EMOTETの脅威と対策

EMOTETの概要

遠隔操作が可能なボット型マルウェア
感染すると?

  • 情報漏えい、スパムメール送信の踏み台化、他のマルウェアの感染、などの被害が発生します
  • 組織のネットワーク内で感染拡大したり、最終的にランサムウェアなどを感染させられたりするケースもあります
  • 日本では特に2019年10月に複数企業が感染を公表、その後も広範囲に被害が広まっています

 

EMOTETの感染経路と手口

電子メール経由で拡散

特に「返信型」に注意

返信型:感染環境で窃取したメールに対し、「返信」や「転送」の形式で攻撃メールを送信する攻撃手法

以前にやり取りしたメールの「返信」や「転送」として攻撃メールが来るので信用して開いてしまう可能性が高い

不特定多数に拡散する攻撃メールの

返信型攻撃メールの例

メールの添付ファイル、もしくは本文内のURLリンクからダウンロードされるOffice文書ファイルを開き、マクロを有効化してしまうと感染

  • 2020年1月現在 今後は変化の可能性あり

被害に遭わないための心がけ

不審なメールや添付ファイルを開かない

  • 「返信型」による送信者詐称の手口を知り、騙されない
  • 特にOffice文書で「コンテンツの有効化」の表示があった場合、いったん文書を閉じてその正当性を確認する

Officeのマクロ機能を「無効」にしておく

  • 標準では「警告を表示してすべてのマクロを無効にする」だが、「警告を表示せずにすべてのマクロを無効にする」に設定することで「コンテンツの有効化」を表示させないことも有効

被害に遭わないための技術的対策ポイント

 

侵入の防止

メール経由での侵入

マルウェア拡散メールの不正な添付ファイルや本文内の不正URLを検出

Web経由での侵入

マルウェア本体をダウンロードするための不正サイトをブロック

不正ファイルの検出

不正マクロを含むOffice文書ファイルやマルウェア本体を検出

既存のパターンマッチングだけでなく、ヒューリスティック検索、機械学習型検索、サンドボックス機能など、複数の技術による多層防御

侵入後の被害拡大を防止

Web対策

侵入後の遠隔操作サーバ(C&Cサーバ)へのアクセスをブロックするためのWeb対策

ネットワーク
監視

侵入後の不審な活動を可視化するためのネットワーク監視



エンドポイント対策

ネットワーク内での拡散を防ぐためのOSやソフトウェアの脆弱性対策とサーバ防御(侵入・改ざん防止やログ監視機能)

バックアップ

EMOTETによるランサムウェア感染に備えた重要ファイルのバックアップ

トレンドマイクロの対策

個人向け

ウイルスバスター クラウド™

  • 「ウイルス/ランサムウェア/グレイウェア対策」により、EMOTET本体や不正マクロを含むOffice文書ファイルを検出
  • 「不正サイト対策」によりマルウェアをダウンロードするための不正サイトをブロック
  • 「迷惑メール/詐欺メール対策」により、マルウェアを拡散させる攻撃メールをブロック

 

法人向け

EMOTET本体やEMOTETを感染させる不正Office文書ファイルは、既存の検出技術回避のため、常に変化しています。対策としては、未対応の段階でも検出/警告が可能な技術的対策である、機械学習型検索機能とサンドボックス機能を併用することが効果的です。特に、主な侵入経路であるメールに対し両機能を有効にすることで、攻撃を効率的に防護可能です。

トレンドマイクロ製品をご利用中の方:EMOTET対策の有効性向上のため、各製品の推奨設定をご確認ください
トレンドマイクロ製品を未使用の方:各製品の詳細ページには体験版の案内もありますので確認ください

 

侵入の防止:

メール対策

Trend Micro Email Security™
Trend Micro Cloud App Security™

Web対策

InterScan Web Security as a service™ – Hybrid


エンドポイントでの不正ファイル検出

大規模環境向け:Trend Micro Apex One™
中小規模向け:ウイルスバスター™ ビジネスセキュリティサービス

侵入後の被害拡大防止:

Web対策

InterScan Web Security as a service™ – Hybrid


ネットワーク監視

Deep Discovery™ Inspector


サーバ防御

Trend Micro Deep Security™


脆弱性対策(仮想パッチ)

Trend Micro Deep Security
Trend Micro Apex One

各製品の推奨設定

Trend Micro Email Security

  • スパムポリシーの検索条件に「スパムメール」を含める
  • スパムポリシーの検索条件に「Webレピュテーション」を含める
  • スパムポリシーの検索条件にある「Webレピュテーション」の設定画面で「仮想アナライザにURLを送信する」を有効にする
  • ウイルスポリシーの検索条件で「検出タイプを指定」をすべてチェック
  • ウイルスポリシーの検索条件で「機械学習型検索」を有効にする
  • ウイルスポリシーの検索条件で「高度な設定の指定」にあるチェックボックスをすべてチェック

 

Trend Micro Cloud App Security

  • メールサービスの高度な脅威対策ポリシー内「高度なスパムメール対策」を有効にする
  • メールサービスの高度な脅威対策ポリシー内「不正プログラム検索」にある「機械学習型検索を有効にする」にチェックを入れる
  • メールサービスの高度な脅威対策ポリシー内「Webレピュテーション」を有効にする
  • メールサービスの高度な脅威対策ポリシー内「仮想アナライザ」にある「次を分析」の「URL」をチェックし、仮想アナライザを有効にする

 

InterScan Web Security as a Service - Hybrid

  • コンテンツのセキュリティ対策を有効にする
  • 高度な脅威対策の「機械学習型検索」を有効にする
  • 高度な脅威対策の「クラウド仮想アナライザ」を有効にする

 

Trend Micro Apex One

  • 「挙動監視機能」を有効にする
  • 「Webレピュテーション設定」を有効にする
  • 「機械学習型検索」を有効にする

 

ウイルスバスター ビジネスセキュリティサービス

  • 「挙動監視」を有効にする
  • 「機械学習型検索」を有効にする

 

Copyright © 2020 Trend Micro Incorporated All rights reserved.