EMOTET 概要から対策まで

EMOTETの概要

遠隔操作が可能なボット型マルウェア
感染すると？

情報漏えい、スパムメール送信の踏み台化、他のマルウェアの感染、などの被害が発生します
組織のネットワーク内で感染拡大したり、最終的にランサムウェアなどを感染させられたりするケースもあります
日本では特に2019年10月に複数企業が感染を公表、その後も広範囲に被害が広まっています

EMOTETの感染経路と手口

電子メール経由で拡散

特に「返信型」に注意

返信型：感染環境で窃取したメールに対し、「返信」や「転送」の形式で攻撃メールを送信する攻撃手法

以前にやり取りしたメールの「返信」や「転送」として攻撃メールが来るので信用して開いてしまう可能性が高い

不特定多数に拡散する攻撃メールの例

返信型攻撃メールの例

メールの添付ファイル、もしくは本文内のURLリンクからダウンロードされるOffice文書ファイル^※を開き、マクロを有効化してしまうと感染

2020年1月現在　今後は変化の可能性あり

被害に遭わないための心がけ

不審なメールや添付ファイルを開かない

「返信型」による送信者詐称の手口を知り、騙されない
特にOffice文書で「コンテンツの有効化」の表示があった場合、いったん文書を閉じてその正当性を確認する

Officeのマクロ機能を「無効」にしておく

標準では「警告を表示してすべてのマクロを無効にする」だが、「警告を表示せずにすべてのマクロを無効にする」に設定することで「コンテンツの有効化」を表示させないことも有効

被害に遭わないための技術的対策ポイント

侵入の防止

メール経由での侵入

マルウェア拡散メールの不正な添付ファイルや本文内の不正URLを検出

Web経由での侵入

マルウェア本体をダウンロードするための不正サイトをブロック

不正ファイルの検出

不正マクロを含むOffice文書ファイルやマルウェア本体を検出

既存のパターンマッチングだけでなく、ヒューリスティック検索、機械学習型検索、サンドボックス機能など、複数の技術による多層防御

侵入後の被害拡大を防止

Web対策

侵入後の遠隔操作サーバ（C&Cサーバ）へのアクセスをブロックするためのWeb対策

ネットワーク
監視

侵入後の不審な活動を可視化するためのネットワーク監視

エンドポイント対策

ネットワーク内での拡散を防ぐためのOSやソフトウェアの脆弱性対策とサーバ防御（侵入・改ざん防止やログ監視機能）

バックアップ

EMOTETによるランサムウェア感染に備えた重要ファイルのバックアップ

トレンドマイクロの対策

個人向け

ウイルスバスタークラウド™

「ウイルス/ランサムウェア/グレイウェア対策」により、EMOTET本体や不正マクロを含むOffice文書ファイルを検出
「不正サイト対策」によりマルウェアをダウンロードするための不正サイトをブロック
「迷惑メール/詐欺メール対策」により、マルウェアを拡散させる攻撃メールをブロック

法人向け

EMOTET本体やEMOTETを感染させる不正Office文書ファイルは、既存の検出技術回避のため、常に変化しています。対策としては、未対応の段階でも検出/警告が可能な技術的対策である、機械学習型検索機能とサンドボックス機能を併用することが効果的です。特に、主な侵入経路であるメールに対し両機能を有効にすることで、攻撃を効率的に防護可能です。

トレンドマイクロ製品をご利用中の方：EMOTET対策の有効性向上のため、各製品の推奨設定をご確認ください
トレンドマイクロ製品を未使用の方：各製品の詳細ページには体験版の案内もありますので確認ください

侵入の防止：

メール対策

Trend Micro Email Security™
Trend Micro Cloud App Security™

Web対策

InterScan Web Security as a service™ – Hybrid

エンドポイントでの不正ファイル検出

大規模環境向け：Trend Micro Apex One™
中小規模向け：ウイルスバスター™ ビジネスセキュリティサービス

侵入後の被害拡大防止：

Web対策

InterScan Web Security as a service™ – Hybrid

ネットワーク監視