2年もの間、EmotetのWi-Fi拡散が見逃されていた!?

公開日:

更新日:

サイバー攻撃対策
   

目次

EmotetはWi-Fi経由で拡散・感染している?

Wi-FiセキュリティベンダのWifiWall社(現:airEye社)がEmotetに関する記事を公開しました*1 。2020年2月7日に、Binary Defense社の調査によりEmotetにWi-Fiで拡散・感染端末を増やす機能が2018年から実装されていることが判明しました*2 。

Emotetに感染した端末がブルートフォースで近隣のアクセスポイントへの接続を試み、接続が確立されたら、当該アクセスポイントを経由し他の端末への接続をブルートフォースにより試みます。これにより、Wi-Fiネットワーク経由でEmotetが拡散・横展開します。注1

2020年に入って日本で爆発的に流行したEmotetですが、このWi-Fiを悪用する機能は2年前から実装されている機能のため、Wi-Fiによって感染した端末が存在する可能性が懸念されます。

そのため、Wi-Fiネットワーク上に流れるブルートフォースなどの異常通信を察知できないと、今後増加するであろうWi-Fiを利用した攻撃の被害抑制が困難になり得ます。

また、WifiWall社の記事ではEmotetがなぜWi-Fiを利用するに至ったかが解説されています。

注1:オープンネットワーク(パスワードなしのネットワーク)を使用している場合はブルートフォースの必要がないため、即座にWi-Fiネットワークへの侵入が可能になる恐れがあります。加えて、怪しいWi-Fi通信の兆候が見られなくなることも併せると、オープンネットワークの利用はWi-Fiセキュリティを著しく低下させます。

Emotetとは?マルウェアとして、どのような定義がされているか

アメリカ合衆国国土安全保障省はEmotetを次のように定義しました。

「Emotetは他のバンキング型トロイの木馬のダウンローダまたはドロッパーとして機能する高度なモジューラ式バンキング型のトロイの木馬です。Emotetは州、地方、部族、領土(SLTT)の政府、民間および公共部門に影響を引き続き与え、対処のために最も費用を要する破壊系マルウェアです。」

しかし、Emotetは6年前に使われていた古いトロイの木馬です。そのため、今までと同じようにスパムメールやソーシャルエンジニアリングを通じてEmotetが侵入すると考えられていました。

EmotetはWi-Fiを用いて拡散している

2020年2月7日、 Binary Defense社の脅威研究者およびマルウェア解析者でもあるJames Quinn氏は、「EmotetはWi-Fiを用いて拡散する」という新たな感染経路を発表しました。この発表でEmotetは近隣のWi-Fiネットワークを通じて、他のコンピュータに侵入することが知られるようになりました。

また、Binary Defense社によるとWi-Fiを用いた感染コードは2年近く気づかれなかった模様です。そして、2020年1月23日に初めてこのコードが判明しました。

それでは、2018年初頭に、Emotetの開発者がWi-Fi技術を活用するに至ったきっかけは何なのでしょうか?

2017年11月、2人の研究者はWPA2(2017年までは最高のWi-Fi暗号化方式)による暗号化を素早く解読する方法(KRACK:Key Reinstallation Attack)を発表しました。さらに、このKRACK攻撃は2018年の第1四半期に劇的に改善されています。

また、このニュースは攻撃者を含む多くの人の注目を集めました。攻撃者は組織のWi-Fiセキュリティの認識の甘さと、Wi-Fiを関するサイバーセキュリティ製品の不足に気づくと、大規模にEmotetを拡散するための手段としてWi-Fiを選ぶことは当然のことと言えます。

Wi-Fiに関するセキュリティはまだ発展途上

アクセスポイントが提供する基本的な監視機能を除き、Wi-Fiサイバーセキュリティの製品は数多くありません。各社のアクセスポイントはWi-Fiネットワークを監視することができますが、セキュリティを担保するためにアクセスポイントの機能を停止する必要があります。

アクセスポイントの機能を停止することで、Wi-Fiからの脅威を防ぐためです。

しかし、Wi-Fiネットワークの管理者は、利便性と引き換えにセキュリティのためにネットワーク(アクセスポイント)の機能を停止させる運用を嫌がる傾向にあります。

また、KRACK攻撃はWifiWall社の立ち上げのきっかけにもなりました。Emotetはミサイルのようなものであり、様々なペイロードを搭載しています。そして、Emotet開発者はペイロードの改善とアップデートを繰り返しており、ミサイルを劇的に改善しました。

未知数なWi-Fi攻撃はまだまだ存在し、Wi-Fiドメインのサイバー防衛者が不足しているため発見が困難です。    

そんな中、WifiWall社は少しでもWi-Fiの脅威を減らすためセキュリティ製品を展開していますので、興味のある方はお気軽にお問合せください。

WifiWall社が提供するWi-Fiセキュリティ脅威監視製品はこちらです。

参考:コロナウイルス関連の情報も悪用するEmotet

最新の標的型フィッシングキャンペーンでは、Emotetはリンクと添付ファイルを含むCDC(Centers for Disease Control and Prevention)のなりすましメールを送信し、感染を広げます。攻撃者は本来関係しないものを関連付けて、攻撃に利用します。

脚注(参考文献一覧)

※1 aireye|HOME(参照日:2020/3/15)
※2 binarydefense.com|Emotet Evolves With new Wi-Fi Spreader(参照日:2020/3/15)