初回投稿 2018年1月5日
<解決>Emotetウイルス感染100%防ぐ対策とファイアウォール設定2つ
必ずしも怪しいと見抜けない Eメール を受け取った?
- Eメールに 添付ファイル が付いている
- 添付ファイルはない
一方で、Eメール本文に記載された URL リンク のクリックを誘う
そんな危険な 迷惑メール(スパムメール) が、世界中のEメールアドレス宛てにバラ撒かれています。
不審メールにマクロウイルスの感染手口
- Microsoft Office ファイル
拡張子 … .doc .docm .xls .xlsm .rtf - 圧縮アーカイブ
拡張子 … .zip .rar
└ セキュリティソフトを迂回できる 「パスワード付き圧縮アーカイブ」 - 過去に不正な スクリプトファイル (拡張子 .js) のパターンも
セキュリティ製品やメールソフトのスパムフィルターは、Office ファイルや圧縮ファイルを安直に弾けず、古典的な Windows 向け実行ファイル (拡張子 .exe) ではないので、ファイルを手にしたユーザーさんに怪しまれないメリットがあります。
このワードファイル .doc .docm .xls .xlsm の正体は マクロウイルス という脅威です。
そして、Windows をターゲットにするマルウェア Emotet 〔読み方 エモテット〕 を感染させる機能が含まれています。
【マクロウイルス とは】 無題な濃いログ
マクロウイルスは、オフィスソフト Microsoft Office に実装されている標準機能 Visual Basic for Application、いわゆるマクロを悪用して不正な攻撃を行うコンピュータウイルス。マクロウイルスが影響する環境は、基本的に Microsoft Office がインストールされてある Windows か macOS になる。その脅威の実体は Word ファイル (.doc .docm) や Excel ファイル (.xls .xlsm) にすぎないので、ユーザーがファイルの見た目dけで脅威を認識することが難しく厄介。
---
なお、マクロウイルスは何かしらセキュリティ上の欠陥 (脆弱性) を悪用する類ではないので、セキュリティ対策として Windows Update の実施は直接的な効果が無いところにも注意が必要。
世界初のマクロウイルスはだいぶ前の1995年に確認されているものの、決して化石のような過去の遺物ではなく、2014年あたりからEメールを介してマクロウイルスをつかませる攻撃手口として ”復活” している。
【Emotet とは】 無題な濃いログ
Emotet 〔読み方 エモテット〕 は、欧州の国をターゲットにネットバンキング不正送金を意図するコンピュータウイルスとして2014年6月に初めて 報告 (Trend Micro) された Windows の脅威。ネットバンキングウイルス Cridex の後継品として投入されたと考えられている。
2017年4月あたりから、ネットバンキングウイルス、スパイウェア、ランサムウェアといった任意の実行ファイルを PC に送り込んで感染させる ”配信プラットフォーム” の性質を持った 「ダウンローダー型トロイの木馬 Emotet」 に特化する路線変更を経て、現在に至る。
---
Emotet 開発者グループの呼称 … TA542 (Proofpoint)、MUMMY SPIDER (CrowdStrike)、Mealybug (Symantec)
Emotet はあくまでセキュリティ会社が勝手に付けた名称にすぎないので、Emotet に関与するサーバー犯罪者がアンダーグラウンド界で呼ぶ正式名はナゾである。
なお、Emotet ウイルスは特定の組織を狙う標的型攻撃ではなく、一般ユーザーも影響を受けうるウイルスメール攻撃が展開されます。 <地球上の Windows ユーザーが狙われる
○ Windows XP/Vista/7/8/10/11 … マクロウイルスや Emotet の感染あり
× macOS … マクロウイルスや Emotet に感染する影響なし× Android スマホ
× iOS (iPhone / iPad)
× Linux
× 人体
■ 心を操られる!? マクロを許可させる巧妙な感染手口
Windows 上で不正な Office ファイル .doc .docm .xls .xlsm .rtf を開いたらどうなる?
