次世代型エンドポイントセキュリティ
Sophos Intercept X(ソフォス インターセプト エックス)

Sophos Intercept X

「Emotet」5つの攻撃チェーンとその対策方法を徹底解説

Blog

Emotet(エモテット)といえば、2014年に初めて発見されてから現在まで、世界各国で被害が拡大し続けている最恐のマルウェアです。年々、手口を巧妙に変化させながら攻撃を続けているため、企業や組織があらゆる対策を講じても感染を防ぎきれていません。本記事では、Emotetの攻撃メールパターンや5つの攻撃チェーンをもとにその対策方法について徹底解説していきます。

Emotet,5つの攻撃チェーン

Emotet感染を促す!攻撃メールパターン

Emotetは初期に発見された頃から、攻撃手法を巧妙に変化させ、感染を拡大させています。
下記は情報処理推進機構(IPA)が公開しているEmotetの攻撃メールパターンをまとめたものです。初期の攻撃メールと、2021年~2022年にかけて報告されている新たな攻撃メールのパターンをご紹介します。

<初期の攻撃メール>

・正規のメール(取引先や関係者とのやり取り)への返信を装ったメール
・不正なURLリンクが記載されたメール
・不正なWordファイルが添付されたメール
・パスワード付きZipファイルが添付されたメール
・流行に便乗した(新型コロナウイルスなど)メール
・年末時期(賞与支給/クリスマス)のキーワードに合わせたメール

初期の攻撃メールは、英語/数字表記、一部の日本語がおかしいといったことから、不審なメールだと気づき、未然に防ぐことができていたこともあり、被害が爆発的に広まることは少なかったといえます。

<新たな攻撃メール>

・不正なExcelファイルが添付されている
・URLリンクが記載され、偽装されたPDF閲覧ソフトが存在する偽ウェブサイトに誘導する
・メール本文が自然な日本語で書かれている
・添付されたファイル名が日本語になっている

上記のほかにも、実在する企業ロゴやドメインを不正利用して送ってくるなど、多種多様なパターンを駆使して攻撃メールを送ってくるため、受信者側が攻撃メールだと気づくことが困難になってきています。今後も、攻撃パターンが増えることが想定されるため、攻撃メールが来ることを前提に対策をする必要があり、さらにどのポイントで感染させるか知っておくことは重要だといえます。

【参照】「Emotet(エモテット)」と呼ばれるウイルスへの感染を狙うメールについて|情報処理推進機構(IPA)

Emotet|5つの攻撃チェーン

Emotetは5つの攻撃チェーンで感染を拡大させます。

図:Emotet5つの攻撃チェーン|感染、被害イメージ

①配布
 攻撃メールで不正なURLや添付ファイルを送信

②エクスプロイト
 PowerShellスクリプト(拡張機能)の実行&接続

③インストール
 悪意のあるプログラムやランサムウェアのダウンロードと実行

④C&Cサーバー通信
 脅威命令やさらなるマルウェアの実行

⑤脅威行動の実行
 情報の送信や暗号化、さらなるバックドアの設置

Emotetは活動再開後も手口を巧妙に変化させながら攻撃を続けていることから、5つの攻撃チェーン全てに対処する必要があると言えます。

※C&Cサーバー・・・攻撃者がマルウェアや感染させたPCをコントロールするための指令サーバ
※エクスプロイト・・・攻撃者が脆弱性をついて攻撃してくる手法
※バックドア・・・次のマルウェアが侵入するために仕掛けられる入り口

【関連資料】Emotetの5つの攻撃チェーンを防御!SOPHOS Intercept X シリーズ

Emotetに感染しないためには?

Emotetに感染しないために、感染予防と対策をどちらも行う必要があります。

【予防】
・マクロの自動実行を無効化
・組織内への注意換気の実施
・標的型訓練メールの実施

【対策】
・EmoCheckで感染の有無を確認
・感染端末をネットワークから遮断
・感染端末を初期化
・他のマルウェア感染の有無を調査
・感染したアカウントの情報(メールアドレス/パスワード)を変更
・メールセキュリティ製品でマルウェア付きメールの検知/防御
・エンドポイントセキュリティ製品でマルウェアの侵入検知/防御

まとめ

Emotetの攻撃手法は年々巧妙化しており、あらゆる対策を講じても感染を防ぎきれないことが問題視されています。そのため攻撃メールが届くという前提、そして万一感染した場合のことを考えて、エンドポイントでのセキュリティ対策をより一層強化する必要があるといえます。
Sophos Intercept X」はEmotet侵入前/侵入後の検知・防御包括的に行うことができます。AV(従来型アンチウイルス)、NGAV(次世代型アンチウイルス)、EDR(検知と対応)機能すべてが備わっているため、エンドポイントでのセキュリティ対策を万全に行うことができます。
ぜひ「Sophos Intercept X」にご相談ください。

Blog関連記事一覧

Contact Usご相談窓口・資料ダウンロード

「どんな特徴があるのかもっと詳しく知りたい」「トータルの費用が知りたい」「他社サービスと比較したい」など、お困り事をなんでもご相談ください。

電話でのご相談

受付時間
月~金9:00~17:00
(土日祝日、年末年始を除く)

メールでのご相談

ご質問やご要望など、お気軽にご相談ください。担当者から3営業日以内にご連絡いたします。

資料ダウンロード

Sophos Intercept Xの各種サービス資料をダウンロードいただけます。