Digital Arts Security Reports

2019/10/17    i-FILTER,m-FILTER,サイバー攻撃,改ざんサイト,標的型攻撃メール

改ざんサイトからダウンロードされるEmotet

2019年9月16日(日本時間9月17日頃)、セキュリティ業界が騒然となりました。「Emotet」が戻ってきたのです。

Emotetとは

Emotetはもともとはバンキングマルウェアとして知られていました。2014年に初めてその活動が報告されたのち、何度も進化を繰り返しています。他のマルウェアを呼び込む機能やワームのように拡散機能をもつものなど様々な機能を持ちます。

Emotetの活動状況を示すひとつの参考として、URLhaus(※)に報告されたブラックリストの数を見てみましょう。

【図1】URLhausに報告されたURLのうち、タグに「Emotet」が含まれる数(集計期間:2019/01/01 - 2019/09/30)
【図1】URLhausに報告されたURLのうち、タグに「Emotet」が含まれる数
(集計期間:2019/01/01 - 2019/09/30)

2019年に入っても活動はとどまることを知らないように思えたものの、2019年6月に突如としてその活動を潜め、静けさが続きました。しかしながら多くのリサーチャーは、Emotetは終焉したわけではなくそのうち戻ってくることを予想していたようです。そしてそれは現実となります。

URLhausは、マルウェアの配布に使用されている悪意のあるURLを共有することを目的とした、オープンソースの素晴らしいプロジェクトです。世界中のセキュリティリサーチャーが解析・収集した悪性URL情報がここに多く報告されています。

Emotetの拡散手法

Emotetはメールでの拡散(ばらまき)を主としています。

【図2】Emotetの拡散手法
【図2】Emotetの拡散手法
  1. 経路1. メールに添付のWordファイルのマクロ実行後にEmotetをダウンロード
  2. 経路2. メールに添付のPDFファイル内に記載のURLリンクから、Wordファイルをダウンロードし、Wordファイルのマクロ実行後にEmotetをダウンロード
  3. 経路3. メール本文に記載のURLリンクから、Wordファイルをダウンロードし、Wordファイルのマクロ実行後にEmotetをダウンロード

復活したEmotetの報告されている情報等をまとめると、多くが経路1.の形での拡散のようです。

メールの送信元、件名、本文、添付ファイル等を、絶えず変化させています。しかし、ほとんどがWordファイルを用いてEmotetをダウンロード・感染させるという手法です。

Emotetダウンローダー

Wordファイル(.doc)を開くと下図のようになります。マクロが含まれるため、一般的な設定では黄色の警告バーが上部に表示されマクロは実行されません。しかし警告を無視して有効にしてしまうと、マクロが実行されてしまいます。

【図3】EmotetをダウンロードさせるWordファイルの例
【図3】EmotetをダウンロードさせるWordファイルの例

マクロ実行後のダウンロードURL

不正なマクロが実行されると、PowerShellを用いてEmotet(exe)をダウンロードして実行しようとします。以下にサンプルを示します。あくまで一例です。

【図4】PowerShellコマンドとBase64デコードしたもの
【図4】PowerShellコマンドとBase64デコードしたもの

また、PowerShellを使わないパターンも観測されています。このパターンでは、マクロ実行後に生成したJavaScriptファイルをWScriptで実行し、Emotet(exe)をダウンロードして実行するというものでした。

どちらのパターンでも、EmotetのダウンロードURLの特徴として

  • 5つ程度のURLが設定されている
  • Wordファイルや日時によって、設定されているURLは異なる
  • URLのほとんどが、改ざんされた正規のWebサイトを用いている

といったことが共通して挙げられます。

URLに改ざんサイトを用いる意図としては、すでに存在している正規のWebサイトにアクセスしていると思わせることにより、ブラックリストやアンチウイルスの回避・侵入後の発見を遅らせるといったことがあると思われます。

Emotetのダウンロードが成功し感染してしまうと、情報の窃取やあるいはワームのように自己拡散、あるいは別のマルウェアを感染させるなどといったことが考えられます。

主に海外圏でEmotetは流行していますが、日本でもその兆しが見受けられます。今後、急速に流行する可能性があるため注意が必要でしょう。

※2019/10/21 追記
日本国内で発生しているEmotetを用いた標的型(ばらまき型)攻撃メールにつきまして、弊社が観測した情報をサイバーリスク情報提供サービス「Dアラート」にて公開しています。

デジタルアーツでは

攻撃に対して個人が注意をするのには限界があります。攻撃メールを受信しない環境、添付ファイルを開封してしまっても感染または流出経路を防げる環境を作ることが大切です。下記ページも参照ください。

さらに、「i-FILTER」Ver.10.3から搭載された新機能 「ダウンロードフィルター」により 、改ざんサイトに設置されたEmotetのダウンロードをブロックすることが可能でした(※2019年9月末時点)。

  1. Digital Arts Security Reports をダウンロード

ダウンロードにはお客様情報の入力が必要となります。

<関連リンク>

受信したすべてのメールを開け、アクセスしたいWebをクリックできる。情報システム部門の運用負荷も削減できる。デジタルアーツの「ホワイト運用」がセキュアな世界を実現します。

サイバーリスク情報提供「Dアラート」は「i-FILTER」Ver.10、「m-FILTER」Ver.5、「i-FILTER@Cloud」「m-FILTER@Cloud」の機能を利用して、マルウェア感染の疑いのあるお客様や弊社のお客様以外へも感染情報やホームページの改ざん情報をお知らせする、無償の情報提供サービスです。