Emotet(エモテット)は国際連携によるテイクダウンによって事実上壊滅したと思われていましたが、ご存じのように2021年11月頃から活動再開が確認されるようになりました。2022年2月以降、国内でも複数の企業が感染被害に遭ったことを発表するなど活動が激しくなっており、JPCERT/CCをはじめ、独立行政法人情報処理推進機構(IPA)、警視庁サイバーセキュリティ対策本部なども注意を呼びかけています。
Emotetはそれ自身が直接悪さをするのではなく、犯人サイドのサーバーと通信して新たな攻撃を可能とする為の情報を抜き取り、ランサムウェア等の実際に攻撃に使用されるマルウェアを密かにダウンロードする等の攻撃を行うため、潜伏している状態では気づきにくいという特徴があります。
Emotetが拡散されるメールを確実に開かないように徹底するのはなかなか難しく、次の策としてはEmotetが潜伏している間に発見して駆除をする事になります。EDR等常時端末の振る舞いを監視する仕組みの導入によって、事前の怪しい動きを検知できる可能性はありますが、日々の膨大なログを詳細に確認するのは企業にとって非常に負荷が高く、現実的ではありません。
PCがEmotetに感染しているかどうかを確認できるツールとして、JPCERT/CCがGitHubで公開しているEmoCheckがありますが、Emocheckはチェックした時点のPCの状態を把握するのみであるため、定期的な実行が必要になります。IT関係者以外の部門の方々に日々の実行を義務付ける運用も現実的ではありません。
その解決策として、セキュアブレインでは、いち早くEmotetの感染端末・経路を特定し、組織内の感染範囲が把握可能なCyCraft社(台湾)のCyCraft AIRを活用した「サイバー攻撃監査サービス」の導入をお勧めしています。
CyCraftAIRはEmotet感染を特定するわけではありませんが、端末上の不審な挙動や付随する不審な通信の発生をAIによりレベル付けし、高リスク時にはアラートとして通知しますので、その中にEmotetに起因するものがあれば検知が可能です。(但しAIレポートはEmotetと特定した表記をするものではありません)
Emotet感染による業務影響を避けるため、セキュアブレインにご相談ください。
*サイバー攻撃監査サービスは、「アジア地区の情報に強い」という特徴をもった台湾CyCraft社の提供するサービスをセキュアブレインが展開しているものです。
サイバー攻撃監査サービス
https://www.securebrain.co.jp/products/cycraft/index.html
セキュアブレインの製品についての詳細は、以下よりお問い合わせください。
https://www.securebrain.co.jp/form/service/inquiry_input.html
