情報セキュリティの選りすぐりの技術と信頼を届けます
SIPSセキュリティレポート 2022年3月14日号
***************************************************************
Emotetの感染が引き起こすDDoS攻撃やランサムウェア攻撃
***************************************************************
今年に入り、悪性マルウェア“Emotet”が感染爆発している。
Emotetはロシアを拠点とするサイバー犯罪活動を行うマルウェアである。
もしかしたら、現在のロシア・ウクライナ情勢に対してロシアに行った経済制裁の報復として、実行され
ている可能性も極めて高いと考えられる。
Emotetが2014年に確認された当初は、感染したホストから銀行の資格情報を盗むことを目的と
したトロイの木馬であったが、その後進化し続けシステムへのアクセスを取得し、攻撃者が追加のプロ
グラムをダウンロードできるローダーとして機能し、その後独自モジュールから他のマルウェアまであらゆる
タイプのプログラム実行が可能になった。
感染は電子メールの添付ファイルを通じて行われ、この添付ファイルを開くと感染してしまう。
感染すると感染したコンピュータの情報を窃取し、メールアドレスから感染者のアドレスを使いアドレス
帳にある他のアドレスに対してメールを送信して感染を広げていく。
また感染したコンピュータは攻撃者が遠隔操作できるゾンビマシンと化し、感染したマシン同士でボット
ネットを作り上げる。
攻撃者はEmotetで作ったボットネットへのアクセス権をサイバー攻撃者にIaaSモデルで販売していて、
ランサムウェアグループにもこのアクセス権を提供している。
これにより感染したマシンはランサムウェア攻撃もされてしまう可能性があるということである。
2021年1月に各国の捜査機関がEmotetマルウェアのインフラを乗っ取り無力化することで、事実上
壊滅したと言われていたが、2021年11月頃から活動が再確認され、今年2月にその活動が激しく
なってきた。
日本でも2月に感染拡大し始め、3月は8日までの8日間で2月の7倍の323件の感染者からの相談
がIPA(情報処理推進機構)に寄せられていて、JPCERT/CCからも「2020年ピーク時の約5倍以上
に急増している」と注意喚起されている。
一方、ネットニュースを発信している各社からも国内企業や組織の感染被害が多数公表されている。
さて、このEmotetは少し厄介で、元々がトロイの木馬から派生しているので有用無害なプログラムに
見せかけたマルウェアで、何らかの動作で悪意ある動作として実行されると、コンピュータ内のHDDや
メモリ内に秘密裏に複製しインストールされる。
さらに、バックドア型であれば攻撃者の遠隔操作も可能にすることができ、コンピュータ内のデータは窃
取され完全にコンピュータは乗っ取られてしまう。
しかし、実際に感染しても、コンピュータの動作や利用者に大きな影響を感じさせないため、勝手に
メールを送信されるまで気がつかず、被害が拡大するケースが多い。
しかしその間に感染したマシンはゾンビ化してボットネットを構成する。サイバー攻撃者がこのボットネット
から一斉に特定のサーバやネットワークに通信を行うことで、DDoS攻撃が可能となる。
Googleによると、あるロシア人のボットネットを運営する攻撃者は、これまで世界中のおよそ100万台
のWindowsマシンに感染させてボットネットを拡大していて、現在でも1日に数千台のペースで広がり
続けているという。
現在のロシア・ウクライナ情勢で、サイバー戦が繰り広げ広げられているが、両国の政府、軍事施設、
金融機関など全てがDDoSの攻撃を受けていて、Webサーバがダウンなどという事象が起きているが
これらの攻撃にもボットネットが使われている。
実際に3月2日、ウクライナの国防省の電子メールサーバに対してDDoS攻撃が発生したが、これは
DanaBotと呼ばれるボットネットを使用する攻撃者たちが実行したことが分かっている。
更にこのボットネットをランサムウェアグループも利用するから質が悪い。
感染しているマシンに入り込み、そのネットワークの機密情報があるサーバに展開する、内部情報を
窃取したら暗号化するランサムウェアプログラムを起動させればランサムウェア攻撃は成立してしまう。
もしかしたら機密情報があるサーバも既に感染しボット化されている可能性でさえある。
以前、セキュリティ企業のSymantec社が調査した結果、PC、スマホ、ネットカメラ、家庭用ルータ、
その他IoT製品などがボット化されている可能性が高く、東京では全体の約61%がボット化させられ
ているという調査結果がある。
さて、このようなEmotetに感染した企業や組織は、感染によるお詫びと管轄の警察や関連機関へ
報告と同時に「Emotetを駆除しました」などというコメントを出しているが、本当にそれで終わりなの
だろうか?
