<iframe src="https://www.googletagmanager.com/ns.html?id=GTM-MZLZR25" height="0" width="0" style="display:none;visibility:hidden"></iframe>

【Emotet】怪しいメールを受信したので調査をお願いしてみた

JPCERTコーディネーションセンター(JPCERT/CC)や独立行政法人情報処理推進機構(IPA)などが注意喚起しているEmotet(エモテット)ですが、その猛威は留まるところを知りません。

高性能のウイルス対策ソフトウェアや次世代ファイアウォールといったセキュリティ対策の実施は有効な手段ではありますが、感染してしまった際の早期発見・対処の備えも忘れてはいけません。

今回は、当社のあるメールアドレス宛にもEmotetが送られてきましたので、発見までの経緯と対処についてご紹介します。

Emotetに限らずマルウェア感染の対策・対処にお悩みの方は、ぜひJBサービスへご相談下さい。

目次

  1. 不審なメールが届いた
  2. セキュリティ担当者に相談した10分後にEmotetと判明
  3. 調査からわかったこと
  4. まとめ

不審なメールが届いた

社員Iが利用しているメールアドレス宛に、不審なメールが届いたことが事の始まりです。

  • 件名は返信を表す「Re:」だったこと
  • 送信元は取引先のアドレスに見えたこと

上記の2点から、特に疑いもせずにメールを開封してしまいました。

内容は、3年前に取引先へ送信したメールに返信する形で短文のメッセージがあり、Wordファイルが添付されていました。

添付のファイル名が文字化けしていたことやメール本文が怪しかったことから、担当者Iは添付ファイルを開封せずセキュリティ担当者に相談しました。

※不審なメールのイメージ

セキュリティ担当者に相談した10分後にEmotetと判明

相談メールを送った10分後に「添付ファイルはマルウェアなので削除してください。」とセキュリティ担当者から一次回答がありました。

担当者Iは該当メールを削除し、念のため導入済みのウイルス対策ソフトウェアでスキャンを実行しました。幸いなことに、端末はマルウェアに感染していないことがわかりました。

調査からわかったこと

セキュリティ担当者がどのように調査したのか、利用したセキュリティ対策ツールのキャプチャー画像とあわせてご紹介します。

こちらの画像は、判定結果のサマリーです。本ケースでは、

  • Malwareの箇所にFEODO(Emotet等が属するマルウェアファミリー)の記載があったこと
  • Severityの項目にPowerShellを実行し、実行ファイルを作成していると記載されていたこと

以上のことから、本検体はドロッパー・ダウンローダーであり、Emotet等のバンキング系のマルウェアを作成する動作をしていると判断したとのことです。

用語解説
  1. ドロッパーとは
    • 不正なプログラム(マルウェア)を生成する機能を持ったトロイの木馬の一種です。ドロッパー自体は、マルウェア特有の動作を行うわけではないため、ウイルス対策ソフトウェアでは検出が難しい場合もあります。
  2. ダウンローダーとは
    • インターネット上からマルウェアを取得する不正なプログラムのことを指します。

また、こちらの画像では攻撃の詳細を把握できるようになっています。

  • 実行されたPowerShellのコードが難読化されていること(難読化されたコードは黒くマスクしています)
  • 本ファイルを開いたWordのプロセスがPowerShellを実行し、更に別のExeファイル(マルウェア本体)を実行している様子(下部の図)

その他にも、通信先の情報(通信先のIPアドレスや国情報)も確認できます。今回のケースでは、アメリカとカナダに通信する仕組みが仕組まれていたとのことでした。

まとめ

従業員Iをはじめとした社員全員がセキュリティ教育を受講していたことから、ファイルを開かずにすぐに担当者に相談し対処することができました。従業員一人ひとりができる対策を下記のとおりまとめます。

ポイント
  1. 送信元のメールアドレスをよく確認する
  2. 添付ファイルはすぐに開かない
  3. 少しでも怪しいと思う点があればすぐにセキュリティ担当者へ相談

高性能なセキュリティ対策製品・サービスを利用することも有効ではありますが、社員へのセキュリティ教育も最後の砦として有効な手段と言えます。ウイルス対策ソフトウェアの見直しだけでなく、ぜひセキュリティ教育も見直しを行ってみてはいかがでしょうか。

また、セキュリティ対策ツールの導入は重要ですが、それを活用して適切なアドバイスができるセキュリティ人材の確保が前提です。セキュリティ人材の不足により、有事の際の早期発見・対処が実施できるかどうか不安を感じている組織・企業の方もいらっしゃるのではないでしょうか。

JBサービスでは、経験豊富なセキュリティアナリストが、マルウェアの調査・解析、最適な対応方法のアドバイスを行うサービスをご提供しています。サービスの詳細は、PC駆け付けサービスをご覧ください。

セキュリティ教育を見直したい企業・組織へ
標的型メール訓練・教育サービスSecuLiteracy

ポイント

SecuLiteracy(セキュリテラシー)は、サイバー攻撃のテクニック・ノウハウ等に精通した認定ホワイトハッカーがご支援する標的型メール訓練・教育サービスです。

詳しく »

セキュリティ人材の不足でお悩みの企業・組織へ
PC駆け付けサービス

ポイント

PC駆け付けサービスは、お客様社内でPCのマルウェア感染が疑われる事象が発生した場合に、専門の技術員が適切な対応・早期復旧をサポートするサービスです。

詳しく »

Emotetをはじめとしたマルウェア対策に関するご相談・お問い合わせ

関連サービス
セキュリティ教育サービスSecuLiteracy(セキュリテラシー)

セキュリティ教育サービスSecuLiteracy(セキュリテラシー)

見逃しがちなセキュリティ対策といえば従業員に対するセキュリティ教育です。SecuLiteracy(セキュリテラシー)とは、様々なサイバー攻撃のテクニック・ツール・ノウハウ等に精通した認定ホワイトハッカーがご支援するセキュリティ教育サービスです。企業・組織のセキュリティレベルの向上・可視化を実現したい企業・組織の方々にお勧めしたいサービスです。

詳しく »