悪名高い「Emotet」が活動再開：2022年3月の検知数は前月の約3倍に

[本リリースは、2022年4月13日にKasperskyが発表したプレスリリースに基づき作成したものです]

Kasperskyのマルウェア調査チームが当社のテレメトリを分析した結果、ユーロポールが「世界で最も危険なマルウェア」と呼ぶ「Emotet（エモテット）」を拡散する活動が活発化し、2022年3月の検知数は前月に比べ約3倍になったことが判明しました。この大幅な増加は、2021年11月の活動再開以来、Emotetの脅威アクターがその活動強化に踏み出したことを示しています。同調査チームは、Emotetの16種類のモジュールのうち10種類を入手し最近の活動を分析しています。今後数カ月でEmotetの脅威が拡大する可能性が高いと見ており、さらなる注意が必要です。

Emotetは、ボットネットとマルウェアの両方の性質を持ちます。前者は、感染デバイスで構成された制御ネットワークで、ほかのデバイスへの攻撃に使用されます。後者は、感染デバイスからさまざまなデータを抜き出す機能を持ちます。Emotetの攻撃活動は経験豊富な脅威アクターによって運営され、サイバー犯罪グループとしては世界最大の組織の一つになっています。Emotetは、2021年1月に、複数の国の法執行機関による共同の取り組みの結果、活動停止に追い込まれました。しかし、2021年11月に活動を再開し、それ以来、徐々に活動を拡大しています。最初は別のボットネットワークであるTrickbot（トリックボット）を介して拡散していましたが、現在はスパムメールを自動作成し、自らを拡散しています。

当社のテレメトリでは、マルウェアEmotetの攻撃に遭遇したユーザー数は、2022年2月の2,847から3月は9,086と急増しており、3倍を超えるユーザーが攻撃活動に遭遇したことが判明しました。これに応じて、当社のソリューションが検知した攻撃数も2022年2月の16,897件から3月には48,597件へと急増しています。

2022年第1四半期（1～3月）の当社テレメトリの分析結果では、Emotetの攻撃に遭遇したユーザーの国別割合トップ5は、イタリア（10.04％）、ロシア（9.87％）、日本（8.55％）、メキシコ（8.36％）、ブラジル（6.88％）となっています。

典型的なEmotetの感染は、悪意のあるマクロを含むMicrosoft Officeファイルが添付されたスパムメールから始まります。脅威アクターは、このマクロを使用して悪意のあるPowerShellコマンドを開始し、モジュールローダーをダウンロードして起動します。次に、このローダーが、指令サーバーからモジュール類をダウンロードします。これらのモジュール類は感染デバイス上でさまざまなタスクを実行することができます。当社のマルウェア調査チームは、16種類のモジュールのうち10種類を入手し分析しており、その大半は過去に何らかの形でEmotetの攻撃活動に使用されたものであることも分かりました。

現バージョンのEmotetは、スパム拡散キャンペーンを自動作成することができます。作成されたスパムメールはネットワークを通じて既に感染しているデバイスから拡散されます。使われるモジュールによって、ThunderbirdおよびOutlookメールアプリケーションからメール文とメールアドレスを抜き出す、Internet Explorer、Mozilla Firefox、Google Chrome、Safari、Operaなどの一般的なWebブラウザーからパスワードやアカウント詳細情報を収集するなどを実行します。このように、Emotetに感染すると、メールクライアントやWebブラウザーなどからさまざまなアカウント詳細情報が収集され悪用され、Emotet感染を引き起こすスパムメールの送信に悪用されることがあります。

Kasperskyのセキュリティリサーチャー、アレクセイ・シュルミン（Alexey Shulmin）は次のように述べています。「Emotetは非常に高度化したボットネットで、世界中の多くの組織を悩ませてきました。テイクダウンによりその攻撃基盤を分断し、1年以上にわたって脅威の上位リストから除外できたことは、世界中の脅威を軽減する大きな一歩になりました。以前のEmotetの活動規模に匹敵する攻撃数ではないものの、その数字の変化から、ボットネット運営が非常に活発化しており、今後数カ月でさらに脅威が拡大する可能性が高く、注意が必要です」

■ Emotetの各モジュールに関する詳細は、Securelistブログ（英語）「Emotet modules and recent attacks」でご覧いただけます。