Emotet 感染経路になっている Word ファイル実物
最初に、Microsoft Office の [コンテンツの有効化] (英語の場合は [Enable Contents]) ボタンを押すよう、主に英語で指示を出すメッセージが表示されます。
~ マクロを許可するよう指示するメッセージ例 ~
このメッセージは Windows ユーザーを騙すウソ です。
- Microsoft Office はデフォルトでマクロを動作させないセキュリティ制限あり
- 一方、マクロの動作を Windows ユーザーの意思で ”手動で許可” が可能
この ”手動で許可” が深刻な事態を起こす Emotet 感染トラップになっていて、Emotet の感染を狙う攻撃者は、コトバを使い 人間の脳に囁いて心を操る戦略でマクロの動作の許可させようとします。
不正な Office ファイルを開いた直後に警告されても意図が理解できないユーザーがいる
警告の認識すらなく Office ファイルを表示する作業の一環と思い違いするユーザーがいる
悲しいかな、警告や確認の場面があるのに、何も考えずに先へ進めてしまう Windows ユーザーさんが出現して、一方でセキュリティソフトを迂回されてしまえば、もう感染の阻止ができません。
PowerShell 悪用で Emotet ウイルス感染
どう対処すれば Emotet(エモテット) に感染しなくなるのかい?
現物を分析してみると、ウイルス対策のポイントが丸分かりなので Emotet 感染実験を行ってみました。
不正な Office ファイルを普通に開く
↓
マクロを手動で許可する
↓
マクロを手動で許可する
↓
感染攻撃をモロに喰らる
その時の Windows のプロセスの様子がコチラ♪ (使用ソフト Sysinternals Process Explorer)
《過去》 2019年2月までのプロセスの様子
Microsoft Word -> コマンドプロンプト -> PowerShell
Microsoft Word -> コマンドプロンプト -> PowerShell
Windows のシステムに最初から実装されているプログラム PowerShell、…実行ファイルでいう powershell.exe が起動しているパターンだと、PowerShell はどんな処理をしているか?
この URL が外部ネットワークの ”ウイルス置き場” です。
このサーバーに powershell.exe を介して接続を試みて、マルウェア Emotet の実行ファイル .exe をダウンロードしてきます。 (使用ソフト Telerik Fiddler)
- Emotet 本体のウイルス置き場
WordPress を使用しているハッキングされた一般サイトのサーバーを悪用している
運営者が気づいて対処するのを見越して、予備を含む5つの接続先が準備されてある - セキュリティ製品を迂回されうる
PC はもともと安全と判定されている一般サイトの正当なサーバーに接続するだけ
Windows ユーザーさんの意思で Office ファイル (拡張子 .doc .docm xls .xlsm .rtf) を開き、マクロの動作を許可するボタンを押した結果、マルウェア Emotet が裏でコッソリとダウンロードされてきて感染です。
■ セキュリティソフトを真っ先に出し抜く Emotet
ちなみに、こういう風に PowerShell を悪用してメモリ上にのみ攻撃処理を展開する手法のことを、セキュリティ界隈では 「ファイルレス攻撃」 「ファイルレス マルウェア」 と呼んでいます。
- 正当な場面で使われる Office マクロ、WMI、PowerShell、Windows Script の悪用
→ ウイルス感染を防ごうと頑張る セキュリティソフトの検出が迂回される - Windows ユーザーさんは裏で起こったトンでもな攻撃に気づけない
→ 何かウィンドウ画面が表示されることもなく 感染症状として目に見ない
この恐ろしい攻撃を防ぐため、いろいろ不安を煽りつつ Emotet の対策と称した ”サイバーセキュリティ製品” を便乗 PR する記事を目にするけど、購入を検討する必要性なし♪
