EMOTET 概要から対策まで
「EMOTET」が活動再開
EMOTETの概要
遠隔操作が可能なボット型マルウェア
感染すると?
- 情報漏えい、スパムメール送信の踏み台化、他のマルウェアの感染、などの被害が発生します
- 組織のネットワーク内で感染拡大したり、最終的にランサムウェアなどを感染させられたりするケースもあります
- 2021年11月活動再開が確認され、攻撃の拡大が懸念されています
EMOTETの感染経路と手口
電子メール経由で拡散
特に「返信型」に注意
返信型:感染環境で窃取したメールに対し、「返信」や「転送」の形式で攻撃メールを送信する攻撃手法
以前にやり取りしたメールの「返信」や「転送」として攻撃メールが来るので信用して開いてしまう可能性が高い
不特定多数に拡散する攻撃メールの例
返信型攻撃メールの例
メールの添付ファイル、もしくは本文内のURLリンクからダウンロードされるOffice文書ファイル※を開き、マクロを有効化してしまうと感染
- 2020年1月現在 今後は変化の可能性あり
被害に遭わないための心がけ
不審なメールや添付ファイルを開かない
- 「返信型」による送信者詐称の手口を知り、騙されない
- 特にOffice文書で「コンテンツの有効化」の表示があった場合、いったん文書を閉じてその正当性を確認する
Officeのマクロ機能を「無効」にしておく
- 標準では「警告を表示してすべてのマクロを無効にする」だが、「警告を表示せずにすべてのマクロを無効にする」に設定することで「コンテンツの有効化」を表示させないことも有効
被害に遭わないための技術的対策ポイント
侵入の防止
メール経由での侵入
マルウェア拡散メールの不正な添付ファイルや本文内の不正URLを検出
Web経由での侵入
マルウェア本体をダウンロードするための不正サイトをブロック
不正ファイルの検出
不正マクロを含むOffice文書ファイルやマルウェア本体を検出
既存のパターンマッチングだけでなく、ヒューリスティック検索、機械学習型検索、サンドボックス機能など、複数の技術による多層防御
侵入後の被害拡大を防止
Web対策
侵入後の遠隔操作サーバ(C&Cサーバ)へのアクセスをブロックするためのWeb対策
ネットワーク
監視
侵入後の不審な活動を可視化するためのネットワーク監視
エンドポイント対策
ネットワーク内での拡散を防ぐためのOSやソフトウェアの脆弱性対策とサーバ防御(侵入・改ざん防止やログ監視機能)
バックアップ
EMOTETによるランサムウェア感染に備えた重要ファイルのバックアップ
トレンドマイクロの対策
個人向け
- 「ウイルス/ランサムウェア/グレイウェア対策」により、EMOTET本体や不正マクロを含むOffice文書ファイルを検出
- 「不正サイト対策」によりマルウェアをダウンロードするための不正サイトをブロック
- 「迷惑メール/詐欺メール対策」により、マルウェアを拡散させる攻撃メールをブロック
法人向け
EMOTET本体やEMOTETを感染させる不正Office文書ファイルは、既存の検出技術回避のため、常に変化しています。対策としては、未対応の段階でも検出/警告が可能な技術的対策である、機械学習型検索機能とサンドボックス機能を併用することが効果的です。特に、主な侵入経路であるメールに対し両機能を有効にすることで、攻撃を効率的に防護可能です。
トレンドマイクロ製品をご利用中の方:EMOTET対策の有効性向上のため、各製品の推奨設定をご確認ください
トレンドマイクロ製品を未使用の方:各製品の詳細ページには体験版の案内もありますので確認ください
侵入の防止:
メール対策
Trend Micro Email Security™
Trend Micro Cloud App Security™
Web対策
Trend Micro Web Security as a Service™
エンドポイントでの不正ファイル検出
大規模環境向け:
Trend Micro Apex One™(SaaS および オンプレミス)
中小規模向け:
ウイルスバスター™ ビジネスセキュリティサービス
UTM(統合脅威管理)
中小規模向け:Cloud Edge™
侵入後の被害拡大防止:
Web対策
Trend Micro Web Security as a Service™
ネットワーク監視
Deep Discovery™ Inspector
Trend Micro TippingPoint
サーバ防御
脆弱性対策(仮想パッチ)
Trend Micro Deep Security™
Trend Micro Apex One™(SaaS および オンプレミス)
UTM(統合脅威管理)
中小規模向け:Cloud Edge™
各製品の推奨設定
Trend Micro Email Security
- スパムポリシーの検索条件に「スパムメール」を含める
- スパムポリシーの検索条件に「Webレピュテーション」を含める
- スパムポリシーの検索条件にある「Webレピュテーション」の設定画面で「仮想アナライザにURLを送信する」を有効にする
>上記の設定方法はこちら
- ウイルスポリシーの検索条件で「検出タイプを指定」をすべてチェック
- ウイルスポリシーの検索条件で「機械学習型検索」を有効にする
- ウイルスポリシーの検索条件で「高度な設定の指定」にあるチェックボックスをすべてチェック
>上記の設定方法はこちら
- 受信保護設定のコンテンツフィルタの検索条件で「添付ファイルが次を含む=アクティブコンテンツ」を選択し、その後処理で「添付ファイルのサニタイズ(添付ファイルからアクティブコンテンツを削除)にあるチェックボックスをチェック
>上記の設定方法はこちらおよびこちら
- 受信保護設定 > ウイルス検索 > ファイルパスワード解析 の「ファイルパスワード解析を有効にする」にあるチェックボックスをチェック
>上記の設定方法はこちら
>設定に関する詳細な補足説明はこちら
Trend Micro Cloud App Security
Trend Micro Web Security as a Service
Trend Micro Apex One(SaaS および オンプレミス)
Trend Micro TippingPoint
- Inspection Profile 上の Filter:28409: HTTP: Emotet Checkin Request の設定を有効にする
※本機能を利用するためには、Threat DV のサブスクリプションを購入いただく必要がございます。
>設定方法はこちら
ウイルスバスター ビジネスセキュリティサービス
ウイルスバスター ビジネスセキュリティ
Cloud Edge
- 「不正プログラム対策」を有効にする
>設定方法はこちら
- 「不正プログラム対策」内の「スマートスキャン」「機械学習検索」を有効にする
>設定方法はこちら
- 「メールセキュリティ対策」を有効にする
>設定方法はこちら
- 「メールセキュリティ対策」内の「不正プログラム対策」を有効にする
>設定方法はこちら
- 「メールセキュリティ対策」「不正プログラム対策」内の「機械学習型検索」をオンにする
>設定方法はこちら
- 「メールセキュリティ対策」「不正プログラム対策」内の「仮想アナライザの有効化」をオンにする ※オプションラインセスが必要となります。
>設定方法はこちら
- 「メールセキュリティ対策」内の「スパムメール対策」を有効にする
>設定方法はこちら
- 「Webレピュテーション」を有効にする
>設定方法はこちら
オンデマンドウェビナーでEMOTETについて知る
再び活動の兆し EMOTETの攻撃手法とメールから考える対策
活動再開後のEMOTET動向とメール対策解説ウェビナー
活用できていますか? 今すぐできるランサムウェア、EMOTET対策
エンドポイント対策向けウェビナー
病院も被害続出EMOTET
医療機関におけるメールセキュリティの課題と対策ウェビナー
お問い合わせ
法人のお客さま
法人お問い合わせ窓口 TEL:03-5334-3601 月曜日~金曜日の9:00~12:00、13:00~18:00