再び活動の兆し EMOTETの攻撃手法とメールから考える対策

EMOTETのテイクダウンと活動再開

2021年1月、EUROPOL（欧州刑事警察機構）によるEMOTETテイクダウン（無害化）がニュースとなり、このサイバー犯罪には根本解決が訪れたかと思われました。しかし2021年11月15日前後から、テイクダウンされていたはずのEMOTETは活動を再開し、その手口はさらに巧妙化して、新たな問題となっています。

組織として行うべきEMOTET対策とは？

トレンドマイクロでは、これまでのEMOTET事例における典型的被害パターンを蓄積していますが、侵入原因に着目してみると、「不審メールの開封」「添付文書のマクロ有効化」といった主要因はもちろん、「対策製品の未導入」「対策製品の設定不足（機能は備えているのに設定していなかった）」といった要因も散見されます。被害拡大原因には「内部脆弱性の放置」「（管理者パスワードが容易など）脆弱な認証」などが見受けられ、これらを反面教師として考えると、持てる対策機能を最大化しておくこと、ポリシーなどの基本対策を見直すことといった、組織として即、実行できるEMOTET対策が見えてくることでしょう。

攻撃手法から考える、守りに必要なコアテクノロジとは？

これまでのアンチウィルス対策をすり抜けるべく、EMOTETは変化していくことが特徴です。まず、ファイルのハッシュ値が日々変わるため従来のパターン検索では検知できません。そのため検知には「機械学習検索」「サンドボックス」といったテクノロジが必要になってきます。また、メール本文やPDFの中に仕込まれた誘導URLを経由し、そのWebサイトからマクロ付きのxls/docをダウンロードさせることを目論むケースもあります。この場合、攻撃者はリンク先のWebサイトをメール配信の当日に公開することで、今までのURLブロックリストには引っかからない状態を作るのです。このようなURLの検査にもまた、サンドボックスは有効です。コンテンツをまるごとダウンロードした上で、マルウェアが入っていないか、別のサイトにリダイレクトしないか等を判定していきます。
このように本ウェビナーでは、EMOTETからの防御に有効となるコアテクノロジをご紹介したのち、それらをカバーする、トレンドマイクロ製品の詳細や技術的優位性について語っていきます。