[市場動向]

ランサムウェアを連れて侵入─猛威を振るうマルウェア「Emotet」は邪悪な"運び屋"稼業

2019年12月23日(月)杉田 悟(IT Leaders編集部)

猛威を振るうEmotetはランサムウェアを担いで“運び屋”──NTTデータは2019年12月18日、説明会を行い2019年のサイバーセキュリティを総括した。セキュリティ技術部 情報セキュリティ推進室 NTT-DATA-CERT担当 Executive Security Analystの新井悠氏は2019年に目立った動きのあったセキュリティインシデントとしてランサムウェアを挙げた。協調的攻撃という新たな手口を紹介し、なかでも“運び屋”と呼ばれるマルウェア「Emotet」の危険性を訴え、ユーザーに注意を呼び掛けた。

複数のマルウェアがそれぞれの役割を果たす協調的攻撃

 201910月に入って、マルウェア「Emotet」による被害が急速に増した。2019年11月27日には、JPCERTコーディネーションセンター(JPCERT/CC)が「マルウェア Emotet の感染に関する注意喚起」という緊急情報を公開している(関連記事JPCERT/CC、マルウェア「Emotet」への注意を喚起、Word添付のなりすましメールで感染を拡大)。

写真1:NTTデータ セキュリティ技術部 情報セキュリティ推進室 NTT-DATA-CERT担当 Executive Security Analystの新井悠氏

 よくある危険なマルウェアの1種だと思われがちだが、新井氏は「Emotetは協調的攻撃において”運び屋”の役目を果たすことに特化したマルウェアである」と説明している。協調的攻撃は、近年増加しているサイバー攻撃の手法で、複数のマルウェアが連携してターゲットを攻撃するというもの。

 ここ1、2年で確認されたEmotetについては、「単独犯」であることはまずなく、協調的攻撃のマルウェアの1種として発見されることがほとんどだという。時には身代金目当の攻撃であるランサムウェアの片棒も担ぐやっかいな存在だ。

 新井氏は、Emotetが関わったと思われる協調的攻撃の事例を紹介した。2019年6月10日に公開されたもので、米フロリダ州レイクシティでは、ランサムウェアが警察や消防署を除くすべての市のシステムに感染し、メールと電話が使えなくなった。感染後3週間たっても復旧のメドが立たなかったため、レイクシティはビットコインで46万米ドル(約5000万円)相当の身代金を支払ったという。支払い後、暗号解除のためのキーを入手し、システムは復旧している。

 この事例で新井氏が注目したのが、感染していたマルウェアの数。Emotet、Trickbot、Ryukの3種類であったと言われている。3つとも独立したマルウェアでランサムウェアはRyukのみ。そうなると考えられるのはEmotet、Trickbot、Ryukによる協調的攻撃ということになる。

 新井氏によると、まずEmotetがメールなどを通じてシステムに侵入する。Emotetは、別のマルウェアであるTrickbotを侵入させ実行する。TrickbotがランサムウェアであるRyukをシステムに展開して感染させるという“3段攻撃”だったようだ(図1)。それぞれのマルウェアは自分に与えられた仕事をこなすだけの分業制になっている。ただし、攻撃パターンはこの3段攻撃だけではないので、注意が必要だという。

図1:レイクシティにおけるRyukランサムウェアの三段攻撃(出典:NTTデータ)
拡大画像表示

 多くの協調的攻撃において、最初に侵入する役目を担っているのがEmotetだという。他に確認された事例でもEmotetが行っているのは、もっぱら最初の侵入だ。ほかのマルウェアを自分が侵入したシステムに運び込むことから「運び屋」と呼ばれている。この「運び屋」こそが現在のEmotetのビジネスモデルなのだという。

 Emotetは2014年に初めて確認された、もともとはオンライン銀行のIDやパスワードを盗み出すためのマルウェアだ。欧州や米国の銀行を標的とした活動が確認されている。ところが2017年の中頃を境に、IDやパスワードを盗み出す機能を使わなくなった。これは従来のビジネスモデルをやめ、ほかのマルウェアの運び屋稼業に徹することにしたからだという。

●Next:マルウェア攻撃代行業者が避けるランサムウェアも引き受けるEmotet

この記事の続きをお読みいただくには、
会員登録(無料)が必要です
  • 1
  • 2
関連キーワード

Emotet / ランサムウェア / NTTデータ

関連記事

トピックス

[Sponsored]

ランサムウェアを連れて侵入─猛威を振るうマルウェア「Emotet」は邪悪な"運び屋"稼業猛威を振るうEmotetはランサムウェアを担いで“運び屋”──NTTデータは2019年12月18日、説明会を行い2019年のサイバーセキュリティを総括した。セキュリティ技術部 情報セキュリティ推進室 NTT-DATA-CERT担当 Executive Security Analystの新井悠氏は2019年に目立った動きのあったセキュリティインシデントとしてランサムウェアを挙げた。協調的攻撃という新たな手口を紹介し、なかでも“運び屋”と呼ばれるマルウェア「Emotet」の危険性を訴え、ユーザーに注意を呼び掛けた。

PAGE TOP