改めて見直したい、Emotet対策 ~「Cybereason」で防ぐセキュリティインシデントの拡大~

Emotetに感染した場合の影響

Emotetの感染により発生する問題には以下のようなものがあります。

①端末やブラウザに保存されたパスワード等の認証情報が窃取される

②窃取されたパスワードの悪用によりネットワーク内に感染が広がる

③メールアカウントとパスワードが窃取される

④メール本文とアドレス帳の情報が窃取される

⑤窃取されたメールアカウントや本文などが悪用され、Emotetの感染を広げるメールが発信される

⑥ほかのマルウェアへ感染させる（ランサムウェアなど）

さらに、盗んだメールなどの情報をもとにして攻撃を拡大し、サプライチェーン攻撃*に発展することもあるため、企業にとって大変な脅威です。

また、2022年4月から個人情報保護法が改正され、企業が個人情報を漏えいさせた場合の罰則が強化されました。Emotetが流行する中こうした状況の変化からも、企業が自衛する必要性が高まっています。

*サプライチェーン攻撃：サプライチェーンの中でセキュリティが弱い企業をサイバー攻撃して、そこを足掛かりに大企業などの重要な情報を狙う手法

Emotetの手口

Emotetの特徴として、窃取したメールアカウントや本文の情報を取り込んでより自然な日本語に近づけていき、実在の取引先や人物を装うことがあります。さらに、取引などでやり取りしていた本物のファイルを盗用することで、メールを送られた側は不審に思うことなくEmotetが仕込まれたファイルを開封してしまうのです。

また、Emotetが仕込まれた添付ファイルはパスワード付きZIPファイルの形式で送られてくることがあります。一部のセキュリティソフトはこうした形式のファイルを脅威と認識しないため、Emotetの侵入を検知することができない場合があります。

下図はEmotet感染の流れを図で示したものです。EmotetはWindowsの標準機能であるWMI*Powershell*、rundll32.exe*などを悪用して、端末に侵入します。

*WMI : WIndows Management Instructions.Windows OSにおけるシステム管理の共通基盤

*Powershell : 指定したプログラムを起動するためのユーザインターフェース

*rundll32.exe : ライブラリファイルを実行するためのファイル

Emotet対策に有効なセキュリティツール「Cybereason」

Cybereasonはイスラエル創業、現在は米国ボストンに本社を置くサイバーセキュリティ企業です。日本市場ではCybereasonJapanがEDR（脅威の検知と対応）やIR（インシデント対応サービス）などを展開し、特にEDR市場では１位を獲得しています。

中でもCybereason Complete Endpoint ProtectionはNGAV（次世代アンチウイルス）とEDRの両方を備えた実用的なサイバーセキュリティ製品で、Emotet対策にも有効です。

Cybereason Complete Endpoint ProtectionのNGAVは6層の防御によって、Emotetを含む殆どのマルウェアの侵入を阻みます。さらに、万が一侵入された場合でもEDRで感染を感知し、攻撃の封じ込めや感染箇所の切り離しなどの対処を行うことができるため、サイバー攻撃に対して非常に強力な対策手段となります。

情報を集めて、Emotetに対抗しましょう

Emotetの被害はここ数年急増しており、手口も巧妙化しています。どの企業でも感染の恐れはありますので、Emotetの知識を蓄え対策を立てる必要があります。本講演ではEmotetに関する基本的な知識だけでなく、セキュリティツールを活用することでどのようにEmotetへの防御対策を進めることができるかを具体的にご紹介します。ぜひ下記のリンクよりご確認ください。