Emotet: 世界有数の凶悪マルウェア

トロイの木馬であるEmotetは、別次元のスパムを実現。洗練された拡散手法により、大きな成功を収めています。
Emotetはワームのように自己複製し、PC内の連絡先情報やEメールの履歴を利用して拡散します。しかも過去の情報に限らず、執筆中のEメールから件名や人名、アドレスすらをも乗っ取って悪用します。このようにして感染メールが馴染みのある件名で、まさに「本物」に見える形で既存のスレッドに紛れ込んでしまうのです。他にも請求書や支払い通知、苦情に見えるもの、ここ最近の手口としては、Snowden氏の新刊発売キャンペーンを装うものが見つかっています。攻撃者はあの手この手で騙そうと常に企んでいるのです。
名前やアドレスに馴染みがあっても、予定になかった添付ファイル(これ見よがしなPDFやマクロ機能付きのwordファイル)やリンク、スクリプト(オートスクリプトは必ずオフに!)には注意が必要です。データの受け渡しに利用するURL(DropBox、OneDriveなど)があれば、同様に疑念を抱くべきです。

セキュリティのヒント その1: 気付くには

各メールに対してチェックします: 送信者は知人ですか? またその送信者からのメッセージに、添付ファイルやリンク、スクリプトがあるのは妥当ですか?
・いいえ: ドキュメントを開いたりリンクをクリックするのは厳禁です!
・はい、既知の送信者であり、添付ファイルもこれまでの経緯から考えて妥当なものです: 少しでも疑わしいと感じたら、開いたりクリックしたりする前に送信者に確認を取りましょう。
たった1回の無用心なクリックが悪意のあるコードを実行させ、他のマルウェアの呼び水となります。素人の目など「悪党」に掛ればいとも容易く欺かれるものです。セキュリティの専門家Benjamin Parr氏はこう語ります。「一見まともなURLでも、よくよく見ればおかしいことがあります。例えばこのドメイン。本物は www.IKARUS.at なのですが、www.LKARUS.at*となっていたり、大文字のはずの“I”が小文字にすり替えられることも考えられます。とてもありがちなパターンであっても、ツールを使わないと気づきにくいのです」
Emotetは全世界で猛威をふるい、オーストリアやドイツで蔓延した改良型の手口にも注目が集まっています。会社や官庁だけにとどまらず誰もが脅威に晒されているのです。技術的なセキュリティ対策(ソフトウェアのアップデート、Eメールやウェブ接続、スクリプト、マクロ対策、端末単位のマルウェア防御)に加え、常に危険を監視し注意を喚起する姿勢が重要です。自ら情報を集めて学習し、従業員に対しても危険や特徴を周知徹底することが求められます。絶えず自覚を持って最新の知識を採り入れる必要があるのです。

ポリモーフィック型ウィルスの検知は困難

Emotetは当初、単にオンラインバンキングを標的としていたトロイの木馬でした。しかし、この5年間で別の攻撃にも対応するボットネットへと進化を遂げています。口座を狙うさらに悪質なトロイの木馬をインストールし、アップデートも実行しています。感染すればブラウザなど通じてパスワードやデータが読み盗られ、ユーザーアカウント自体が攻撃を受けてしまいます。
Emotetはポリモーフィック型ウィルスにも分類されます。我々の調査によれば、ウィルスのコードは1日におよそ3回変更されています。仮想環境やサンドボックスでも検知されており、この場合は発見が困難を極めることもあります。その場合には、ローカル環境のウィルススキャナでは対応が難しくなるため、Eメールゲートウェイをセキュアに保つことが推奨されます。ハードウェア、ソフトウェア両面のセキュリティホールをふさぎ、トロイの木馬が拡散に利用するシステムの脆弱性を確実に解消しなければなりません。
予防しているにも関わらず、感染する場合もあるでしょう。そのときは感染したコンピューターを速やかにインターネットやネットワーク環境から隔離します。システムをクリーンアップし脆弱性を除去して、感染したデバイスの再インストールを行ってください。さもなければ元の木阿弥となってしまいます。

*混乱を避けるため、IKARUS社はwww.Ikarus.atのドメインを購入し、本ウェブサイトのwww.ikarus.atへと転送されるようしております。