インテリジェントウェイブ メールマガジンVol9

更新日:

▼本日のトピックス▼(目次)

イメージ

「Emotetの振り返りとzip暗号添付ファイルによるEmotet再流行について」

連日、Emotetへの感染報告や機能強化などのニュースが絶え間なく目に入ります。特に、Emotetの機能強化のスパンの短さや感染手法の多用化など、対応する側としては非常に困った話です。

そこで、Emotetについて動向の変遷をおさらいした上で、最近になり被害報告が増えているzip暗号添付ファイルを送るEmotetについて整理をします。

1.Emotetの今までの流れをおさらい

Emotetに正しく対処するためには特徴を知り、識別できることが重要です。

ここでは、今までの動向を簡単にですがおさらいします。日本では去年の12月から3月にかけて流行し、一旦落ち着いた後に、9月から再流行しています(下図参照)。

イメージ1

流行当初は、Emotetに感染したユーザのメールアカウント乗っ取り・なりすましメールにより、被害が瞬く間に広がりました。

この時点で、人間の脆弱性をつく「ソーシャルエンジニアリング」の効果が強く、多くの方が対処に追われたかと存じます。3月~6月まではCOVID-19の影響もあり比較的落ち着いていましたが、日本では9月より再流行しました。さらに、9月からの攻撃は世界的に見ても日本への攻撃が集中している模様です。*1

9月に入るまでに、Emotetに新しい機能の追加や手口の変化も見られます。

その一例が以下になります。

  • マクロを有効にさせるための新しいテンプレート:
    今までのEmotetを拡散するためのドキュメントファイルには、「iOSで作成されてドキュメントのため、コンテンツ有効にしないと開けません」「古いオフィスで作成されたため(以下略」「オンラインで作成されたため、(以下略」などのメッセージがありました。どれも現実的ではないため、高確率でターゲットを欺くことができるテンプレートメッセージが登場しています。
  • RedDawn *2:
    「Previewing is not available for protected documents. You have to press "Enable Editing" and "Enable Content" buttons to preview this document」 (訳:このドキュメントは保護されているため、コンテンツを有効にしないと開けません) このメッセージのテンプレートが「Red Dawn」と名付けられています。
  • Windows Server Update Servicesを装う*3:
    office自体のアップデートを促す文章を表示します。
    「These Programs need to be upgrade because they aren't compatible with this file format. Microsoft Word」「You need to click Enable Editing and then click Enable Content」(訳:Microsoft Wordのファイルフォーマットに互換性がないため、プログラムをアップグレードする必要があります。「Enable Editing」をクリックした後に「Enable Content」をクリックしてください) 10月15日時点で、日本語のドキュメントも確認されています
  • スレッドハイジャック*5:
    今までのEmotetは、単発のメール文面に対する返信をする形で感染メールを送信していましたが、今までのメールのやり取り「スレッド」を盗みとることで、自然な流れで感染メールを送信することが可能になります。つまり、今までより更に騙されるユーザが増える可能性が高まります。
  • 添付ファイルの窃盗
    メールの内容と一緒に添付ファイルも盗みます。これにより、悪性のドキュメントと本物の添付ファイルを同時に送ることができ、感染メールの信頼性がさらに高まっています。(嘘の中に少量の真実を混ぜると、本当の話に聞こえるという古典的なトリックですね。)
  • zip暗号添付ファイル
    メールセキュリティの検疫を避けるために、悪性ドキュメントをzip暗号化して送信します。この手口に関しては、次節にて詳しく説明します

一例のつもりでしたが、かなりの機能・手口が追加されていますね。このように、Emotetを感染させるためのメールの品質がどんどん高まっていることが分かります

2. zip暗号添付ファイルによるEmotetキャンペーンの脅威について

9月以前のEmotetは、悪性のWordファイルをそのまま添付して送信していましたが、9月に入ったころから、その添付ファイルをzip暗号化して送信するようになります。
このzip暗号化によって得られる効果は以下の2つです。

  1. メールの通信経路のセキュリティ検疫を回避(zip暗号化されたファイルは検査できない)
  2. zip暗号化しているため、本人からのメールであると思い込んでしまう(ソーシャルエンジニアリング

特に、2に関しては日本固有の問題です。

日本では、メールのセキュリティ強化(特に盗聴の防止)のためにzip暗号化を推進していたこともあり、zip暗号化が安全=信頼できると判断する文化が少なからずあります。この心の隙を突いたのが、今回の流行の原因の本質でもあります。

欧米ではメールに添付するファイルは暗号化しないことが一般的であることから、このようなメールに騙される機会が少ないですが、日本ではそうはいきません。

取引先からのメールは基本的にzip暗号化されていることが多いため、zip暗号化されたファイルを除外するといった対策も取れず、この攻撃の本質はしばらく根強く残ります。

最もスタンダードな対策は従業員へのEmotetキャンペーンメールに対抗する教育・訓練です。

一部では訓練で成果が出ているとの声もありますが、Emotetは常に手を変えて騙そうとしてくるため、対策にも多様性が求められます。さらに、常にEmotetに対する教育・訓練を行うことはかなりの時間と力が必要となるため、なかなかに厳しいところがあります。

