「Analyst’s Choice」では、弊社インテリジェンスアナリストが注目の記事をピックアップし、そこで取り上げられた脆弱性やマルウェアなどの脅威情報に対する洞察・ソリューションなどをコメントしています。
アナリスト:
(Intelligence Architect @Machina Record)
Articles
Article.1
Emotetの活動は2022年3月に急激に増加
日本のユーザーも頻繁に狙われる
カスペルスキーの研究者らは、2022年3月にEmotetの活動の大幅な増加を観測し、2月と比較して攻撃数が3倍に増えたことを確認しました。また、検出数の急増も観測されました。2022年第1四半期にEmotetへの感染による影響を最も受けたのは、イタリア、ロシア、日本、そしてメキシコを拠点とする被害者でした。
Emotetは現在、16の追加モジュールをダウンロードできるようになっており、そのうち10のモジュールがカスペルスキーによって入手・分析されています。展開されたモジュールによって、複数のメールクライアントやブラウザのパスワードとアカウント情報を明らかにする、OutlookやThunderbirdからデータを抜き取る、スパムを送るなど、さまざまな悪意ある行為が実行できるようになります。
情報源:
アナリストのコメント
影響範囲
Emotetは、世界各地の企業やユーザーに見境なく感染します。カスペルスキーの研究者らは、2022年第1四半期に以下の国々のユーザーが特に頻繁にEmotetの標的となっていたことを明らかにしました。
イタリア(10.04%)、ロシア(9.87%)、日本(8.55%)、メキシコ(8.36%)、ブラジル(6.88%)、インドネシア(4.92%)、インド(3.21%)、ベトナム(2.70%)、中国(2.62%)、ドイツ(2.19%)、マレーシア(2.13%)。
見解
Emotetはポリモーフィック型マルウェアです。つまりこのマルウェアは、感染する度に自身のコードをわずかに変更し、過去のシグネチャに頼って有害な可能性のあるファイルを発見しようとするスキャナーやアンチウイルスプログラムを回避することができるということです。
ポリモーフィック型マルウェア自体は新しい概念ではありませんが、人工知能(AI)などの技術領域が進歩することで、ポリモーフィックな性能はより強固なものになり、より多くの脅威アクターがますます簡単に導入できるものになります。
緩和戦略
「情報源」の記事の末尾から、C2関連のIPアドレスの膨大なリストを入手できます。しかし、すでに述べた通り、Emotetはポリモーフィック型マルウェアであるため、IoCとして使えるハッシュ値がありません。
その他の緩和措置には以下のものがあります。
✔️有害なメールの特定と隔離に役立つスパム対策・フィッシングメール対策ツールを使う。
✔️従来のシグネチャベースの技術に加え、機械学習による挙動ベースの検出手法を活用する。
✔️異なる脅威が共通して持つ特定のコンポーネントがないかをスキャンするヒューリスティックな解析メカニズムを導入する。
✔️ファイルの挙動を仮想環境内でより深く把握するエミュレーション・仮想化ツールを使用する。
✔️慎重な扱いが必要で極めて重要なシステムに対する従業員のアクセスコントロールを厳しくする。
Writer