感染PCの情報を使って攻撃メールを拡散

　Emotetは、特に新しいマルウェアではない。数年ほど前から、セキュリティベンダーのレポートなどで取り上げられていたが、2018年にFBI（連邦捜査局）傘下の組織であるCISA（サイバーセキュリティ・インフラストラクチャセキュリティ庁）が、EmotetおよびTrickBotに関するアラートを発し、被害拡大に対する注意と対策方法を公開している。日本国内では、2019年秋ごろから被害が顕著になってきた。JPCERT/CCの注意喚起によれば、10月ごろからEmotetに関する相談が急増したとなっている。

　Emotetがどのようなマルウェアかは、CISAのアラート、JPCERT/CCの注意喚起、IPAのお知らせに詳しく書かれている。被害者はまず、実在の企業や担当者のメールアカウントを詐称したメールを受信する。メールは「請求書の確認」「重要書類」といった内容で、添付ファイルの開封を促す。添付ファイルを開封したり、「編集を有効」をクリックしたりすると、Emotetが起動する。

　Emotetはいわゆるダウンローダー、ドロッパーとして機能し、Emotet自体は不正なコードを持たないが、とあるタイミングでさらなる攻撃マルウェアをC2サーバから「取って」（ドロップして）くる。ワームのような機能も持っており、ネットワーク内の別のPCにも感染を広げようとする。さらに、盗んだ情報のうち、被害者のメールアカウントや連絡帳などは、攻撃者によって新たな標的への攻撃に使われる。

EmotetとBECの違い

　実在のメールアカウント情報が利用されるという点で、Emotetはビジネスメール詐欺（BEC）にも似ている。BECは近年、各国で被害が広がっている。FBIのIC3（米国インターネット犯罪苦情センター）の報告によれば、BECのグローバルな被害総額の伸び率は、2016年12月から2018年5月にかけて136％。企業取引が狙われるため、1件あたりの被害金額も数千万と多く、被害総額は3,000億円以上（グローバル）とも言われている。国内でも被害報告やセキュリティベンダーへの相談が増えている。

　Emotetとの違いは、BECのほうが手の込んだ攻撃であり、目的が「取引を装い金銭を直接振り込ませること」にある点だ。BECでは多くの場合、メールサーバがハッキングされており、取引先との通信内容がほぼ把握されている。そのため、実際の取引にリアルタイムに割り込んできて、相手を信用させる。

　Emotetもバンキング情報など金銭につながる情報を盗んだりするが、正確には、それはEmotetがダウンロードしてくるマルウェアが実行する攻撃だ。また、Emotet自体はトロイの木馬型なので、Officeツールのファイルや別のソフトウェアを偽装する。ポリモーフィズム（多態性）型かつ仮想環境の検知機能もあるので、シグネチャ検知やサンドボックス検知が簡単ではないという特徴も持っている。

【次ページ】メールシステムの安全技術の限界