ウイルスの脅威は新型コロナだけではない Emotet(エモテット)があなたの情報や口座を狙っている

テクノロジー

「世界で最も危険」と言われるコンピューターウイルス「Emotet(エモテット)」が猛威を振るっている。エモテットが関連しているかは不明だが、トヨタの取引先部品メーカーのシステムにコンピューターウイルスが侵入し操業休止に追い込まれたのは記憶に新しい。現在も官公庁や学校、企業などに侵入をするため、日々サイバー攻撃が行われているという。

Emotet(エモテット)ウイルスとは

エモテットはパソコンからメールやID、パスワードを盗み出したり、別のウイルスに感染しやすくしたりするコンピューターウイルスで、2014年に初めて確認されて以来、日本を含む世界中に拡散した。欧米8カ国は21年1月、国際合同捜査でエモテットの攻撃拠点を制圧したが、捜査に参加したオランダやウクライナの警察当局によると、この時点までに世界で100万台以上のパソコンが感染し、銀行などの金融機関が少なくとも25億ドル(当時のレートで約2600億円)の損害を被ったとされる。
エモテットは感染したパソコンが発信したメールに付着して広まる。新型コロナ同様に感染スピードが爆発的で、2022年2月末までに少なくとも世界で計約360万通が送信され、3月1日と2日の両日だけで少なくとも約180万通がばらまかれたという。



サイバー攻撃情報を収集し対策を発信している一般社団法人「JPCERTコーディネーションセンター」(JPCERT/CC、東京都)が、集計したところ、日本国内では2022年2月上旬に提供情報に基づき、メールアドレスの末尾が「.jp」の感染・悪用される可能性があるメールを集計したところ、3月2日現在で新たに8760件見つかり、最も多かった2020年9月14日(1695件)の5倍以上に達したことが分かった。その中には積水ハウスライオン、クラシエホールディングスといった大手企業も感染していた。
本日(3月18日)も森永やブリヂストンが不正アクセスを受け、製造に影響が出ているという発表がなされている。森永製菓は複数のサーバーに対して13日の深夜から、製造や販売などのシステムの一部に障害が発生し、一部の商品で製造への影響が続いていおり、ブリヂストンはアメリカの子会社が身代金要求型ウイルスによるサイバー攻撃を受け、復旧のため、先月末からおよそ1週間、海外にある工場を停止していた。

これ以外にも次のような被害例が分かっている。

① 日立製作所
社内システムに障害が発生しメールの送受信に影響が出る
② ホンダ自動車
国内外の工場が一時的に停止し社内システムに影響を及ぼした
③ カプコン
サーバ情報の暗号化および個人情報が流出した
④ 多摩都市モノレール
一般事務用サーバがアクセス不能になった
⑤ 宇陀市立病院
システムサーバに感染し電子カルテが一時的に使用不能になった

これらのランサムウェアと呼ばれるウイルスは、ロシアのウクライナ侵攻後、世界的に不正アクセスが増加しているという。

ハッカーはグループ企業化し組織的になった

「ハッカー集団」は個人から企業に組織的で分業化し実行している。これまではフリーのクラッカーが無秩序に集まってウイルスをばらまいているイメージだったがが、現在ではまるで企業のように、一定の労働条件の下でネットワークのハッキングを行うことで給料を受け取る業務形態に変わっている。
さらに、ただネットワークから情報を集めるだけではなく、事業提案書のテンプレートの編集、なりすまし用のドメイン登録、ドメインを使ったメール送信、マルウェアのペイロードのアップロード、標的との関係構築、標的とのリンク共有など、標的のネットワークから情報を集めるための地道な作業も行っているという。



