「Emotet」マルウェアへの対応について

公開日:2019年12月24日
最終更新日:2020年 1月 8日

国内でもメディア等で報道され被害が確認されているマルウェア「Emotet」への、弊社セキュリティ取り扱い製品での対応状況についてご案内致します。またすでにJPCERT/CC によって、このマルウェアの攻撃活動及び注意すべき観点がまとめられているため、そのリンクを記載しています。
追加すべき情報がある場合には、その都度、本ページを更新いたします。

Emotetとは?

Emotet は悪性マルウェアの一種で2019年以前からも多く観測されていましたが、今年の11月下旬から国内で多くの感染報告や「なりすまされている」企業への注意喚起がされています。

詳細については、JPCERT/CC の以下のURLをご参照ください。

「マルウエア Emotet の感染活動について」

Emotetの攻撃の流れ

マルウェア「Emotet」感染までの攻撃は以下の流れで行われます。

  • 添付ファイル付きメールが配送
  • メールに添付されたWordファイルなどのOffice文書を開封
  • マクロの有効を許可
  • マクロ経由でWMI*が実行され、さらにPowerShell が起動
    *WMI = Windows Management Infrastructureと呼ばれるWindows OSの正規の管理ツール
  • Emotet マルウェアをダウンロードと実行
  • Emotet マルウェアに感染

※①のタイミングで、添付ファイルの代わりにURLリンク付きメールが配送されるケースも確認されています。この場合、メール本文中のURLをクリックすると、Word ファイルなどのOffice文書がダウンロードされます。

Emotetは、感染後に以下の挙動を取るとされています。

  • 感染端末からメールデータ及び電話帳を窃取する
  • ファイル共有(SMB)の脆弱性を悪用し、自身を拡散させる
  • 異なるマルウェアをダウンロードし、感染させる(過去にはバンキングマルウェアやランサムウェアへの感染が確認されています。)

観測されているメールサンプルなどの詳細情報については、以下のURLをご参考ください。

「マルウエア Emotet の感染に関する注意喚起」

「マルウエアEmotetへの対応FAQ」

弊社取扱製品・サービスでの対応状況

以下は、弊社で入手したEmotetやお客様の環境で確認された事例をベースに、前述のEmotet の攻撃の流れの各ステップ(①~⑥)に照らして記載しております。

新たな攻撃手法が発生した際には結果が変化する可能性がありますことご留意ください。

弊社取扱製品での対応状況

メーカー 製品名 対応状況
CrowdStrike社 CrowdStrike Falcon
  • 悪性WordファイルによるWMI経由のPowerShellの起動を検知し、ブロックが可能(Prevention Policy > Suspicious Behavior: Enable)
  • 万一ファイルがダウンロードされても、ファイル実行時にNGAVで分析し、悪性と判定されればブロックが可能(Prevention Policy > Next-Gen Antivirus: Moderate)
FireEye社 FireEye EX, ETP
  • メールでのマクロ付きWordファイルの配送を検知が可能
FireEye HX
  • マクロ有効になったこと及び不正なPowershellの動きを検知してブロックが可能
FireEye NX
  • Emotetダウンロードを検知しブロックが可能
McAfee社 VirusScan Enterprise
Endpoint Security
MVISION Endpoint
  • シグネチャにより悪性と判断できれば、Wordファイルをブロックが可能
  • シグネチャによりダウンロードしたファイルを悪性と判断できれば、ブロックが可能
Menlo Security社 Menlo Security Advanced Email Threat Isolation
  • メールに含まれるURLリンクへのアクセスや添付ファイルの開封を、分離されたクラウド上で実施するため、ユーザは無害化した状態で安全に閲覧可能
    また添付ファイルまたはURLリンク経由で取得されるファイルは、ダウンロードを禁止し、閲覧のみ可能とする制御や、クラウド側のセキュリティ機能で悪性判定した場合にのみ、ダウンロードを禁止する制御も可能
Symantec社 Symantec EndpointProtection14
  • 不正ファイルが端末に保存されたタイミングでダウンローダ付きファイルを検知・隔離が可能
  • 万が一②をすり抜けてもPowerShellが外部よりファイルを取得するふるまいを検知しブロックが可能
Symantec Email Security.cloud
  • メール配送されたWordファイルの検知・ブロックが可能
TeamT5社 TeamT5 ThreatSonar
(Mpression Cyber Security Service™ スレットハンティング&インシデントレスポンスサービスで利用)
  • Emotetマルウェアの感染を端末のメモリYaraルールで検出が可能

弊社提供サービスでの対応状況

サービス 対応状況
Mpression Cyber Security Service™
スレットハンティング&インシデントレスポンスサービス
  • Emotet マルウェアの感染を端末のメモリやファイルを調査して侵害範囲の特定、適切な対処方法のレポーティングが可能