国内でもメディア等で報道され被害が確認されているマルウェア「Emotet」への、弊社セキュリティ取り扱い製品での対応状況についてご案内致します。またすでにJPCERT/CC によって、このマルウェアの攻撃活動及び注意すべき観点がまとめられているため、そのリンクを記載しています。
追加すべき情報がある場合には、その都度、本ページを更新いたします。
Emotetとは?
Emotet は悪性マルウェアの一種で2019年以前からも多く観測されていましたが、今年の11月下旬から国内で多くの感染報告や「なりすまされている」企業への注意喚起がされています。
詳細については、JPCERT/CC の以下のURLをご参照ください。
Emotetの攻撃の流れ
マルウェア「Emotet」感染までの攻撃は以下の流れで行われます。
- 添付ファイル付きメールが配送
- メールに添付されたWordファイルなどのOffice文書を開封
- マクロの有効を許可
- マクロ経由でWMI*が実行され、さらにPowerShell が起動
*WMI = Windows Management Infrastructureと呼ばれるWindows OSの正規の管理ツール - Emotet マルウェアをダウンロードと実行
- Emotet マルウェアに感染
※①のタイミングで、添付ファイルの代わりにURLリンク付きメールが配送されるケースも確認されています。この場合、メール本文中のURLをクリックすると、Word ファイルなどのOffice文書がダウンロードされます。
Emotetは、感染後に以下の挙動を取るとされています。
- 感染端末からメールデータ及び電話帳を窃取する
- ファイル共有(SMB)の脆弱性を悪用し、自身を拡散させる
- 異なるマルウェアをダウンロードし、感染させる(過去にはバンキングマルウェアやランサムウェアへの感染が確認されています。)
観測されているメールサンプルなどの詳細情報については、以下のURLをご参考ください。
弊社取扱製品・サービスでの対応状況
以下は、弊社で入手したEmotetやお客様の環境で確認された事例をベースに、前述のEmotet の攻撃の流れの各ステップ(①~⑥)に照らして記載しております。
新たな攻撃手法が発生した際には結果が変化する可能性がありますことご留意ください。
弊社取扱製品での対応状況
| メーカー | 製品名 | 対応状況 |
|---|---|---|
| CrowdStrike社 | CrowdStrike Falcon |
|
| FireEye社 | FireEye EX, ETP |
|
| FireEye HX |
|
|
| FireEye NX |
|
|
| McAfee社 | VirusScan Enterprise Endpoint Security MVISION Endpoint |
|
| Menlo Security社 | Menlo SecurityセキュアOffice 365/セキュアG Suite(メールアイソレーション) |
|
| Broadcom製品(旧Symantecエンタープライズセキュリティ) | Symantec EndpointProtection14 |
|
| Symantec Email Security.cloud |
|
|
| TeamT5社 | TeamT5 ThreatSonar (Mpression Cyber Security Service™ スレットハンティング&インシデントレスポンスサービスで利用) |
|
弊社提供サービスでの対応状況
| サービス | 対応状況 |
|---|---|
| Mpression Cyber Security Service™ スレットハンティング&インシデントレスポンスサービス |
|