編集部からのお知らせ
宇宙ビジネスの記事まとめダウンロード
記事まとめ「テレワーク常態化で見えたこと」

「Emotet」攻撃者の日本語レベルが向上--NRIセキュアが最新動向を解説

渡邉利和

2020-02-07 14:22

 NRIセキュアテクノロジーズは2月6日、報道機関向けに説明会を開催。同社が提供する「セキュリティログ監視サービス(NeoSOC)」で得られた最新の脅威動向について解説した。

NRIセキュアテクノロジーズの天野一輝氏
NRIセキュアテクノロジーズの天野一輝氏

 NeoSOCは、ルーツに当たる運用監視サービスが1995年に開始されており、2020年で25年目を迎える。顧客数200社、監視対象センサー数約5000台、ログ総数約10億件/日、アナリスト数約80人という“国内最大規模”のサービスを24時間体制で提供している。国内の2拠点(東京/横浜)と北米の3拠点を中心に3交代のシフト勤務を行い、午前9時/午後5時/午前0時が切り替え時間となる。午前0~9時の時間帯は時差の関係で北米が担当するという。なお、北米の拠点には現地採用のアナリストも所属しているが、日米でサービスレベルの差が生じないように、日本からも現地駐在という形で人員が派遣されているという。

 マネージドセキュリティサービス事業本部 SOC事業推進部 主任セキュリティアナリストの天野一輝氏は、NeoSOCで収集・分析したログ情報から得られた最新の脅威動向として、2019年秋ごろから日本企業にも多くの被害を与えたマルウェア「Emotet」について説明した。

 Emotet自体はダウンローダーで、他のマルウェアなどを感染端末に引き寄せるように動作する。Emotetの配布はメールに添付されたDOCファイルまたはメール内に埋め込まれたURLリンクからのダウンロードという形になる。Emotetは古くから存在するマルウェアで、最初に観測されたのは2014年ごろで、2017年ごろにダウンローダーに変化したという。

 その後、一時見かけなくなったそうだが、2019年9月から活動を再開し、12月下旬にいったん活動が停止した後、2020年1月14日に活動再開を検知する、というサイクルをたどっている。しかも活動停止を経るごとに巧妙化しているという。

 例えば、かつては英語のメールに添付されていたが、2019年9月移行は日本語のメールが使われるようになり、さらにその日本語の文面が、一見して怪しいと思われるものから、ごく自然なビジネスメールに見えるレベルにまで“品質向上”を果たしており、かつての様に「怪しいメールは開かない」という心構えだけで見分けることは難しくなっているという。2019年12月には「賞与関係の通知」という文面で感染を引き起こしているが、これも日本企業の内情を理解し、いかにもありそうなタイミングでそれらしい文面のメールを配付するという手口の巧妙化が背景にあるという。

 なお、同社では「Secure SketCHブログ」を通じて最新のセキュリティ情報を発信しているので、こうした情報も活用してどのような攻撃が行われているのかを知っておくことが有益だろう。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

ホワイトペーパー

新着

ランキング

  1. クラウドコンピューティング

    MITスローン編著、経営層向けガイド「AIと機械学習の重要性」日本語版

  2. クラウドコンピューティング

    AWS提供! 機械学習でビジネスの成功を掴むためのエグゼクティブ向けプレイブック

  3. クラウドコンピューティング

    DX実現の鍵は「深層学習を用いたアプリ開発の高度化」 最適な導入アプローチをIDCが提言

  4. セキュリティ

    ランサムウェアを阻止するための10のベストプラクティス、エンドポイント保護編

  5. セキュリティ

    テレワークで急増、リモートデスクトップ経由のサイバー脅威、実態と対策とは

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]