はじめに
Emotet は、電子メールアカウントを盗んで被害者になりすまし、コピー付きでメールに返信します。悪意のある電子メールが、盗まれたアウトバウンド SMTP アカウントのネットワークを通じて配信されます。電子メールを中間で窃取するこの比較的シンプルなソーシャル エンジニアリング アプローチにより、Emotet は、目下のところマルウェアを配信する手段の中で最も多く利用されているものの 1 つとなっています。
Cisco Talos は Emotet を監視し続けて、ThreatGrid マルウェアサンドボックスやその他の環境で、Emotet のサンプルを継続的に発動させています。Emotet の被害者を装った電子メールが、Emotet のアウトバウンドメールサーバのネットワークを介して送信されるのをリアルタイムで監視します。Talos では、盗まれた SMTP ログイン情報とアウトバウンド電子メールの両方を注意深く監視することで、Emotet の最新の被害者に関するメタ情報を抽出し、Emotet が積極的に展開しているネットワークについての詳細情報を得られました。
Emotet の拡散に見られる最も狡猾な特徴の 1 つは、個人的な関係や仕事上の関係に対してソーシャルエンジニアリングを適用して、マルウェアの感染を広げていることです。信頼できる友人や同僚からメッセージを受信した人が、「この電子メールは、自分が送信したメッセージに対する返信か、自分が知っている人からのものだから、添付ファイルを開いても安全だ」と考えるのはきわめて自然なことです。Emotet の被害者に電子メールを送信した個人または組織は、Emotet の拡散メッセージによって標的にされる可能性があります。被害者とのやり取りが多いほど、Emotet から悪意のある電子メールが送信される可能性が高くなります。さまざまな場所に仕掛けられている水飲み場型攻撃と同様に、Emotet は、組織の壁を越えて、業界全体や国全体にさえも影響を与える可能性を秘めています。
米軍や米国政府を標的にした攻撃の拡大
Emotet は、世界中の個人や組織に感染し続けているため、「標的型」というには無理があります。ただし、特定の組織との間で電子メールによる緊密な関係がある個人が Emotet に感染すると、その組織に対するアウトバウンド Emotet 電子メールが増加するという形で影響が及びます。
この影響を最も明確に示すものの 1 つが、.mil(米軍)および .gov(米国政府/州政府)のトップレベルドメイン(TLD)との Emotet の関係です。Emotet が 2019 年 9 月中旬に夏休みを終えて活動を再開したときに、.mil と .gov の TLD に送られてきたアウトバウンド電子メールの数は比較的少数でした。
しかしここ数ヵ月の間に、米国政府の職員またはその関係者の中で Emotet に感染する人が増えています。その裏付けとして、Talos は、2019 年 12 月に .mil と .gov TLD 宛に送信された Emotet の感染メッセージ数が急増していることを確認しています。今や従来のクリスマス休暇も終えて、Emotet のその傾向は 2020 年の 1 月へと続いています。
電子メールは内部からも来る
個々のメッセージを調べると、Emotet の被害者の身元を特定し、その被害者が受信者の組織の内部の人か外部の人かを判断できる場合があります。結局のところ Emotet には、ソーシャルエンジニアリングを利用して、メッセージの受信者に、誰からそのメッセージが送信されたのかを認識させるという狙いがあります。ただし、この試みは常にうまくいくとは限りません。Emotet によって送信されたメッセージの一部は、元の被害者の個人データを取り除き、組織のみを偽装しようとして TLD を利用しているからです。そのため、「us.af.mil」などのドメインが意図せず短縮され、単なる「us.af」になってしまったりします。
ただし多くの場合、Emotet は、拡散メールに含まれている各被害者の連絡先情報を残します。メッセージには、2 人の受信者間でやり取りされた、以前の電子メールの内容が含まれている場合もあり、さらに信ぴょう性が増します。たとえば、次のようなメッセージが米国上院議員の Cory Booker 氏のもとで職務に取り組んでいる個人に送信されています。Emotet によって生成された From ヘッダーとシグネチャは、どちらもこのメッセージが、「booker.senate.gov」での感染した同僚から送信されたものであることを示唆しています。
見過ごされがちなもう 1 つの問題は、Emotet によるデータ漏洩の問題です。電子メールが盗まれ、Emotet のコマンドアンドコントロール(C2)インフラストラクチャに送信されると、そのユーザは、機密性の高いデータや通信内容を管理できなくなる可能性があります。今のところ Emotet は、盗んだデータを利用してソーシャル エンジニアリング アプローチを強化しているだけですが、これらのメッセージの内容を読み取ったり、メッセージに含まれている情報に基づいて何か実行したりすることも簡単に行えます。
まとめ
お客様と関係の深い組織が Emotet に感染すると、感染した電子メールメッセージが、お客様のユーザ宛てに送信されることが増える可能性があります。Emotet がお客様のドメイン内のいずれかのユーザに感染した場合、お客様のネットワーク宛ての Emotet 電子メールが増加します。これらの電子メールメッセージの多くは、ハイジャックされた電子メールスレッドを介して送信されるため、スパム対策システムがこれらのメッセージを特定して排除できるような、単純なパターンはありません。IPA などの高度なスパム対策システムであれば、Emotet メッセージを正常にフィルタリングできる可能性があります。ただし、どのように強力な技術システムであっても、ユーザに対する教育と意識向上トレーニングによって常に補完する必要があります。
カバレッジ
お客様がこの脅威を検出してブロックできる別の方法を以下に記載します。
Advanced Malware Protection(AMP)は、これらの攻撃者によるマルウェアの実行の阻止に最適です。
Cisco クラウド Web セキュリティ(CWS)または Web セキュリティ アプライアンス(WSA)の Web スキャンは、悪意のある Web サイトへのアクセスを防止し、これらの攻撃で使用されるマルウェアを検出します。
電子メール セキュリティは、攻撃の一環として攻撃者が送りつける不正な電子メールをブロックします。
次世代ファイアウォール(NGFW)、次世代侵入防止システム(NGIPS)、およびMeraki MX などのネットワーク セキュリティ アプライアンスは、この脅威に関連する悪意のあるアクティビティを検出できます。
AMP Threat Grid は、悪意のあるバイナリを特定し、すべてのシスコ セキュリティ製品に保護機能を埋め込みます。
シスコのセキュア インターネット ゲートウェイ(SIG)である Umbrella は、社内ネットワークの内外で悪意のあるドメイン、IP、URL への接続をブロックします。
オープン ソースの SNORT サブスクライバ ルール セットをお使いであれば、Snort.org で購入可能な最新のルール パックをダウンロードすることで、システムを最新状態に維持できます。
本稿は 2020年1月16日に Talos Group のブログに投稿された「Stolen emails reflect Emotet’s organic growth」の抄訳です。