実際、エモテットと同様のウイルスに「Conti」と呼ばれるランサムウェアがあるが、Check Point Software Technologiesは3月10日(米国時間)、「Check Point Research Reveals Leaks of Conti Ransomware Group – Check Point Software」において、今後猛威を振るう可能性が高いマルウェア「Conti」について、その開発・運用を行っている組織の詳細情報を公開した。「Conti」はロシアのウクライナ進攻を支持しているとされており、この行動に異論を唱える内部関係者が流出させたとされる資料だ。
この中には「Conti」が通常の大規模なテクノロジー企業と同様な形態で運営されている様子が示されている。

① インターネット上の仮想空間ではなく、現実に複数の事務所を保有して普通の企業のように活動をしている。2020年8月にはマルウェア感染の担当者の管轄でシステム管理者およびプログラマのために事務所が開設されている。
② 組織は管理職、人事部門、プログラミング部門、試験部門、暗号化部門、システム管理部門、リバースエンジニアリング部門、攻勢部門、OSINT部門、交渉部門などで構成されている。
③ 新規雇用には技術者をヘッドハンティングしたり、ネット上のブラックサイト等から募集し、開発者の採用に関しては直接履歴書にアクセスして候補者に直接メールでコンタクトを取る。
④ 従業員の中には自分がサイバー犯罪組織に従事していることを知らず、犯罪を犯している意識がないものもいる。オンライン面接では、この企業ではすべてが匿名であり、主な事業内容は脆弱性の有無をチェックする侵入テスト(ペネトレーションテスト)を行うことだと説明されることがあるため、自分は社会のために良いことを行っていると考える。
⑤ 人事部門では一般企業と同様に毎月の賞与、罰金、月間最優秀社員賞、業績評価などが実施されるが、従業員は地元の労働委員会で保護されていないため不利益を被ることがある。
⑥ 交渉部門およびOSINT部門の給与は、支払われた身代金の0.5%から1%の割合で計算される金額が支払われる。プログラマ部門と管理職は月に1、2回のペースでビットコインによって支払いが行われる。
⑦ 活動時間はアメリカ東部標準時で平日の午前9時から午後5時で、週末はほとんど活動していない。
⑧ 従業員の中にはTrickbotマルウェアの元開発メンバーもおり、効率的なmaruuea開発が行われている。
⑨ 「Conti」は今後の事業計画としてグループ独自のエコシステムで暗号取引所の設や、アンダーグラウンドな『ダークソーシャルネットワーク「VK for darknet」または「Carbon Black for hackers」』を商用プロジェクトとして展開することなどを検討している。

このように普通のIT企業の形態をとっており、今後長期にわたって活動が行われる可能性がある。

どのように進入するのか

フィッシングの手口は、標的に偽造サイトへアクセスさせてマルウェアをダウンロードさせるというもの。標的への連絡手段は公開されているメールアドレスやウェブサイトの問い合わせフォームが使われる。さらにビジネス特化型SNSであるLinkedInに、AIが生成した偽の画像や実際の従業員の写真をそのまま使用して、なりすました組織で働いていることを証明することもある。



標的と関係を構築するため、最初は本当の事業提案やサービスの要件をメールで送信する。真面目なビジネスの話をメールで行い、標的からサイバー犯罪組織によるなりすましだと思われないように振る舞い信用を得る。そして、標的が警戒心を解くと、攻撃者はさまざまなファイル共有サービスやクラウドサービス経由でマルウェアのダウンロードをさせるという。
一昔前のウイルスメールには「少しおかしな日本語でつづられている」などの特徴があったが、現在のエモテットやランサムウェアのものは自然な表現になっており判別が難しくなっている。

ランサムウェアとその被害

ランサムウェアは、「ランサム(Ransom=身代金)」と「ウェア(Software)」を繋げた造語で、ソフトウェアを悪用し、データの身代金を要求するマルウェアのこと。ランサムウェアが影響する範囲は、システム、業務、金銭的被害、そして情報流出による社会的信用の失墜にまで及ぶ。



