【Emotet】怪しいメールを受信したので調査をお願いしてみた

更新日 : 2022年09月21日

JPCERTコーディネーションセンター(JPCERT/CC)や独立行政法人情報処理推進機構(IPA)などが注意喚起しているEmotet(エモテット)ですが、その猛威は留まるところを知りません。

高性能のウイルス対策ソフトウェアや次世代ファイアウォールといったセキュリティ対策の実施は有効な手段ではありますが、感染してしまった際の早期発見・対処の備えも忘れてはいけません。

今回は、当社のあるメールアドレス宛にもEmotetが送られてきましたので、発見までの経緯と対処についてご紹介します。

Emotetに限らずマルウェア感染の対策・対処にお悩みの方は、ぜひJBサービスへご相談下さい。

目次

  1. 不審なメールが届いた
  2. セキュリティ担当者に相談した10分後にEmotetと判明
  3. 調査からわかったこと
  4. まとめ

不審なメールが届いた

社員Iが利用しているメールアドレス宛に、不審なメールが届いたことが事の始まりです。

  • 件名は返信を表す「Re:」だったこと
  • 送信元は取引先のアドレスに見えたこと

上記の2点から、特に疑いもせずにメールを開封してしまいました。

内容は、3年前に取引先へ送信したメールに返信する形で短文のメッセージがあり、Wordファイルが添付されていました。

添付のファイル名が文字化けしていたことやメール本文が怪しかったことから、担当者Iは添付ファイルを開封せずセキュリティ担当者に相談しました。

※不審なメールのイメージ

セキュリティ担当者に相談した10分後にEmotetと判明

相談メールを送った10分後に「添付ファイルはマルウェアなので削除してください。」とセキュリティ担当者から一次回答がありました。

担当者Iは該当メールを削除し、念のため導入済みのウイルス対策ソフトウェアでスキャンを実行しました。幸いなことに、端末はマルウェアに感染していないことがわかりました。

調査からわかったこと

セキュリティ担当者がどのように調査したのか、利用したセキュリティ対策ツールのキャプチャー画像とあわせてご紹介します。

こちらの画像は、判定結果のサマリーです。本ケースでは、

  • Malwareの箇所にFEODO(Emotet等が属するマルウェアファミリー)の記載があったこと
  • Severityの項目にPowerShellを実行し、実行ファイルを作成していると記載されていたこと

以上のことから、本検体はドロッパー・ダウンローダーであり、Emotet等のバンキング系のマルウェアを作成する動作をしていると判断したとのことです。

用語解説
  1. ドロッパーとは
    • 不正なプログラム(マルウェア)を生成する機能を持ったトロイの木馬の一種です。ドロッパー自体は、マルウェア特有の動作を行うわけではないため、ウイルス対策ソフトウェアでは検出が難しい場合もあります。
  2. ダウンローダーとは
    • インターネット上からマルウェアを取得する不正なプログラムのことを指します。

また、こちらの画像では攻撃の詳細を把握できるようになっています。

  • 実行されたPowerShellのコードが難読化されていること(難読化されたコードは黒くマスクしています)
  • 本ファイルを開いたWordのプロセスがPowerShellを実行し、更に別のExeファイル(マルウェア本体)を実行している様子(下部の図)

その他にも、通信先の情報(通信先のIPアドレスや国情報)も確認できます。今回のケースでは、アメリカとカナダに通信する仕組みが仕組まれていたとのことでした。

まとめ

従業員Iをはじめとした社員全員がセキュリティ教育を受講していたことから、ファイルを開かずにすぐに担当者に相談し対処することができました。従業員一人ひとりができる対策を下記のとおりまとめます。

ポイント
  1. 送信元のメールアドレスをよく確認する
  2. 添付ファイルはすぐに開かない
  3. 少しでも怪しいと思う点があればすぐにセキュリティ担当者へ相談

高性能なセキュリティ対策製品・サービスを利用することも有効ではありますが、社員へのセキュリティ教育も最後の砦として有効な手段と言えます。ウイルス対策ソフトウェアの見直しだけでなく、ぜひセキュリティ教育も見直しを行ってみてはいかがでしょうか。

また、セキュリティ対策ツールの導入は重要ですが、それを活用して適切なアドバイスができるセキュリティ人材の確保が前提です。セキュリティ人材の不足により、有事の際の早期発見・対処が実施できるかどうか不安を感じている組織・企業の方もいらっしゃるのではないでしょうか。

JBサービスでは、24時間365日体制の運用センターSMACに、セキュリティアナリストを有するSecurity Operation Center(SOC)機能を備え、お客様に代わって重要なセキュリティ・イベントの早期発見と分析、対応策の支援を行っています。詳細は、「Security Operation Center(SOC)」をご覧ください。

お役立ちコンテンツのご紹介

▼ホワイトペーパーのサンプル▼

サイバー攻撃の被害を受け情報漏えいした企業のニュースを見て、他人事だと思っていませんか?

情報が漏えいした場合、損害賠償、請求業務の一時停止、社会的信用の低下など様々な影響が出てきますので、企業として適切な対策を講じる必要があります。

本ホワイトペーパーでは、被害事例が多く報告されているサイバー攻撃の手法をご紹介します。

Emotetをはじめとしたマルウェア対策に関するご相談・お問い合わせ

関連サービス
セキュリティ教育サービスSecuLiteracy(セキュリテラシー)

セキュリティ教育サービスSecuLiteracy(セキュリテラシー)

見逃しがちなセキュリティ対策といえば従業員に対するセキュリティ教育です。SecuLiteracy(セキュリテラシー)とは、様々なサイバー攻撃のテクニック・ツール・ノウハウ等に精通した認定ホワイトハッカーがご支援するセキュリティ教育サービスです。企業・組織のセキュリティレベルの向上・可視化を実現したい企業・組織の方々にお勧めしたいサービスです。

詳しく »