長期休暇明けのEmotet感染被害を防ぐ、Kryptos Logic Platformでの検知

ゴールデンウイークやお盆、年末年始など長期休暇明けは、コンピュータウイルスの感染が拡大しやすいタイミングです。Emotetは大規模な感染被害こそ落ち着いていますが、引き続き注意が必要な脅威です。そこでラックは、Emotetの感染被害の調査を無料で実施する取り組みを始めました。

Emotetの概要

2021年11月中旬より活動が再開されたマルウェアEmotetは、大量なメールの発信により感染被害を拡大することで知られています。感染者のメール関連情報を悪用してなりすましや、メールタイトルを悪用し新しい感染拡大用のメールを作成、送信することで感染を拡大させています。2022年4月には、ショートカットファイルを添付する形態に変化しました。ショートカットファイルは、ウイルス対策製品の検知から逃れる為にパスワード付きZIPファイルに暗号化し添付されています。

2022年8月には新たなメール配信による感染活動が停止されており、新たな手口での攻撃活動は行われていませんが、今後再開された場合には再度感染被害が広がる可能性があります。

長期休暇明けの感染拡大の懸念

例年、長期休暇明けに大量に溜まったメール整理などで、誤って添付ファイルを実行してしまい感染被害が多発することが懸念されています。一般社団法人日本ビジネスメール協会の調査によると、ビジネスマンの1日あたりの受信件数は50通以上となっており、仮に5日間の休暇を取得した場合には、250通以上のメールが溜まっている計算です。

休み明けに溜まったメールを急いで確認した際、うっかりEmotetの添付ファイルを開いてしまうとどうなるでしょう。もし一人が感染すると、関係会社などにもEmotetによるメール配信が行われ、一気に感染が広がることが考えられます。Emotetに感染した場合、操作をした方には感染の事実が分かりにくく、取引先からの問い合わせで判明することが多いと言われます。いつのまにか感染し、継続的に関係者へのメール攻撃をする当事者になってしまう可能性があります

Emotetの感染ホストの存在を探す

Emotetの感染有無を調査するには、いくつかの方法が提供されています。

1. Emotet感染有無確認ツール「EmoCheck」を利用する

JPCERT/CCが提供している「EmoCheck」は、調査するパソコン内からEmotetの痕跡を探すツールです。Emotetが生成するファイルやレジストリの情報からEmotet感染の特徴を探し出します。

「EmoCheck」は次のWebサイトから入手し、調査するパソコンで実行します。

JPCERTCC/EmoCheck - GitHub

2. ウイルス対策ソフトでフルスキャンする

企業でパソコンを利用する場合、ほぼ例外なくウイルス対策のソフトウェアを導入していると考えられますので、まずは調査するパソコンにおいてフルスキャンを実施することをお勧めします。しかし、ウイルス対策ソフトであっても、検出に対応していない亜種に感染している場合もあり、万全ではないことに注意が必要です。

これら二つの調査は、調査したいパソコンそれぞれでの作業が必要となる（場合により遠隔操作も可能）ため、膨大なパソコンの調査は作業負担が大きいと考えられます。

3. 脅威インテリジェンスソリューションを利用する

脅威インテリジェンスソリューションは、サイバー攻撃や流出した情報を膨大なデータベースに蓄積し、必要に応じて閲覧するサービスです。例えば、ラックが取り扱っているKryptos Logic Platformを使うことで、Emotetの攻撃インフラ（Botnet等）から収集したデータベース（Emotetスパムメールに関する攻撃コマンドや感染端末と攻撃者間の通信からなるデータベース）と調査する企業に関するドメイン情報を照合することで、ドメイン宛のEmotetメールやEmotet感染によって攻撃者に窃取さえたクレデンシャル情報の検出が可能です。この場合、機器それぞれの感染を直接調べる必要がなく、効率的と言えます。

Kryptos Logic Platformの仕組み

Kryptos Logic Platformは、グローバルに設置した数千台のセンサーによる攻撃情報の収集と、通信を傍受する独自の検知技術を活用した、脅威インテリジェンス機能を提供するソリューションです。

登録したIPアドレス/ドメインといった調査対象企業の様々な情報と、Kryptos Logic Platformがセンサーや独自技術で収集した脅威情報を照合し、解析します。社内のマルウェア対策ソリューションで封じ込めができなかったマルウェア感染の侵害をKryptos Logicのセンサーが検出し、アラートを早期に通知することで、被害の拡大を防止することが可能となります。

Kryptos Logicの特長としてはエージェントやアプライアンス機器などの導入が必要なく、海外拠点、グループ会社など全組織を同一基準でマルウェア感染の侵害を一元的に把握・管理できることにあります。

Kryptos Logic Platformを活用したEmotetの感染調査をする場合、お客様のアセット（ドメイン）に関連する情報をもとに調査します。調査対象の情報は一般的な公開データではなく、攻撃者の実際の活動から直接得られたものとなります。

また、Emotetについては、Botnetインフラに対してKryptosエミュレータを配置する独自の手法により、攻撃メールの情報を傍受します。傍受するデータには、被害者の（可能性のある）電子メールアドレスやパスワード、メールの件名や本文などが含まれます。

Kryptos Logic Platformを活用した無料調査

ラックは、ＳＯＭＰＯリスクマネジメント株式会社とのパートナーシップを進める中で、Kryptos Logic Platformを活用したマルウェア感染調査支援をしています。両社はこの度、長期休暇明けの企業に向けてEmotetの感染有無を無料で調査する取り組みを開始いたします。

無料調査内容	Kryptos Logic Platformが蓄積しているサイバー攻撃情報から、調査対象ドメインから発せられているEmotetと考えられる通信パケットを発見します。（Emotet感染によりクレデンシャル情報が窃取された場合もお知らせします）
調査対象企業	膨大な機器を運用し、感染検知が遅れがちとなる大手企業の調査を対象としています。 そのため、従業員数5,000名以上の企業を対象といたします。
ご利用の流れ	① 本申し込みフォームへ必要事項を記載しお申し込みください。 ② 後日ラック担当者よりメールにて正式申込書を送付いたしますので、内容を記載し返送ください。 ③ ＳＯＭＰＯリスクマネジメント株式会社により調査が開始されます。 ④ 調査が完了次第、ラック担当者より報告書をメールにて提出いたします。
お申し込み期限	2022年9月30日まで
お申し込みサイト	長期休暇明けのEmotet感染棚おろし！Emotet無料調査のお申し込み

Emotetの感染被害の調査にご興味がございましたら、ぜひラックまでお問い合わせください。