Emotet 対策 2 つでウイルス感染100%防止
迷惑メールで Emotet をいきなり手渡されることはない、ということを押さえた上で、Windows を護る有効な Emotet 対策として、次の 2 つの作業で先手をバシッと打つのがポイントです。
- マクロウイルスの根本的な感染防止対策
- ファイアウォールの設定で Emotet 対策
× 「不審なEメールを開かない」 「怪しいファイル・URLを開かない」 を唱える
→ セキュリティ感覚のないユーザーは 「不審な」 「怪しい」 の段階でつまずくから無謀
→ セキュリティ感覚のないユーザーは 「不審な」 「怪しい」 の段階でつまずくから無謀
→ 攻撃者が一歩先にいて、対応が後手に回るセキュリティソフトは後出しジャンケン
Emotet(エモテット) に 100% 感染しなくなる効果的な 無料ウイルス対策 がコチラ♪
【1】 Emotet 対策としてマクロウイルスの無効化
そもそも、マクロウイルス対策は Microsoft Office に最初から実装されています。 <対策にお金がかからない
具体的に、Microsoft Word または Microsoft Excel
の [オプション] → 左メニューの [セキュリティセンター](トラストセンター) → [セキュリティセンター](トラストセンター) ボタン → 左メニューの [マクロの設定] で 4 択オプションの変更です。
● 警告を表示せずにすべてのマクロを無効にする(L) 【推奨】
● 警告を表示してすべてのマクロを無効にする(D) 【注意】
● デジタル署名されたマクロを除き、すべてのマクロを無効にする(G) Firefly
● すべてのマクロを有効にする(推奨しません。危険なコードが ~ あります)(E) 【危険】
2 番目の 「警告を表示して」 は Emotet 感染の引き金になっている [コンテンツの有効化] ボタンを指します。
● ● → Emotet 感染リスクあり
● → Emotet 感染リスクなし
設定を切り替えてマクロの動作を無効化しておくと、不正な Office ファイルをうっかり開いても Emotet に感染させるマクロの動作が機能せず、Emotet 対策として 100% 感染防止が実現されます。
【2】 ファイアウォールの設定で Emotet 対策
上で触れたように、外部ネットワークから Emotet の実行ファイルを落としてくる ”ダウンローダー” の役割として、 Windows に組み込まれている Microsoft の正規プログラムが悪用されます。
そこで、任意のソフトウェアの外部通信を制御する ファイアウォール の出番です。
Windows 標準のファイアウォールでブロックする?
あらかじめ、次の実行ファイルを ファイアウォールの外部通信 (送信側、アウトバウンド通信) でブロック対象に登録しておくことで、狡猾な Emotet 攻撃者を確実に出し抜くことができます。
- powershell.exe
- wscript.exe
この Emotet 対策は、セキュリティソフトに用意されてあるファイアウォール機能を使う、あるいは Windows に最初から搭載されている Windows ファイアウォール を使って追加投資なく実現できます。
☆ [おまけ] 一般的なセキュリティ対策 2 つ
ウイルスメールの Emotet 感染経路ではなく、Windows でネットサーフィン中に ”ウェブサイトを見る” という他愛のない行為からマルウェアが強制インストールされる被害を防ぐ有効なセキュリティ対策がコチラ!
- 定例更新 Windows Update の今月分は適用済み?
https://www.microsoft.com/ja-jp/safety/protect/musteps.aspx - ブラウザは最新版を使用している?
Microsoft Edge、Google Chrome、Mozilla Firefox - (Microsoft Defender ユーザー向け)
先鋭的な攻撃に対抗する Microsoft Defender クラウド保護 はオンにしてある?
