ニュース

マルウェア「Emotet」に関する被害報告が昨年10月から増加、ウェブサイト改ざんや標的型攻撃にも注意、JPCERT/CCインデント報告対応レポート

 一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)は、マルウェア「Emotet」の感染被害、ウェブサイト改ざんや標的型攻撃による被害が増加していることを、1月21日に公開した「インシデント報告対応レポート」で紹介している。同レポートは、2019年10月1日~12月31日に報告を受けたインシデントについてまとめたもの。

 同四半期の報告件数は5189件。報告を受けたインシデントをカテゴリー別に見ると、フィッシングサイトが3700件、ウェブサイト改ざんが292件、マルウェアサイトが205件、ポートスキャンが744件、DoS/DDoSが6件、標的型攻撃が6件だった。

「Emotet」がアドレス帳やメール情報を窃取、機能強化で感染拡大続ける

 同四半期は、国内におけるマルウェア「Emotet」の感染に関する報告が多数寄せられた。Emotetは、各種機能をダウンロードすることでさまざまな挙動をするのが特徴。登場した2014年当初は金融情報を窃取する機能を備えていたが、その後はアドレス帳やメール情報を窃取する機能を追加することで感染を拡大している。

 Emotetに感染すると、以下のような被害が生じる可能性がある。

  • 取引先の顧客の連絡先とメールの内容が窃取されてC2サーバーに送信される
  • 取引先以外の外部の組織に大量の不審メールを送信してしまう
  • 他のマルウェアがダウンロードされて感染する

 国内の組織にEmotetに感染させるメールが10月ごろから拡散し、同月後半から相談件数が増加した。報告の多くは、過去にメールのやり取りをしたことがある人物になりすまされたメールの添付ファイルを開いて感染したというものや、実際には送信していないメールが取引先の組織に届いているというものだった。

Emotet感染拡大の流れ

 JPCERT/CCでは、Emotetの感染が疑われる場合の対応FAQを公開して注意喚起を行っているが、相談や報告は継続して寄せられているという。

参考:
・JPCERT/CC: マルウエア Emotetの感染に関する注意喚起

・JPCERT/CC Eyes: マルウエアEmotetへの対応FAQ

仮想通貨事業者を狙った標的型攻撃、「QuasarRAT」を使用した標的型攻撃など

 標的型攻撃に関するインシデント件数は6件で、前四半期(2019年7~9月期)と同じ結果だった。

 前四半期に続き、仮想通貨交換事業者を狙ったとみられる標的型攻撃の報告が寄せられた。この標的型攻撃に使われたメールには短縮URLのリンクが記載されており、リンクをクリックするとクラウドサービスからZIPファイルをダウンロードする。

 ZIPファイルには、パスワードでロックされたデコイ文書と「Password.txt.lnk」というショートカットファイルが含まれる。このショートカットファイルにはコマンドが含まれており、実行するとVBScriptがダウンロードされ、最終的にマルウエアに感染してしまう。

 この攻撃は12月まで継続して発生していることが確認されている。攻撃に用いられるデコイ文書は実在する企業を装ったものが使われており、ショートカットファイルの通信先も実在する企業に類似したドメイン名が使用されていた。攻撃に用いられるVBScriptは随時修正が加えられており、依然として活発な攻撃活動が続いている。

攻撃に用いられたデコイ文書例

 このほかの標的型攻撃として、PulseSecure社製の「Pulse Connect Secure」の脆弱性(CVE-2019-11510など)を悪用した攻撃や、オープンソースツール「QuasarRAT」を使用した攻撃が確認された。

JavaScriptファイルを不正に設置、正規サイトから特定のECサイトへ誘導

 ウェブサイトの改ざんに関する報告は292件で、前四半期の236件から24%増加した。

 正規のウェブサイトにJavaScriptファイルが不正に設置され、アクセスすると特定ブランドを扱うECサイトへ誘導される事例が複数確認されている。このJavaScriptファイルは、ページのHTMLタグやheadタグに不正に埋め込まれたJavaScriptによって呼び出される。

外部のECサイトへ誘導するJavaScriptファイル(1)
外部のECサイトへ誘導するJavaScriptファイル(2)

 また、検索ワードに特定ブランド名を含む状態でアクセスすると、以下のようなURLから不正なEコマースサイトに誘導するように改ざんされた事例もあった。

http(s)://<ドメイン>/<任意のディレクトリ>/<英字>.php?b=<特定ブランド名>&url=<英字>_2019_<英数字>

http(s)://<ドメイン>/<任意のディレクトリ>/<英字>.php?b=<特定ブランド名>&url=<英数字>-<英数字>