ランサムウェアの被害を拡大させるマルウェアの“運び屋”「Emotet」の脅威

　2019年のサイバーセキュリティの動向を見ると、サイバー犯罪組織による恐喝、特にランサムウェアを使った身代金要求が目立ったが、そこで中心的役割を果たしたマルウェアのひとつに「Emotet（エモテット）」が挙げられる。Emotetが誕生したのは2014年ごろといわれているが、なぜ今年に入ってから急激に被害が拡大したのだろうか。

　本稿では、NTTデータ セキュリティ技術部 情報セキュリティ推進室 NTTDATA-CERT担当 Executive Security Analyst 新井悠氏による報道関係者向け説明会「サイバーセキュリティ 2019年総括と2020年予測」の内容をもとに、Emotetというユニークなマルウェアの脅威について見ていきたい。

NTTデータ セキュリティ技術部 情報セキュリティ推進室 NTTDATA-CERT担当 Executive Security Analyst 新井悠氏

マルウェアの多段攻撃を成功させる最初のトリガー

　2019年は国内外においてランサムウェアの被害が一段と拡大した年だったといわれている。新井氏はその中でも象徴的なインシデントとして米国の2つの自治体が受けた被害を紹介している。

インディアナ州ラポート郡

7月にランサムウェアがドメインコントローラに感染、郡のネットワークサービスがダウンし、メールが使用不能に。3週間たっても復旧のめどがたたないことから、市議会はビットコインで13万ドル（約1400万円）相当の身代金を支払うことを決議、実際に犯人側に支払うことで暗号化解除のためのキーを入手し、復旧にこぎつける

　この2つのケースではいずれも、市の職員がメールに添付されていた文書を展開したことからマクロが実行されてランサムウェアに感染、被害が組織内に一気に拡大した。ともに感染したマルウェアは標的型攻撃のランサムウェアとして猛威を振るう「Ryuk（リューク）」であるといわれており、レイクシティのケースでは、さらにEmotetとTrickbotの感染が認められている。

Emotet感染のきっかけとなりやすいのがメールに添付されたWord文書のマクロ実行。マクロ設定では「警告を表示してすべてのマクロを無効にする」を選択することが望ましい

　こうしたランサムウェアによる大規模な被害の背景には、いくつかの攻撃パターンが存在する。特に顕著なのがEmotetを“運び屋”として使うパターンだ。

　攻撃者はまずメールなどを通してターゲットにマルウェアが仕込まれた添付ファイルを展開させ、PCをEmotetに感染させる。Emotetは自身のメール収集機構により、感染させたPCのメールソフト（Outlook）から送信元の名前/メールアドレス、送信先の名前/メールアドレス、送信したメールの件名や本文を収集。これらの情報をもとに、任意の件名にぶら下がる（スレッドに入り込む）かたちで返信型のメールを関係者に送信する。

　「Re: xxxx」で始まるスレッドに届いた返信メールがマルウェアによるものかどうかは、一般の利用者には見分けがつきにくい。Emotetはこうした誤認を誘発することで感染PCの数を増やし、より大きな被害――攻撃者にとってはより大きな利益をもたらすための最初の地ならしを行う。

　ターゲットのPCやシステムに潜り込んだEmotetは、次に別のマルウェアである「Trickbot」をダウンロードする。モジュラー型のマルウェアであるTrickbotは、その構造からさまざまな機能（ログインIDやパスワード、ブラウザデータなどの収集、インターフェイスの無効化、C＆Cサーバーとの接続、ドメインコントローラの検出など）をモジュールとして追加することが可能であり、ランサムウェアのインストール前にその効果を最大化する準備を整える。

　攻撃者はTrickbotで盗み出した情報をもとにドメインコントローラなどシステムのコアとなるターゲットに侵入し、Ryukのペイロードを実行、感染PC上にあるファイルの暗号化を開始し、さらにネットワークで拡散して、ランサムウェアの感染を広げていくというパターンだ。

　こうした多段攻撃のパターンを成功に導く最初のトリガーとして、Emotetは非常に適したマルウェアだといえる。

Emotetを起点にしたランサムウェア攻撃パターンの一例

ランサムウェアのRyukに乗っ取られたPCではすべてのファイルが暗号化されてしまうため、アクセスが一切できなくなる

運び屋としてのスタイル：窃取の停止、コラボレーション、ランサムウェアの頒布請負

　前述したように、Emotetの存在が最初に確認されたのは2014年ごろで、当時は欧州を中心に銀行のIDとパスワードの窃取を行うマルウェアとして知られていた。だが2017年の中ごろからその活動内容が大きく変わる。

