MetaDefender 世界で最も危険なマルウェアEmotetを防ぐ

エモテとは何か？なぜ危険なのか？

Emotetは非常に高度で破壊的なマルウェアファミリーであり、検出を逃れ、被害者のコンピュータにマルウェアを落とし、他の接続されたデバイスに拡散する能力を持つ。

Emotetは2014年にセキュリティ研究者によって、機密データや個人データを盗むために作られた自己増殖型のバンキング型トロイの木馬として初めて特定された。その後のバージョンでは、マルウェア配信サービスとしてサイバー犯罪者に利用される最も強力な形態のマルウェアの1つへと進化した⁽¹⁾。 このマルウェアは、銀行、電子商取引、医療、学術、政府、テクノロジーなど、世界的に重要な業界を標的としている。

国土安全保障省は、Emotetを、インシデントの修復に1件あたり100万ドル以上かかる、最もコストのかかる有害なマルウェアの1つとみなしている⁽²⁾ 160万台以上のコンピュータに感染し、世界中で数億ドルの損害をもたらした⁽³⁾ 2020年12月の時点で、世界で最も流行しているマルウェアであり、世界中の組織の7%が感染している⁽⁴) Emotetとその最近の活動に関する詳細な情報は、以前のブログ記事に記載されている。

エモテットはどのように広がるのか？

Emotetの主な配布方法は、悪意のある添付ファイルやハイパーリンクを含むスパムメールです。被害者を騙して感染した添付ファイルを開かせたり、悪意のあるリンクをクリックさせたりするために、さまざまな誘い文句が使われる。電子メールは、被害者の連絡先リストにある誰かからの正当な送信元であるように見せかけたり、請求書として見せかけたり、コロナウイルスの流行に関する配信通知や文書などに見せかけたりすることができる。例えば、昨年2月には、COVID-19の感染予防策を装った、感染したワードの添付ファイルを含む詐欺的な電子メールキャンペーンが日本で広く配信された⁽⁵⁾ 。

マイクロソフトのセキュリティ・アナリストは、電子メール・セキュリティ・ゲートウェイから逃れるために、Zipファイルなどの暗号化されたアーカイブ・ファイルを電子メール攻撃に添付するという、通常のEmotetキャンペーンとは一線を画す手口を発見した(6)。⁽⁶⁾これらの電子メールは、被害者を誘い、これらの添付ファイルやハイパーリンクを開かせ、マクロを有効にして文書を表示または編集させます。

被害者が埋め込みマクロを有効にすると、Emotetは被害者のコンピュータに追加のマルウェアをダウンロードし、ネットワーク全体に脅威を広げようとする。感染したネットワークはEmotetのボットネットに追加され、ハッカーは遠隔地からネットワークを完全にコントロールできるようになる⁽⁷⁾。

MetaDefender Emotetを防ぎ、ネットワークを保護するには？

Emotet を特に危険なものにしている 1 つの側面は、一部のマルウェア対策製品による検出を回避できることです。OPSWAT の高度な脅威対策ソリューションであるMetaDefender を使用すれば、Emotet がデバイスやネットワークに感染することはありません。

1.OPSWAT メタスキャン 既知のマルウェアの99%以上を検出する30種類以上のマルウェア対策エンジンで、組織に送信されたファイルやメールを素早くスキャンします。こちらをご覧ください マルチスキャン技術によるEmotetの検出結果をご覧ください。37 のマルウェア対策エンジンのうち 22 がマルウェアの検出に成功しています。単一のマルウェア対策エンジンを使用してもマルウェアを検出できない場合、コンピュータは感染してしまいます。調査によると、マルウェア対策エンジンが増えるにつれて、マルウェアの検出率は向上しています。

2.高度に回避的なマルウェアがマルウェア対策エンジンを回避したとしても、OPSWAT Deep Content Disarm and Reconstruction テクノロジー(Deep CDR)によって完全に無力化されます。パスワードで保護されたアーカイブを含むすべてのファイル、電子メール、添付ファイルは、エンドユーザーに公開される前に再帰的にサニタイズされます。処理結果に示されているように、1つの画像と4つのマクロを含む、悪意のある埋め込みアクティブコンテンツはすべて削除され、サニタイズされます。サニタイズ後に脅威は検出されない。ユーザーはすべての脅威から保護されます。

3.Emotet マルウェアをMetaDefender Sandbox で分析したところ、3 分以内に悪意のある動作が検出されました。当社のSandbox テクノロジーは、制御された環境でマルウェアを爆発させ、ファイルの動作を記録および分類することで、悪意のある動作を明らかにします。マルウェアをさらに分析するために、詳細なレポートが提供されます。

サイバー犯罪の商業化に伴い、ハッカーは技術的に洗練された攻撃を進化させ続けている。Emotetのような回避能力を備えた複雑なマルウェアは、従来のセキュリティ防御を迂回するために、巧みな脅威行為者によって作成されています。あらゆる組織、特に重要なインフラストラクチャには、進化し続ける脅威を防御するための高度な脅威防御ソリューションが必要です。

OPSWATの高度なテクノロジーと、OPSWAT MedaDefenderがどのように高度化するサイバー犯罪から組織を守るのに役立つかについて、今すぐお問い合わせください。

参考文献

(1) パーマー、ダニー2021.「マルウェアとボットネット：なぜEmotetが2019年の悪質な脅威の状況を支配しているのか｜Zdnet".Zdnet.https://www.zdnet.com/article/...

(2) 「Emotetマルウェア｜CISA」。2021.Us-Cert.Cisa.Gov.https://us-cert.cisa.gov/ncas/....

(3) "Emotet Botnet Disrupted In International Cyber Operation".2021.Justice.Gov.https://www.justice.gov/opa/pr...

(4)「2020年12月の最重要マルウェア：チェック・ポイント・Software".2021.チェック・ポイント・Software https://www.checkpoint.com/pre....

(5) Cluley, Graham.2021.「コロナウイルス - 感染の恐怖を悪用してマルウェアを拡散するハッカー".Graham Cluley.https://grahamcluley.com/coron....

(6) 「Emotetマルウェア｜CISA」。2021.Us-Cert.Cisa.Gov.https://us-cert.cisa.gov/ncas/....

(7) Cluley, Graham.2021."Emotet Botnet Takedown - What You Need To Know".The State Of Security.https://www.tripwire.com/state....