感染端末の近隣にある無線LAN(Wi-Fiネットワーク)に侵入して拡散する「EMOTET(エモテット)」の新しい亜種が確認されました。この拡散手法は、通常スパムメールによって拡散するこれまでのEMOTETの典型から外れています。ただし、EMOTETはこれまでも、その時々に活動を変化させてきた過去があります。EMOTETは、2014年、「TrojanSpy.Win32.EMOTET.THIBEAI」としてトレンドマイクロのリサーチャによって初めて確認されました。当初は、感染コンピュータから個人情報を窃取する「バンキングトロジャン(オンライン銀行詐欺ツール)」でした。EMOTETはこれまで、新型コロナウイルス(2019-nCoV)のような注目のニュースや感謝祭などのイベントに便乗したスパムメールを利用して拡散してきました。EMOTETの感染によって、独フランクフルトのITネットワークがシャットダウンを余儀なくされた事例も報告されています。最近では、話題のニュース記事のテキストを使用して検出回避を図るEMOTETも見つかっています。そして今回、確認されたEMOTETの亜種は、WindowsのwlanAPIインターフェイスの機能を使い、感染端末から近隣のWi-Fiネットワークへ拡散します。
■どのようにしてWi-Fi経由で拡散するのか
今回、セキュリティ企業「Binary Defense 」のリサーチャが新たに確認したEMOTETは、感染端末から他のWi-Fiネットワークに対して侵入を試みます。続いて同じWi-Fiネットワーク内に存在する他の端末にも感染を広げます。この活動のため、いったん自身のネットワーク内のEMOTETを駆除したとしても、近隣から再侵入を受ける、感染の無限ループを引き起こす可能性があります。以下は、Binary Defense の解析による、EMOTETのWi-Fiネットワーク経由での感染順序です。
- EMOTETが宿主(ホスト)となるコンピュータその他のデバイスに感染する。その後、EMOTETは「Wi-Fi拡散モジュール」をダウンロードして実行する
- Wi-Fi拡散モジュールは、ホストで有効化されているすべてのWi-Fiデバイスを列挙する。そして、感染可能なWi-Fiネットワークの一覧を作成する
- Wi-Fi拡散モジュールは、一覧されたWi-Fiネットワークにログインするため辞書攻撃を開始する。攻撃には、推測されるパスワードが記載された2つのパスワードリストを使用するが、これらの内部リストがどこから得られたものかは不明
- 最初の辞書攻撃が成功すると、今度は、侵害したWi-Fiネットワークに接続するコンピュータのログイン認証情報を特定するために、2番目の辞書攻撃を開始する
- 2番目の辞書攻撃が成功すると、1)に戻り、新たな感染ループを開始する
攻撃で使用された実行ファイルのタイムスタンプによると、作成日時は2018年4月でした。これはつまり、Wi-Fi経由で拡散するEMOTETの機能については、ほぼ2年間検出されていなかった可能性を示唆しています。
トレンドマイクロは、このEMOTETの亜種を、「Worm.Win32.EMOTET.AA」および「TrojanSpy. Win32.EMOTET.TIABOFHL」として検出対応します。
■ Wi-Fiデバイスを保護するためには
Wi-Fiで拡散するEMOTETのようなマルウェアによる被害に遭わないためには端末を保護することが重要です。簡単な方法の一つは、辞書攻撃などに対して複雑で破られにくいパスワードを使用することです。覚えるのが面倒なために、多くの人が「abc123」や「qwerty」など辞書攻撃に対し脆弱な、単純なパスワードを利用しがちです。初期設定のパスワードを変更せず、そのまま利用するユーザもいます。しかし、Wi-Fi接続する端末に限らず、どんな端末においても、そのような推測されやすいパスワードを使用することは、サイバー犯罪者に自宅や職場のネットワークへの無料パスを与えるようなものです。
企業や組織は、デバイスおよびネットワーク全体で破られにくいパスワードを使用するだけでなく、暗号化を有効にすることによってWi-Fiデバイスの保護を強化できます。また、システム管理者はネットワークを注意深く監視して、不審な活動の兆候を見つけることができます。
また、EMOTETの主な拡散経路は今でもスパムメールです。EMOTETやその他のマルウェアが侵入口として利用する、ソーシャルエンジニアリングの手口を利用した電子メールについて十分注意する必要があります。
■トレンドマイクロの対策
ネットワーク挙動監視ソリューション「Deep Discovery™ Inspector」は、以下の DDIルールによって、今回の記事で触れたEMOTETのネットワーク経由の攻撃を検知します。
- 4320 – EMOTET – HTTP (Request) – Variant 6
- 4345 – EMOTET – HTTP (Request) – Variant 7
トレンドマイクロの 「Network Defense 」製品群は、次世代IPSを超える「XGen™セキュリティ」を活用することで、複数の世代の技法を組み合わせたソリューションを提供し、適切なタイミングで適切なテクノロジを適用し、ゼロデイ攻撃を始め、さまざまな脆弱性の脅威に対する統合された検出と防御を実現します。
EMOTET のような脅威に対抗するためには、ゲートウェイ、エンドポイント、ネットワークおよびサーバにいたる多層的で積極的なセキュリティ対策が必要です。脅威の概要と対策をまとめた特設ページを用意しております。EMOTETに関する技術的対策の考え方とトレンドマイクロの具体的な対策については特設ページを参照ください。
■侵入の痕跡(Indicators of Compromise、IoC)
侵入の痕跡(Indicators of Compromise、IoCs)はこちらを参照してください。
【更新情報】
| 2020/02/28 19:09 | 本文の一部を修正しました。 |
参考記事:
- 「Emotet Now Spreads via Wi-Fi」
by Trend Micro
翻訳: 室賀 美和(Core Technology Marketing, Trend Micro™ Research)
