MetaDefenderによる世界で最も危険なマルウェアEmotetの防御

Emotetとは？ なぜ危険なのか？

Emotetは、非常に高度で破壊的なマルウェアファミリーで、検知をすり抜け、感染したコンピューターにマルウェアをダウンロードし、他の接続端末に拡散する機能を備えています。

Emotetは、機密データや個人データを盗むために作成された自己拡散するバンキング型トロイの木馬として、2014年にセキュリティ研究者によって最初に確認されました。それ以降のバージョンは、サイバー犯罪者がマルウェア配信サービスとして使用する最も強力なマルウェアの1つに進化しました。^（1）銀行、eコマース、ヘルスケア、学術機関、政府、テクノロジーなど、世界中の重要な産業を対象としています。

国土安全保障省は、Emotetを最もコストがかかり破壊的なマルウェアの1つと表現しており、修復にはインシデントごとに100万ドル以上の費用がかかるとみています。^（2）160万台を超えるコンピューターに感染し、世界中で数億ドルの損害をもたらしました。^（3）2020年12月の時点で、これは世界で最も蔓延しているマルウェアであり、世界中の組織の7％に影響を及ぼしています。^（4）Emotetについては、こちらのブログを参照してください。

Emotetの拡散

Emotetの主な感染手口は、悪意のある添付ファイルまたはハイパーリンクを含むスパムメールを使用することです。感染した添付ファイルや悪意のあるリンクを受信者に開かせるために、さまざまな手口が使われます。攻撃メールの受信者が過去にメールのやり取りをしたことのある、実在の相手の氏名、メールアドレス、メールの内容等の一部が、攻撃メールに流用され、「正規のメールへの返信」を装ったり、件名や添付ファイルに「請求書」の文字が使われたり、コロナウイルスに関する通知や文書に偽装した巧妙な文面になっている場合があります。たとえば、昨年2月、新型コロナウイルスの感染予防策を装うメールで、悪意のあるWord添付ファイルを含むキャンペーンが日本で観測されました。^（5）

マイクロソフトのセキュリティアナリストは、メールセキュリティゲートウェイを回避するために、Zipファイルなどの暗号化されたアーカイブファイルを添付する、Emotetキャンペーンの新しい戦術を発見しました。^（6）これらのメールは、受信者を誘導して添付ファイルを開かせ、ドキュメントを表示または編集できるようマクロを有効にさせます。

受信者が埋め込みマクロを有効にすると、Emotetは追加のマルウェアをコンピューターにダウンロードし、ネットワーク全体に脅威の拡散を試みます。次に、感染したネットワークがEmotetのボットネットに追加されるため、ハッカーはリモートからネットワークを完全に制御できます。^（7）

MetaDefenderでEmotetを阻止し組織ネットワークを保護

Emotetを特に危険なものにしている1つの側面は、一部のマルウェア対策製品による検知を回避できることです。 OPSWATの高度な脅威防止ソリューションであるMetaDefenderは、Emotetによる組織端末やネットワークへの感染を阻止します。

1. 最大30種類以上のマルウェア対策エンジンを搭載し、既知のマルウェアの99％以上を検知（当社調査結果）するOPSWAT Metascanは、組織に送信されたファイルとメールをすばやくスキャンします。マルチスキャンテクノロジーによるEmotetのスキャン結果はこちらをご覧ください。37個のマルウェア対策エンジンのうち22個のエンジンがマルウェアを検知しています。仮に、単一のマルウェア対策エンジンを使用していて、マルウェアを検知できない場合、コンピューターは感染する可能性があります。当社の調査では、マルウェア対策エンジンが増えることで、マルウェアの検知率は向上しています。

2. 高度な回避型マルウェアが、マルウェア対策エンジンを回避した場合でも、OPSWAT Deep CDR（コンテンツの非武装化と再構築）テクノロジーによって無効化されます。パスワードで保護されたアーカイブファイルを含むファイル、電子メール、添付ファイルは、エンドユーザーに配信される前に再帰的に無害化されます。処理結果に示されているように、1つの画像と4つのマクロを含む、すべてのアクティブコンテンツが削除、無害化されています。無害化後のファイルからは脅威は検知されていません。ファイルに潜んでいた脅威からユーザーは保護されます。

3. OPSWAT Sandboxを使用してEmotetマルウェアを分析したところ、悪意のあるアクティビティが3分以内に検出されました。当社のサンドボックステクノロジーは、制御された環境下でマルウェアを実行させ、ファイルの動作を記録、分類することで、悪意ある行動を明らかにします。詳細なレポートにより、マルウェアをさらに分析することができます。

サイバー犯罪の商業化に伴い、ハッカーは高度な攻撃を進化させ続けています。 Emotetのような回避機能を備えた複雑なマルウェアは、従来のセキュリティ防御をすり抜けるために、高度な技術力を持った脅威アクターによって作成されます。重要インフラをはじめとする全ての組織には、進化し続ける脅威から防御するための、高度な脅威防止ソリューションが必要です。

OPSWATの高度な脅威防止ソリューション MetaDefenderの詳細については、お気軽にお問い合わせください。

参考文献

(1) Palmer, Danny. 2021. "Malware And Botnets: Why Emotet Is Dominating The Malicious Threat Landscape In 2019 | Zdnet". Zdnet. https://www.zdnet.com/article/malware-and-botnets-why-emotet-is-dominating-the-malicious-threat-landscape-in-2019/.

(2) "Emotet Malware | CISA". 2021. Us-Cert.Cisa.Gov. https://us-cert.cisa.gov/ncas/alerts/TA18-201A.

(3) "Emotet Botnet Disrupted In International Cyber Operation". 2021. Justice.Gov. https://www.justice.gov/opa/pr/emotet-botnet-disrupted-international-cyber-operation.

(4) "December 2020’s Most Wanted Malware: Emotet Returns As Top Malware Threat | Check Point Software". 2021. Check Point Software. https://www.checkpoint.com/press/2021/december-2020s-most-wanted-malware-emotet-returns-as-top-malware-threat/.

(5) Cluley, Graham. 2021. "Coronavirus - Hackers Exploit Fear Of Infection To Spread Malware". Graham Cluley. https://grahamcluley.com/coronavirus-malware/.

(6) "Emotet Malware | CISA". 2021. Us-Cert.Cisa.Gov. https://us-cert.cisa.gov/ncas/alerts/aa20-280a.

(7) Cluley, Graham. 2021. "Emotet Botnet Takedown – What You Need To Know". The State Of Security. https://www.tripwire.com/state-of-security/security-data-protection/cyber-security/emotet-botnet-takedown-what-you-need-to-know/.