メインコンテンツにスキップする

悪名高い「Emotet」が活動再開:2022年3月の検知数は前月の約3倍に

2022年4月21日

Kasperskyのマルウェア調査チームが当社のテレメトリを分析した結果、「Emotet」を拡散する活動が活発化し、2022年3月の検知数は前月に比べ約3倍になったことが判明しました。調査チームはEmotetの16種類のモジュールのうち10種類を入手し最近の活動を分析しています。

[本リリースは、2022年4月13日にKasperskyが発表したプレスリリースに基づき作成したものです]

Kasperskyのマルウェア調査チームが当社のテレメトリを分析した結果、ユーロポールが「世界で最も危険なマルウェア」と呼ぶ「Emotet(エモテット)」を拡散する活動が活発化し、2022年3月の検知数は前月に比べ約3倍になったことが判明しました。この大幅な増加は、2021年11月の活動再開以来、Emotetの脅威アクターがその活動強化に踏み出したことを示しています。同調査チームは、Emotetの16種類のモジュールのうち10種類を入手し最近の活動を分析しています。今後数カ月でEmotetの脅威が拡大する可能性が高いと見ており、さらなる注意が必要です。

Emotetは、ボットネットとマルウェアの両方の性質を持ちます。前者は、感染デバイスで構成された制御ネットワークで、ほかのデバイスへの攻撃に使用されます。後者は、感染デバイスからさまざまなデータを抜き出す機能を持ちます。Emotetの攻撃活動は経験豊富な脅威アクターによって運営され、サイバー犯罪グループとしては世界最大の組織の一つになっています。Emotetは、2021年1月に、複数の国の法執行機関による共同の取り組みの結果、活動停止に追い込まれました。しかし、2021年11月に活動を再開し、それ以来、徐々に活動を拡大しています。最初は別のボットネットワークであるTrickbot(トリックボット)を介して拡散していましたが、現在はスパムメールを自動作成し、自らを拡散しています。

当社のテレメトリでは、マルウェアEmotetの攻撃に遭遇したユーザー数は、2022年2月の2,847から3月は9,086と急増しており、3倍を超えるユーザーが攻撃活動に遭遇したことが判明しました。これに応じて、当社のソリューションが検知した攻撃数も2022年2月の16,897件から3月には48,597件へと急増しています。KL-Emotet-202203

2022年第1四半期(1~3月)の当社テレメトリの分析結果では、Emotetの攻撃に遭遇したユーザーの国別割合トップ5は、イタリア(10.04%)、ロシア(9.87%)、日本(8.55%)、メキシコ(8.36%)、ブラジル(6.88%)となっています。

典型的なEmotetの感染は、悪意のあるマクロを含むMicrosoft Officeファイルが添付されたスパムメールから始まります。脅威アクターは、このマクロを使用して悪意のあるPowerShellコマンドを開始し、モジュールローダーをダウンロードして起動します。次に、このローダーが、指令サーバーからモジュール類をダウンロードします。これらのモジュール類は感染デバイス上でさまざまなタスクを実行することができます。当社のマルウェア調査チームは、16種類のモジュールのうち10種類を入手し分析しており、その大半は過去に何らかの形でEmotetの攻撃活動に使用されたものであることも分かりました。

現バージョンのEmotetは、スパム拡散キャンペーンを自動作成することができます。作成されたスパムメールはネットワークを通じて既に感染しているデバイスから拡散されます。使われるモジュールによって、ThunderbirdおよびOutlookメールアプリケーションからメール文とメールアドレスを抜き出す、Internet Explorer、Mozilla Firefox、Google Chrome、Safari、Operaなどの一般的なWebブラウザーからパスワードやアカウント詳細情報を収集するなどを実行します。このように、Emotetに感染すると、メールクライアントやWebブラウザーなどからさまざまなアカウント詳細情報が収集され悪用され、Emotet感染を引き起こすスパムメールの送信に悪用されることがあります。

Kasperskyのセキュリティリサーチャー、アレクセイ・シュルミン(Alexey Shulmin)は次のように述べています。「Emotetは非常に高度化したボットネットで、世界中の多くの組織を悩ませてきました。テイクダウンによりその攻撃基盤を分断し、1年以上にわたって脅威の上位リストから除外できたことは、世界中の脅威を軽減する大きな一歩になりました。以前のEmotetの活動規模に匹敵する攻撃数ではないものの、その数字の変化から、ボットネット運営が非常に活発化しており、今後数カ月でさらに脅威が拡大する可能性が高く、注意が必要です」

■ Emotetの各モジュールに関する詳細は、Securelistブログ(英語)「Emotet modules and recent attacks」でご覧いただけます。

悪名高い「Emotet」が活動再開:2022年3月の検知数は前月の約3倍に

Kasperskyのマルウェア調査チームが当社のテレメトリを分析した結果、「Emotet」を拡散する活動が活発化し、2022年3月の検知数は前月に比べ約3倍になったことが判明しました。調査チームはEmotetの16種類のモジュールのうち10種類を入手し最近の活動を分析しています。
Kaspersky logo

Kaspersky について

Kasperskyは1997年に設立された、グローバルなサイバーセキュリティおよびデジタルプライバシーの企業です。これまでに10億台以上のデバイスを新たなサイバー脅威や標的型攻撃から保護しています。深い脅威インテリジェンスとセキュリティの専門知識を生かし、革新性に富んだセキュリティソリューションやサービスを提供することで、世界中の企業、重要インフラ、政府機関、そして個人のお客様を守っています。当社の包括的なセキュリティポートフォリオには、業界をリードするエンドポイント保護製品、専門的なセキュリティ製品とサービス、そして高度なデジタル脅威に対抗するためのサイバーイミューン(Cyber Immune)ソリューションが含まれます。当社は22万社を超える法人のお客様の重要な資産を守る力になっています。詳しくはwww.kaspersky.co.jpをご覧ください。

関連記事 ウイルスニュース