Emotet ウイルスメール関連トピックス
■ Emotet ウイルスメール注意喚起ページ
ヒューマンエラー (人為的ミス) を起こす人間に対して、『怪しいEメールを開くな』 といった自力で見抜いて気合でどうにか頑張れ、といった似非ウイルス対策では Emotet に殺られるだけです。
● マルウエア Emotet の感染に関する注意喚起 - JPCERT/CC
https://www.jpcert.or.jp/at/2019/at190044.html
● 「Emotet」と呼ばれるウイルスへの感染を狙うメールについて - IPA 情報処理推進機構
https://www.ipa.go.jp/security/announce/20191202.html
■ 関連する Emotet のウイルス検出名
Emotet 攻撃者はセキュリティソフトのウイルス定義データで検出されない新鮮な Emotet 亜種を随時投入しています。
仮に Windows PC が Emotet に感染しても、追ってセキュリティソフトに駆除されないよう、自分自身を一日に複数回更新し続けて、ユーザーに気づかれることなく Emotet の最新バージョンを維持できる耐久性があります。
【Wordファイル .doc .docm .rtf】
ESET GenScript VBA/TrojanDownloader.Agent.MUV VBA/TrojanDownloader.Agent.REF VBA/TrojanDownloader.Agent.RFF VBA/TrojanDownloader.Agent.RGB VBA/TrojanDownloader.Agent.RGL VBA/TrojanDownloader.Agent.RGO VBA/TrojanDownloader.Agent.RGQ VBA/TrojanDownloader.Agent.RGY VBA/TrojanDownloader.Agent.RHP VBA/TrojanDownloader.Agent.RIT VBA/TrojanDownloader.Agent.RIH VBA/TrojanDownloader.Agent.RIU VBA/TrojanDownloader.Agent.RJX VBA/TrojanDownloader.Agent.RKK VBA/TrojanDropper.Agent.ARR VBA/TrojanDownloader.Agent.RKE VBA/TrojanDownloader.Agent.RKU VBA/TrojanDownloader.Agent.RKV VBA/TrojanDownloader.Agent.RLF VBA/TrojanDownloader.Agent.RLL VBA/TrojanDownloader.Agent.RMA VBA/TrojanDownloader.Agent.RMM VBA/TrojanDownloader.Agent.RNH VBA/TrojanDownloader.Agent.RNP VBA/TrojanDownloader.Agent.ROD VBA/TrojanDownloader.Agent.MKP JS/TrojanDownloader.Agent.UEX
Kaspersky HEUR:Trojan.MSOffice.SAgent.gen HEUR:Trojan.Script.Generic HEUR:Trojan-Dropper.MSOffice.SDrop.gen Firefly
McAfee W97M/Downloader.xx W97M/Downloader.ip W97M/Downloader.zu W97M/Downloader.aga W97M/Downloader.aew W97M/Downloader.ate W97M/Downloader.bid W97M/Downloader.bhy W97M/Downloader.bjd W97M/Dropper.da W97M/Downloader.aie W97M/Downloader.bip W97M/Downloader.biy RDN/Generic Downloader.x RDN/Emotet
Microsoft
TrojanDownloader:O97M/Emotet!MTB TrojanDownloader:O97M/Emotet.ARJ!MTB TrojanDownloader:O97M/Emotet.UO!MTB TrojanDownloader:O97M/Emotet.VB!MTB TrojanDownloader:O97M/Emotet.VD!MTB TrojanDownloader:O97M/Emotet.AR!MTB TrojanDownloader:O97M/Emotet.VQ!MTB TrojanDownloader:O97M/Emotet.ASR!MTB Trojan:O97M/Sonbokli.A!cl Trojan:Script/Casur.A!cl Trojan:Script/Oneeva.A!ml Trojan:Script/Conteban.A!ml Trojan:Script/Foretype.A!ml Trojan:O97M/Foretype.A!ml TrojanDropper:O97M/Powdow!rfn Trojan:O97M/Madeba.A!det
Symantec W97M.Downloader ISB.Downloader!gen60 ISB.Downloader!gen76 ISB.Downloader!gen92 ISB.Downloader!gen186 ISB.Downloader!gen279 ISB.Downloader!gen334 Firefly
