Emotetは消滅していない:攻撃手法の高度化
かつて猛威を振るったEmotetは、テイクダウン作戦後も繰り返し復活を遂げています。現在のEmotetは、かつての単純な「マクロ付きWordファイル」をばら撒く手法から脱却し、より巧妙で検知が困難な手口へとシフトしています。特に警戒すべきは、「スレッドハイジャック」の高度化です。これは、過去のメールのやり取りに不正なファイルを割り込ませる手法ですが、最近ではAIを活用することで、文脈を完全に模倣した自然な日本語で返信が作成されるケースが増えています。
具体的な攻撃フローと実務上の盲点
近年のEmotet攻撃における最大の特徴は、LNKファイルやISOイメージ、さらには圧縮ファイルを多段的に組み合わせることで、セキュリティ製品のサンドボックスをすり抜ける点です。例えば、ユーザーが添付ファイルを開いた際、直接ウイルスが実行されるのではなく、正規のWindowsコマンド(PowerShellやbitsadmin等)を悪用して外部からペイロードをダウンロードさせる「Living off the Land(環境寄生型)」の手法が標準化しています。
ここで実務担当者が陥りやすい罠が、「特定の拡張子だけをブロックする」という防御策の限界です。攻撃者は常に拡張子を偽装し、ユーザーの心理的隙を突きます。例えば、一見すると「請求書.pdf」に見えるショートカットファイルや、パスワード付きZIPの配布など、ユーザーが「業務上開かざるを得ない状況」を意図的に作り出しているのです。
今すぐ取り組むべき実務的対策
Emotetの侵入を100%防ぐことは極めて困難です。そのため、侵入を前提とした多層防御が不可欠となります。
1. マクロの実行制限と制御
組織全体でグループポリシー(GPO)を適用し、インターネットから取得したOfficeファイルのマクロを強制的に無効化してください。これは基本ですが、最も効果的な防波堤です。
2. EDRの導入とログの可視化
従来のアンチウイルスソフトでは、PowerShellの悪用を検知しきれません。EDRを導入し、特に「PowerShellによる不審な通信」や「一時フォルダからの実行」といった異常行動をリアルタイムで監視する体制が必要です。
3. セキュリティ意識の「具体化」
「不審なメールを開かない」という精神論ではなく、「メールの返信であっても、URLや添付ファイルが含まれる場合は一度電話で確認する」といった、業務フローに組み込んだ具体的な行動ルールを策定することが、Emotet被害を最小限に食い止める唯一の道です。
Emotetは常に進化しています。私たちは「一度防いだ」という過去の成功体験を捨て、常に最新の攻撃キャンペーンを注視し、防御体制をアップデートし続ける必要があります。
コメント