　「Emotetは自分自身によるID/パスワードの窃取機能を停止し、代わりにほかのマルウェアの運び屋としてビジネスモデルを展開、さらに2018年には、ほかのサイバー犯罪集団とのコラボレーションを行っていることも確認されている」（新井氏）。

　このEmotetの変化は何を意味しているのか。新井氏は「Emotetのターゲットが（オンラインバンキングの）一般利用者から企業や組織に移行したことが大きい」と語る。マルウェアとしての窃取機能を高めるのではなく、運び屋としての役割にフォーカスすることで、企業や組織をターゲットにしたビジネスを拡大しやすくなり、手に入れられる金額も大きくなる。

　また、自身の機能だけで完結するよりも、RyukやTrickbotといったほかのマルウェアを使う犯罪組織と組むことで攻撃の幅にも広がりが出る。新井氏はEmotetを起点としたサイバー犯罪集団の協調的攻撃の一例として、2017年9月の「IceID」と呼ばれるバンキングTrojanを紹介しているが、これはEmotetがターゲットのPCに感染後にIceIDをダウンロードして起動し、ターゲットがオンラインバンキングを利用しようとすると勝手にブラウザ上の入力フォームを変更して誤入力を誘発、IDとパスワードを摂取していたケースである。マルウェアの“運び屋”は、複数のマルウェアによるコラボレーション攻撃の起点としても機能しやすい。

　もっとも、運び屋として機能していたマルウェアはEmotetが最初ではなく、新井氏は数年前から存在する「PPI（Pay Per Install）」というビジネスモデルを紹介している。これはその名の通り、マルウェアの代行インストールを請け負うビジネスモデルで、インストール台数が多いほど支払われる金額も増える。PPIの代行業者はアンダーグラウンドな掲示板に広告を出すことでマルウェアの作成者たちから仕事を受ける。

　これらのPPI代行業者とEmotetが「決定的に違う点」として新井氏は以下の2つを挙げている。

・PPI代行業者は自分たちの収益源である感染PCの数を減らしたくないので、ランサムウェアの頒布を受け付けない（ランサムウェアに感染させるとそれ以上、金銭や情報を窃取できなくなる）が、Emotetはランサムウェアの頒布を受け付ける

・掲示板での広告を行わない

　この違いについて新井氏は「Emotetはほかの犯罪組織と直接連絡できる関係性がすでにあり、掲示板などからは見えてこないエコシステムが構築されている」と語っている。クライアント（犯罪組織）が希望するマルウェアを頒布し、独自のエコシステムを構築しつつも、自分の姿は極力さらさない――ある意味、PPI代行業者よりも“運び屋”に徹したアプローチであるかもしれない。

Emotetのエコシステム概念。PPI代行業者は収益源となる感染PCの数を減らしたくないのでランサムウェアの頒布は受け付けないが、Emotet運用者はランサムウェアも受け付けている。この独自のエコシステムが構築されている点もランサムウェアの被害を拡大させている要因のひとつ

　「レイクシティのケースのように、最近ではEmotetによる公共性の高いシステムへの攻撃が増えている。こうした攻撃を成功させるために、元の依頼主（犯罪組織）とEmotet運用者が互いに何らかの確認作業を行っている可能性は高い」（新井氏）。

Emotetへの対策

　Emotetの感染はすでに日本でも始まっており、JPCERT/CCでも注意喚起を行っている。新井氏はEmotetへの対策として、

・組織内への注意喚起の実施
・Wordマクロの自動実行の無効化
・メールセキュリティ製品の導入によるマルウェア付きメールの検知
・メールの監査ログの有効化
・OSに定期的に修正プログラムを適用（SMBの脆弱性を突いた感染拡大への対策）
・定期的なオフラインバックアップの取得（標的型ランサムウェア攻撃への対策）

　などを挙げている。マルウェアの“運び屋”として進化するEmotetが拡大する被害を最小限にとどめるためにも、こうした基本的な予防対策を惜しまないようにしたい。