Trend Micro Trojan.W97M.POWLOAD.TIOIBEHQ Trojan.W97M.POWLOAD.TIOIBEHY Trojan.W97M.POWLOAD.TIOIBEID Trojan.W97M.POWLOAD.TIOIBEIA Trojan.W97M.POWLOAD.TIOIBEIJ Trojan.W97M.EMOTET.JKBJ Trojan.W97M.EMOTET.JKBM Trojan.W97M.POWLOAD.EIL Trojan.W97M.POWLOAD.THAAHBO Trojan.W97M.POWLOAD.THAAGBO Trojan.W97M.POWLOAD.SMBB69 Trojan.W97M.POWLOAD.SMAD71 Trojan.W97M.EMOTET.JKBJ Trojan.W97M.EMOTET.JKCA Trojan.W97M.EMOTET.JKCC Trojan.W97M.EMOTET.JKCO Trojan.W97M.EMOTET.JKCP Trojan.W97M.EMOTET.JKCW Trojan.W97M.EMOTET.JKCY Trojan.W97M.EMOTET.JKCZ Trojan.W97M.EMOTET.JKDB Trojan.W97M.EMOTET.JKDC Trojan.W97M.EMOTET.JKDD Trojan.W97M.EMOTET.JKDE Trojan.W97M.EMOTET.JKDF Trojan.W97M.EMOTET.JKDP Trojan.W97M.EMOTET.JKDQ Trojan.W97M.EMOTET.JKDR Trojan.W97M.EMOTET.MLDT Trojan.W97M.EMOTET.MLDU Trojan.W97M.EMOTET.TIOIBEJL Trojan.W97M.DLOADR.TIOIBEJD TROJ_FRS Possible_SMPOWLOADBB4 HEUR_VBA.O2
【Emotet 実行ファイル .exe】
ESET Win32/Emotet.BN Win32/Kryptik Win32/GenKryptik
https://www.virusradar.com/en/Win32_Emotet/detail
Kaspersky HEUR:Trojan-Banker.Win32.Emotet.gen Trojan.Win32.Emograbber Trojan-PSW.Win32.Emostealer Trojan.Win32.Emospam UDS:DangerousObject.Multi.Generic FireflyFramer
https://threats.kaspersky.com/ja/threat/Trojan-Banker.Win32.Emotet
McAfee RDN/Emotet-Dropped Emotet-FPF
Microsoft Trojan:Win32/Wacatac.B!ml Trojan:Win32/Wacatac.C!ml Trojan:Win32/Emotet!ibt Trojan:Win32/Emotet!MTB Trojan:Win32/Emotet.ARJ!MTB TrojanDownloader:Win32/Emotet Behavior:Win32/Emotet.A!nri Behavior:Win32/Emotet.A!sms TrojanDownloader:Win32/Emotet!ml
https://www.microsoft.com/en-us/wdsi/threats/threat-search?query=Win32/Emotet
Symantec Trojan.Emotet Trojan.Emotet!g4 Trojan.Emotet!g5 Trojan.Emotet!g6 Trojan.Emotet!g7 Trojan.Emotet!g8 Trojan.Emotet!g9 Firefly
Trend Micro TrojanSpy.Win32.EMOTET.SMD TrojanSpy.Win32.EMOTET.SMTHBGA.hp TrojanSpy.Win32.EMOTET.SMD6.hp TrojanSpy.Win32.EMOTET.SMC5 TrojanSpy.Win32.EMOTET.SML.hp Trojan.JS.EMOTET TSPY_EMOTET
https://www.trendmicro.com/vinfo/jp/threat-encyclopedia/search/trojanspy.win32.emotet
★ 関連キーワード忘備録メモ
[エモテット とは] [エモテット 対策] [エモテット Mac] [エモテット ウイルスバスター] [エモテット スマホ] [エモテット iPhone] [エモテット ウィルス] [エモテット 被害] [Emotet 対策] [エモテット 感染 確認] [Emotet とは] [Emotet ウイルス] [Emotet 日本] [Emotet 感染経路] [Emotet 駆除] [Emotet 解析] [Emotet Mac] [Emotet macOS] [Emotet ESET] [Emotet ウイルスバスター] [Emotet iPhone] [Emotetto とは] [ウイルスメール 開いたら] [ウイルスメール 多い] [ウイルスメール 添付ファイル] [ウイルスメール 対策] [.doc とは] [.doc 開く] [.doc 拡張子] [doc ファイル ウイルス] [docm ウイルス] [Word ファイル 添付] [Word形式 とは] [Word形式 ファイル] [ワードファイル とは] …