そのため、Emotetのキャンペーンメールに引っ掛かった後でも攻撃を止めることができる対策も重要です。

そこで、弊社からはこのEmotet(およびEmotetの次に動くTrickbot)に対して有効なエンドポイントセキュリティ「Morphisec」をご紹介することができます。
Morphisecはマルウェアを検知するのではなく、「無力化」するソリューションです。Morphisecはマルウェアのシグネチャや振る舞いに注目することなく、マルウェアがよく行う「アプリケーションの脆弱性を突くためにメモリを参照する」といった行動を失敗させます。

これにより、マルウェアが新種であろうと亜種であろうと、関係なく防御することができます。

Emotetの場合、感染させるための手口は変わろうと、感染後の手口は大きく変わらないため、Morphisecは影響を受けることなく無力化することができます。

またMorphisecはEmotetだけでなく、EmotetがダウンロードするTrickbotも無力化することができます*6。

イメージ2

Morphisecの詳細な機能などについては、弊社にお問い合わせください。いつでもご説明に伺います。また、Morphisecの日本語ウェビナーのアーカイブもございますので、そちらもご覧ください。
「今のままで本当に大丈夫?これからのエンドポイントセキュリティは「攻撃の無効化」」

セキュリティニュース(国内編)「コロナワクチン狙ったサイバー攻撃、国内で初確認」

新型コロナウイルスワクチンの開発情報を狙った攻撃がついに国内でも発生したようです。今、最も価値のある情報としてトップレベルのセキュリティ対策を施す必要がありそうですね。国内で発生した事件をピックアップしました。

コロナワクチン狙ったサイバー攻撃、国内で初確認

国内において、中国から新型コロナウイルスワクチンの研究内容を狙ったサイバー攻撃が確認されました*7。

さて、どんな研究機関が狙われているのでしょうか。民間でしょうか。医療系のサイバー攻撃といえばミッションクリティカルな病院システムへのランサムウェアなどが連想されますが、新型コロナウイルスワクチン情報となると、どの国もノドから手が出るほど欲しいようで、欧米を中心にサイバー攻撃が活発化しているようです。

確認されている攻撃手法は「新型コロナウイルスに関係する内容の電子ファイルにコンピューターウイルスを忍ばせてメールを送り付ける」というものだそうです。皮肉がすぎますね。

組織のサイバーセキュリティを考えるとき、医療事業者も損害賠償やブランドの失墜を防ぐことを考えますが、自国の利益を守るという視点も持たなければならないという時代ですね。

りそな銀行 1万4000人余の顧客情報入りディスクを紛失

りそな銀行は2020年10月14日に、1万4561件分の顧客情報が記録されているMOディスクを紛失したと発表しました*8。

顧客の情報としては氏名、住所、郵便番号が含まれていました。クレジットカード情報や暗証番号の情報は含まれていなかったとのことですが、今のご時世、名前と住所だけでかなり悪いことができてしまうから怖いですね。"紛失"であるため外部への流出の有無は判明していません。また、データの閲覧にはパスワードが必要とのこと。りそな銀行の場合は顧客情報が暗号化されていたため、大事に至りませんでしたが、一歩間違うと企業の信頼を一瞬で失ってしまう可能性を秘めていました。

そのため、外部記憶媒体へのセキュリティ対策は特に優先度が高い項目です。弊社製品のCWATは内部情報漏洩に特化した製品で、業務端末から外部記憶媒体へのファイル書き出しを禁止したり、ファイルを暗号化していなければ書き出せないなどのルールを強制することができます。

セキュリティニュース(海外編)「Zerologon悪用によりわずか5時間でRyukランサムウェアの展開+暗号化が可能」

先月にCVSSの深刻度10が割り当てられたZerologonですが、とあるサイバー攻撃の研究グループにより、Zerologonを用いたRyukランサムウェアの感染に関する興味深い結果がありましたので、概要をまとめてみました。

他、日本語によるブラックハットSEO*が活発だったとのレポートがあり、内容が面白かったため併せてご紹介します。

※ブラックハットSEO・・・検索エンジンでキーワード検索した際に、悪性のサイトを上位に表示させるように不正すること。この手法で不正サイトにwebの利用者を誘導することで、広告収入を得たり、個人情報を盗んだりすることができます。

Zerologon悪用によりわずか5時間でRyukランサムウェアの展開+暗号化が可能

先月号のメールマガジンでも取り上げたWindows Serverの脆弱性Zerologonですが、サイバー攻撃の研究グループ「The DFIR Report」の調査結果*9により、侵入からRyukによる暗号化までわずか5時間で成功することが確認されました。

Zerologonは一言でいえば、ドメインコントローラの権限をアドミニストレータのパスワードを知らなくても奪うことができる脆弱性です。

一方Ryukは、大型の企業を狙う際に用いられるランサムウェアで、セキュリティソフトウェアによる検知を避けるための行動が特徴的です。最近では、アメリカの大手病院および医療サービスを提供するUHS(ユニバーサル・ヘルス・サービス)がRyukの被害に見舞われたと報道されていました*10。

