• 会員限定
  • 2019/12/20 掲載

Emotet(エモテット)とは何か? ビジネスメール詐欺(BEC)との違いは?

記事をお気に入りリストに登録することができます。
11月末、マルウェア「Emotet(エモテット)」が仕込まれた攻撃メールが着弾し、自社アカウントを悪用した攻撃メールを発信されてしまった企業が、相次いでニセメールへの注意喚起を行った。27日にはJPCERT/CCが詳細情報とともに注意喚起を行っている。注意喚起が相次ぐ、このEmotetとはどのようなマルウェアなのか? その攻撃手法と動向を紹介する。

執筆:フリーランスライター 中尾真二

執筆:フリーランスライター 中尾真二

フリーランスライター、エディター。アスキーの書籍編集から、オライリー・ジャパンを経て、翻訳や執筆、取材などを紙、Webを問わずこなす。IT系が多いが、たまに自動車関連の媒体で執筆することもある。インターネット(とは言わなかったが)はUUCPのころから使っている。

photo
BEC、Emotetが突き付けた従来型メールの限界、企業はメッセンジャーに移行すべきか?
(Photo/Getty Images)

感染PCの情報を使って攻撃メールを拡散

 Emotetは、特に新しいマルウェアではない。数年ほど前から、セキュリティベンダーのレポートなどで取り上げられていたが、2018年にFBI(連邦捜査局)傘下の組織であるCISA(サイバーセキュリティ・インフラストラクチャセキュリティ庁)が、EmotetおよびTrickBotに関するアラートを発し、被害拡大に対する注意と対策方法を公開している。日本国内では、2019年秋ごろから被害が顕著になってきた。JPCERT/CCの注意喚起によれば、10月ごろからEmotetに関する相談が急増したとなっている。

 Emotetがどのようなマルウェアかは、CISAのアラート、JPCERT/CCの注意喚起、IPAのお知らせに詳しく書かれている。被害者はまず、実在の企業や担当者のメールアカウントを詐称したメールを受信する。メールは「請求書の確認」「重要書類」といった内容で、添付ファイルの開封を促す。添付ファイルを開封したり、「編集を有効」をクリックしたりすると、Emotetが起動する。

 Emotetはいわゆるダウンローダー、ドロッパーとして機能し、Emotet自体は不正なコードを持たないが、とあるタイミングでさらなる攻撃マルウェアをC2サーバから「取って」(ドロップして)くる。ワームのような機能も持っており、ネットワーク内の別のPCにも感染を広げようとする。さらに、盗んだ情報のうち、被害者のメールアカウントや連絡帳などは、攻撃者によって新たな標的への攻撃に使われる。



EmotetとBECの違い

画像
EmotetとBECの違いとは?
(Photo/Getty Images)

 実在のメールアカウント情報が利用されるという点で、Emotetはビジネスメール詐欺(BEC)にも似ている。BECは近年、各国で被害が広がっている。FBIのIC3(米国インターネット犯罪苦情センター)の報告によれば、BECのグローバルな被害総額の伸び率は、2016年12月から2018年5月にかけて136%。企業取引が狙われるため、1件あたりの被害金額も数千万と多く、被害総額は3,000億円以上(グローバル)とも言われている。国内でも被害報告やセキュリティベンダーへの相談が増えている。

 Emotetとの違いは、BECのほうが手の込んだ攻撃であり、目的が「取引を装い金銭を直接振り込ませること」にある点だ。BECでは多くの場合、メールサーバがハッキングされており、取引先との通信内容がほぼ把握されている。そのため、実際の取引にリアルタイムに割り込んできて、相手を信用させる。

 Emotetもバンキング情報など金銭につながる情報を盗んだりするが、正確には、それはEmotetがダウンロードしてくるマルウェアが実行する攻撃だ。また、Emotet自体はトロイの木馬型なので、Officeツールのファイルや別のソフトウェアを偽装する。ポリモーフィズム(多態性)型かつ仮想環境の検知機能もあるので、シグネチャ検知やサンドボックス検知が簡単ではないという特徴も持っている。

【次ページ】メールシステムの安全技術の限界

関連タグ

あなたの投稿

関連コンテンツ

PR

処理に失敗しました

トレンドタグ

おすすめユーザー

会員登録で動画、資料に使えるホワイトペーパー、オンラインセミナー年間500本など、会員限定記事が​閲覧できる!​

投稿したコメントを
削除しますか?

あなたの投稿コメント編集

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

通報

このコメントについて、
問題の詳細をお知らせください。

ビジネス+ITルール違反についてはこちらをご覧ください。

通報

報告が完了しました

コメントを投稿することにより自身の基本情報
本メディアサイトに公開されます

必要な会員情報が不足しています。

必要な会員情報をすべてご登録いただくまでは、以下のサービスがご利用いただけません。

  • 記事閲覧数の制限なし

  • [お気に入り]ボタンでの記事取り置き

  • タグフォロー

  • おすすめコンテンツの表示

詳細情報を入力して
会員限定機能を使いこなしましょう!

詳細はこちら 詳細情報の入力へ進む
報告が完了しました

」さんのブロックを解除しますか?

ブロックを解除するとお互いにフォローすることができるようになります。

ブロック

さんはあなたをフォローしたりあなたのコメントにいいねできなくなります。また、さんからの通知は表示されなくなります。

さんをブロックしますか?

ブロック

ブロックが完了しました

ブロック解除

ブロック解除が完了しました

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

ユーザーをフォローすることにより自身の基本情報
お相手に公開されます