Emotetに効果あり!UTMでセキュリティ強化
以前猛威を振るった「Emotet(エモテット)」が復活していることをご存知ですか?
Emotetとは、なりすましメールを相手に送り付け、添付されたデータを開かせることでマルウェアをパソコンに感染させようとする悪質なサイバー攻撃です。
パソコンがEmotetに感染してしまった場合、外部からランサムウェア等のマルウェアを呼び込んだり、なりすましメールを更に拡散させて被害を広げようとする動きをします。
2021年1月のEmotetサーバーの一斉摘発により壊滅したと思われていましたが、近年再びEmotetの活動が観測されるようになりました。
恐ろしいEmotetの2つの特徴
Emotetの特徴は以下の2つです。
感染すると止められないメールによる巧妙な拡散
- 感染したPCからメールアドレス帳の情報やメール履歴を搾取
- 攻撃者が制御するサーバーから拡散メールを発信(感染PCを隔離しても拡散は止まらない)
- 搾取したメール履歴を利用して、やり取りをしている相手を偽ったなりすましメール
実際にやり取りをしている相手になりすまし、添付データ付のメールを他の連絡先に送信します。 受信した相手は、既にやり取りのある相手からのメールだと思い込んで、疑いもなく添付データを開いてしまいます。 このなりすましメールの巧妙さが、Emotetの一番恐ろしいところといえます。
他のマルウェアを引き込む最恐ダウンローダ
- 感染PCを暗号化し身代金を要求するランサムウェア、金融情報を搾取し不正送金を行うマルウェア等を呼び込む
- Emotetは複数の犯罪組織によって分業化、引き込むマルウェアは理論上無限大
一度Emotetに感染してしまうと、様々なマルウェアを呼び込まれ、大切なデータが暗号化されて使用できなくなったり、インターネットバンキング等で不正入金をされたりと、正常な業務ができない状態に陥ります。
しかも1台が感染したら、同一ネットワークに接続されているすべての機器(PC、サーバー、複合機等)に影響を及ぼすため、企業としてセキュリティは万全にしておかなければなりません。
Emotet感染の流れ
Emotetは以下の流れで感染を狙っています。
①感染させたPCから、メールアカウント情報やメールの履歴を搾取し、攻撃者の制御サーバーに送る
②搾取した履歴を基に、攻撃者から自身のサーバーから取引先になりすましメールを送信する
③なりすましメールを受信した相手が、メールの添付データ(Excel等)を開き、「コンテンツの有効化」をクリックする
③マルウェアが起動し、外部から別のマルウェア等を呼び込む
④感染したPCから、新たにメールアカウント情報やメールの履歴を搾取する
添付されているデータ(新EmotetはExcelも利用)は開くまではまだ問題ありませんが、黄色く警告が出ている「コンテンツの有効化」をクリックしてしまうと、マルウェアが起動してしまいます。
Emotetへの対策
「不審なメールは開かない」というのが一番の対策ではありますが、前述の通り新Emotetは更に巧妙になっていますので、誤ってメールを開いてしまうかもしれません。 しっかりとメール本文の内容を確認して、少しでも不審な点がありましたら、送信者本人に連絡を入れて確認を取りましょう。
万が一、メールの添付データを開いてしまった場合ですが、「コンテンツの有効化」の表示は決してを押さないようにしてください。
誤ってデータを開いても、「有効」を押さなければ、まだマルウェアを呼び込むことにはなりません。
「マクロを有効」を押してしまった場合、セキュリティを強化していなければほぼ100%マルウェアに感染してしまいます。
最悪の状態にならないためにも、「Emotetブロックの実績のあるUTM」の導入をオススメいたします。
弊社が取り扱いをしておりますUTM200は、Emotetが添付してきたデータの「コンテンツの有効化」を押してしまった際に発生する通信を遮断して、マルウェアを呼び込むのを止めた実績があります。
Emotetも日々進化しているため100%防ぐことはできませんが、セキュリティの壁を厚くしておくことに意味がありますので、是非セキュリティ強化として、UTMの導入をご検討ください。