開閉ボタン
ユーザーメニュー
ユーザーメニューコンテンツ
ログイン

  • 会員限定
  • 2019/12/20

Emotet(エモテット)とは何か? ビジネスメール詐欺(BEC)との違いは?

11月末、マルウェア「Emotet(エモテット)」が仕込まれた攻撃メールが着弾し、自社アカウントを悪用した攻撃メールを発信されてしまった企業が、相次いでニセメールへの注意喚起を行った。27日にはJPCERT/CCが詳細情報とともに注意喚起を行っている。注意喚起が相次ぐ、このEmotetとはどのようなマルウェアなのか? その攻撃手法と動向を紹介する。

フリーランスライター 中尾真二

フリーランスライター 中尾真二

フリーランスライター、エディター。アスキーの書籍編集から、オライリー・ジャパンを経て、翻訳や執筆、取材などを紙、Webを問わずこなす。IT系が多いが、たまに自動車関連の媒体で執筆することもある。インターネット(とは言わなかったが)はUUCPのころから使っている。

photo
BEC、Emotetが突き付けた従来型メールの限界、企業はメッセンジャーに移行すべきか?
(Photo/Getty Images)

感染PCの情報を使って攻撃メールを拡散

 Emotetは、特に新しいマルウェアではない。数年ほど前から、セキュリティベンダーのレポートなどで取り上げられていたが、2018年にFBI(連邦捜査局)傘下の組織であるCISA(サイバーセキュリティ・インフラストラクチャセキュリティ庁)が、EmotetおよびTrickBotに関するアラートを発し、被害拡大に対する注意と対策方法を公開している。日本国内では、2019年秋ごろから被害が顕著になってきた。JPCERT/CCの注意喚起によれば、10月ごろからEmotetに関する相談が急増したとなっている。

 Emotetがどのようなマルウェアかは、CISAのアラート、JPCERT/CCの注意喚起、IPAのお知らせに詳しく書かれている。被害者はまず、実在の企業や担当者のメールアカウントを詐称したメールを受信する。メールは「請求書の確認」「重要書類」といった内容で、添付ファイルの開封を促す。添付ファイルを開封したり、「編集を有効」をクリックしたりすると、Emotetが起動する。

 Emotetはいわゆるダウンローダー、ドロッパーとして機能し、Emotet自体は不正なコードを持たないが、とあるタイミングでさらなる攻撃マルウェアをC2サーバから「取って」(ドロップして)くる。ワームのような機能も持っており、ネットワーク内の別のPCにも感染を広げようとする。さらに、盗んだ情報のうち、被害者のメールアカウントや連絡帳などは、攻撃者によって新たな標的への攻撃に使われる。



EmotetとBECの違い

画像
EmotetとBECの違いとは?
(Photo/Getty Images)

 実在のメールアカウント情報が利用されるという点で、Emotetはビジネスメール詐欺(BEC)にも似ている。BECは近年、各国で被害が広がっている。FBIのIC3(米国インターネット犯罪苦情センター)の報告によれば、BECのグローバルな被害総額の伸び率は、2016年12月から2018年5月にかけて136%。企業取引が狙われるため、1件あたりの被害金額も数千万と多く、被害総額は3,000億円以上(グローバル)とも言われている。国内でも被害報告やセキュリティベンダーへの相談が増えている。

 Emotetとの違いは、BECのほうが手の込んだ攻撃であり、目的が「取引を装い金銭を直接振り込ませること」にある点だ。BECでは多くの場合、メールサーバがハッキングされており、取引先との通信内容がほぼ把握されている。そのため、実際の取引にリアルタイムに割り込んできて、相手を信用させる。

 Emotetもバンキング情報など金銭につながる情報を盗んだりするが、正確には、それはEmotetがダウンロードしてくるマルウェアが実行する攻撃だ。また、Emotet自体はトロイの木馬型なので、Officeツールのファイルや別のソフトウェアを偽装する。ポリモーフィズム(多態性)型かつ仮想環境の検知機能もあるので、シグネチャ検知やサンドボックス検知が簡単ではないという特徴も持っている。

【次ページ】メールシステムの安全技術の限界

メールセキュリティ ジャンルのトピックス

メールセキュリティ ジャンルのIT導入支援情報

PR

ビジネス+IT 会員登録で、会員限定コンテンツやメルマガを購読可能、スペシャルセミナーにもご招待!