前述したようにトロイの木馬型のEmotetは有用無害なプログラムとしてシステムのどこかにコピーされ
て存在している。しかもそのままでは無害のプログラムで発見は難しく、あるタイミングで動き出す。
1台が感染したら、同一ネットワーク上の機器は次々感染していると考えるべきである。
しかも感染したことを表面化させず、自ら動くタイミングを待つというマルウェアであり、単純に被害の
あったコンピュータのマルウェアを駆除すれば終わりという事はないはずである。
その結果、ボットネットの1台として存在し、サイバー攻撃者の遠隔操作によって再度活動を始め
DDoS攻撃やランサムウェア攻撃を引き寄せる事になる。
ランサムウェア攻撃にあった会社が、対応したにも関わらず再度攻撃を受けるのは何故か?
ランサムウェア攻撃にあった会社の関連会社や取引先等が次々ランサムウェアの被害に遭うのも、
このようなEmotetなどによるボットネットから発生していることが原因の一つであるという事が理解
して頂けただろうか。
Emotetは単なるマルウェアであると安易な考えでいると、結果として大きなサイバー攻撃を受けて
その被害は拡大する結果になってしまう可能性が高いのである。
昨年から日本国内で急増しているランサムウェア攻撃も、実はEmotetが原因で攻撃を引き寄せて
いるのかもしれない。そうであれば、今後も一層サイバー攻撃の被害は拡大するに違いない。
もしかしたらロシア・ウクライナのサイバー戦争に貴方のPCが加担している可能性さえある。
そのような事が起きないためにも、しっかりとした調査が必要である事は間違いないが、それ以上に
同様の被害に合わないように対策を考えておく必要がある。
世界のサイバー空間の動きを正しく把握し、サイバー攻撃はどうやって発生しているのか理解する事
が今後のセキュリティリスクを下げる事になる。
それでも高度な技術を使って攻撃をしてくるサイバー攻撃者をどうやって止めるのか?
Emotetを含む各種マルウェアが様々なサイバー攻撃の元凶になっているのであれば、これらに感染
しないようにメールの添付ファイルは絶対に開かない。という方法もあるが、それでは仕事にならない。
では、せめて被害を拡大させないように、オフラインで添付ファイルを開く、もしくは隔離環境で添付
ファイルを開くようにする、という事も考えなければならない。
ロシア・ウクライナ情勢の関係でサイバー空間は慌ただしく、日本の被害も大変な事になっている。
しかし、ロシアやウクライナだけではない。
中国にもEmotetに匹敵する極悪なプログラムが多数存在している
Daxinと呼ばれるハッキングツールは、最近Symantec社によって発見されたが、それまで10年間
発見されずにハッキング活動を続けてきていたのである。通常のトラフィックに融合して通信する技術
を使い、セキュリティソリューションの検知を回避する悪性プログラムである。
中国のハッカー集団はこのプログラムを使って攻撃を繰り返していて、各国で被害が確認されている。
そして、それ以外のハッキング技術や悪性プログラムも、中国やロシアのブラックマーケットには多数
存在していて、それらがハッカー集団に情報共有されているのである。
サイバー攻撃の被害を受けてからでは遅く、これらのサイバー攻撃に打ち勝つためには自ら能動的に
動き、対応するしか解決はできない。
1台の感染から次々と段階を踏んで次なる攻撃を生み出す事になる、脅威のマルウェアEmotetを
甘く見ては行けない。
Emotetに関しては、
JPCERTから感染チェックのプログラム(EmoCheck)が提供されている。
ランサムウェア攻撃やDDoS攻撃といった大規模なサイバー攻撃を引き起こさないためにも、先ずは
自分のPCの検査から始めてみる事をお奨めしたい。
---------------------------------------------------------------------------------
<参考URL>
IPA
情報処理推進機構:2022/3/9
感染被害の大幅拡大/日本語で書かれた新たな攻撃メール(2022年3月9日 追記)
https://www.ipa.go.jp/security/announce/20191202.html#L19
TREND MICRO
is702:2022/2/17
壊滅したはずのEMOTETが完全復活、2022年2月に入って爆発的に流行の兆し
https://is702.jp/news/3929/
INTERNET Watch:2022/3/9
Emotetとは、どんなマルウェア? 対策は?
わかりやすく解説する動画をJPCERT/CCが公開
https://internet.watch.impress.co.jp/docs/news/1393764.html
ITmedia
NEWS:2022/3/4
Emotet感染爆発で謝罪企業相次ぐ 沖縄県、気象協会、いすゞなど
https://www.itmedia.co.jp/news/articles/2203/04/news110.html
Copyright (C) 2014 SouthPlume Co.,Ltd. All Rights Reserved