また、Emotetとともに用いられることもあることから、注目しておきたいランサムウェアです。

今回の調査の詳細については割愛しますが、5時間の内訳は以下の通りです。

  1. フィッシングメールによりBazarマルウェアに感染(ここからスタート)
  2. exploer.exeやsvchost.exeに攻撃コードを注入、ドメインを探索(1時間40分)
  3. Zerologonの実行により優先ドメインコントローラの権限を奪取(1時間47分)
  4. 横展開し、セカンダリのドメインコントローラや、その他のコントローラの制御を奪取(2時間12分)
  5. セカンダリのドメインコントローラから優先ドメインコントローラにRDP接続し、優先ドメインコントローラから攻撃の準
    備を開始(3時間57分)
  6. 優先ドメインコントローラからさらにRDP経由で他のドメインやシステムにRyukを転送・実行を開始(3時間29分)
  7. 攻撃の終了(5時間)

本来であれば優先ドメインコントローラの権限を奪うにはそれなりの調査と探索が必要なのですが、Zerologonではそれをスキップできるため、攻撃が手軽になります。

これは攻撃者のモチベーションを向上させる恐れもあるため、被害を低減させるためにもZerologonに対する修正パッチの適応を強く推奨します。

悪意のあるwebサイトのトレンド(9月分)1位。日本語によるブラックハットSEO

アメリカのwebセキュリティ企業Sucuri社が公開した9月のwebスキャンのレポート*11によると、悪意のあるwebサイトのトレンド(9月分)の1位に日本語によるブラックハットSEOキャンペーンがランクインしています。このキャンペーンは21,253件のwebサイトで確認されています。

同社のブログではこのキャンペーンについて別途詳しく解説されており*12、アフリカのITニュースサイトに対するブラックハットSEOの実例が紹介されております。

FQDNは確かにアフリカのニュースサイトっぽいですが、サイト名が日本語なので、気を付けていないとそのまま利用してしまう恐れがあるものでした。

この攻撃の結果、日本ユーザは騙されてクレジットカードなどの情報を盗まれ、改ざんされたwebサイトの運営者はGoogleからブラックリストに登録され運営できなくなる、と利用者と運営者の双方に悪影響を与えます。

このようなキャンペーンの被害に遭わないためにも、webサイトの運営者は早期に改ざんされていることを発見し、修復することが大事になります。

「最新のウェビナー動画公開中!(IWI Security YouTube公式チャンネル)」

IWI Security YouTube公式チャンネルに最新のウェビナー動画を掲載していますので、ぜひご覧ください!
今後もウェビナー動画、メーカーデモ動画など、皆様のお役に立てるような動画をアップしてまいりますので、是非、チャンネル登録の上、ご活用いただければ幸いです。

動画の内容に関する問い合わせは、下記までお願いいたします。追って、セミナー担当よりご連絡させていただきます。

【IWI Security YouTube公式チャンネル】

イメージ3

最新動画はこちら
・Wi-Fiセキュリティについて~その1~ 「Wi-Fi通信の課題・脅威」
・Wi-Fiセキュリティについて~その2~ 「WifiWallによる解決策」
・Wi-Fiセキュリティについて~その3~ 「Wi-Fi攻撃 VS WifiWall」

・IT担当者の業務負担増を肩代わりする自動化のススメ
・今のままで本当に大丈夫?これからのエンドポイントセキュリティは「攻撃の無効化」

<YouTube公式チャンネルに関するお問い合わせ先>
株式会社インテリジェント ウェイブ
Email:iwi_security@iwi.co.jp
Tel.:03-6222-7300

■ 関連リンク・引用
*01: France, Japan, New Zealand warn of sudden spike in Emotet attacks,ZDNet, 2020/10/22
*02: Emotet Switches to 'Red Dawn' Template in Weaponized Word Documents, The State of Security, 2020/10/22
*03:マルウェア「Emotet」が「Office」アップデートを装う新たな手口, ZDNet Japan, 2020/10/22
*04: Cryptolaemus@Cryptolaemus1, Twitter, 2020/10/22
*05: Emotetのメール攻撃手法「スレッドハイジャック」のケーススタディ, Paloalto Networks, 2020/10/22
*06: TRICKBOT/EMOTET DELIVERY THROUGH WORD MACRO , MORPHISEC, 2020/10/22
*07:コロナワクチン狙ったサイバー攻撃、国内で初確認, 東京新聞, 2020/10/22
*08:りそな銀行 1万4000人余の顧客情報入りディスクを紛失, NHK, 2020/10/22
*09: Ryuk in 5 Hours, THE DFIR REPORT, 2020/2022
*10:米病院大手UHSにサイバー攻撃、Ryukランサムウェアか。要手術者や急患受入れに支障, engadget 日本版,2020/10/22
*11: SiteCheck Malware Report: September Summary ,Sucuri BLOG ,2020/10/22
*12: How to Find & Fix the Japanese Keyword Hack, Sucuri BLOG ,2020/10/22

攻撃を成立させない 新発想のエンドポイントセキュリティMorphisec 資料ダウンロードはこちら