具体的な被害としては、

① システム上の被害
感染したパソコンの操作ができなくなり、ファイルやネットワーク共有上のファイルが暗号化されて使えなくなる。
② 業務上の被害
システムがダウンし業務が停止することで様々な業務が行えなくなる。
③ 金銭的被害
要求された「身代金」を支払うことによる金銭的な被害がおこる。
④ 情報漏洩
社外秘の機密データが窃取されインターネット上で公開されるなどの情報流出、それに起因する社会的信用の失墜がおこる。さらに業種によっては人命に関わることもある。

ランサムウェアに特効薬はない

ランサムウェアにこれさえやればいいという特効薬はないというのが現実だ。
ではどうすれば良いかというと、やはり

① 知らないアドレスから届いたメールの添付ファイルは開かないようにする
② 特にZIPファイル(パスワード付き圧縮ファイル)はすぐに開かずに、WINDOWS10Proに装備されているサンドボックス(この中で開いたファイルはWINDOWS10Proに影響しない)を使って中身を確かめる
例 サンドボックスの使い方
https://www.tipsfound.com/windows10/01016
③ リンクが書かれている場合は、表示されている文字とリンク設定されているものが同じかどうかを必ずチェックする(ブラウザの場合、リンクの上にマウスポインタを合わせると、左下にリンク設定されている文字列が表示される)



④ ウイルス対策ソフトの設定を「高」にし、最低1週間に一度はバックアップを取る
⑤ 万が一感染してしまった際、自分が加害者にならないよう感染したパソコンをネットワークから遮断し、被害を広げないようにする
⑥ 身代金を払っても暗号化されたファイルが戻ってくる保証はないので、身代金を支払わない
⑦ 感染した場合は大事なファイルを含めてパソコンを初期化する
⑧ パソコンのパスワードだけでなく、Googleメールなどのパスワードも全て変更する
おわりに

もっと詳しい被害状況や対策法について知りたい人はIPA(情報処理推進機構)やトレンドマイクロソフト、wiz LANSCOPEのページを参考にすると良い。
「Emotet(エモテット)」と呼ばれるウイルスへの感染を狙うメールについて
https://www.ipa.go.jp/security/announce/20191202.html
サイバー攻撃対策 EMOTETに感染したら? 感染を抑える方法と駆除方法を知りたい
https://businessonline.trendmicro.co.jp/sb/smb/problem_021.asp
wiz LANSCOPE 最恐のマルウェア “Emotet(エモテット)” を徹底解剖。 特徴と今必要な対策を解説します。
https://www.lanscope.jp/trend/16983/
Emotet(エモテット)などのランサムウェアは日々進化し亜種が続々と誕生しているため、完全に防ぐことはできないが、日頃から「感染するかも知れない」と考え、バックアップと対策を取ることが自分を守ることにつながる。

参考
【最新】ランサムウェアの国内外の被害事例10選と予防法を紹介
https://insights-jp.arcserve.com/ransomware-cases
森永製菓やブリヂストン サイバー攻撃で製造に影響
https://news.yahoo.co.jp/articles/2698f6842820f53ee2eb9548d3f4818cf69f0047
ランサムウェア「Conti」操る犯罪組織の驚くべき正体判明、内部分裂か
https://news.mynavi.jp/techplus/article/20220313-2291571/
ランサムウェア「Conti」の世界的な感染拡大の裏で暗躍するサイバー犯罪組織「Exotic Lily」とは?
https://gigazine.net/news/20220318-conti-exotic-lily/
ランサムウェアとは?事例と対策を分かりやすく解説
https://www.lanscope.jp/trend/19850/
最恐ウイルス「エモテット」猛威◆再燃の裏側とロシアの影【時事ドットコム取材班】
https://www.jiji.com/jc/v8?id=202203emotet-team
ランサムウェアとは?感染経路と対策・もしもの時の対処法
https://www.jbsvc.co.jp/useful/security/ransomware-infection-course.html

コメント

タイトルとURLをコピーしました