしまうのだ。実際には「ファイル名.txt.exe」となっているのだが、見た目でテキストファイルであると思い込んでしまう。
今回、確認されたRLOはヘブライ語やアラビア語を悪用したもので、例えば「HelloVade」というファイルに「Hello [U + 202e] Vade」というUnicode文字を追加すると、そのファイルは「HelloedaV」と表示される。この手法は、90年代から2010年代初頭にかけて流行し、破損した .exeアプリケーションなどの悪意のあるファイルを .txtファイルを開いていると信じ込ませ、実行させるために使われた。
実際に、RLOを使用してMicrosoft 365のアカウントを偽装したフィッシングが確認された。具体的には、Microsoft 365のボイスメールを悪用し、件名には受信者の名前が含まれており、本文の日付と時刻は実際のタイムスタンプと一致している。これらの情報から、被害者はこのメールを信用して添付ファイルを開いてしまうのだが、そのファイルに記載されているのは、フィッシングサイトへのURLリンクなのだ。
このように、過去に使用された手法が再度使用されるケースも見られている。EmotetのMicrosoft Officeファイルのマクロを悪用する手法も、一昔前に常套手段とされていたものだ。これにより、マイクロソフトはデフォルトでマクロを自動実行させないようにして、警告ダイアログを表示するように変更したという経緯がある。
さまざまな手法で攻撃を仕掛けてくる攻撃者に対し、精度の高いメールセキュリティを導入することはもちろんだが、Emotetのように人間の心理を利用するソーシャルエンジニアリングの手法が中心となっていることを考えると、各自が注意することはもちろん、ユーザーのリテラシーを向上する教育なども実施していく必要があるだろう。
○伊藤 利昭 Vade Secure株式会社 カントリーマネージャー
2020年1月に就任し、日本国内におけるVade Secureのビジネスを推進する責任者です。これまで実績を重ねてきたサービスプロバイダー向けのメールフィルタリング事業の継続的な成長と、新たに企業向けのメールセキュリティを展開するにあたり、日本国内のパートナーネットワークの構築に注力しています。Vade Secureは、AI(人工知能)を用いた脅威検出とその対応技術の開発に特化したグローバルなサイバーセキュリティ企業です。
