米国土安全保障省のサイバーセキュリティ・インフラセキュリティ庁(CISA)は米国時間10月6日、トロイの木馬「Emotet」を使った犯罪者の動きが急激に活発化していると警告した。
Emotetはもともと、バンキング型トロイの木馬として拡散されていたが、最近ではボットネットとしてマルウェアを含むスパムを拡散し、ランサムウェアオペレーターなどのさまざまな犯罪グループに、感染したコンピューターへのアクセスを販売するのに使われている。
9月、まずフランス、日本、ニュージーランドが、その数週間後にはMicrosoft、イタリア、オランダが、Emotetを使った悪意のあるスパム活動の急増を警告していた。
2月以降おとなしくなっていたEmotetは、7月に再び猛威を振るい始めた。CISAはEmotetについて、「一般的に他のマルウェアのダウンローダーまたはドロッパーとして使われる、洗練されたトロイの木馬」で、「現在、最も蔓延している脅威の1つ」だと説明している。
このCISAの評価のとおり、Emotetは現在、世界最大のマルウェアボットネットであると見なされている。
8月以降、CISAとMulti-State Information Sharing&Analysis Center(MS-ISAC)は、Emotetのフィッシングメールを使った州政府、地方政府を標的とする攻撃の急増を検知しているという。
Emotetは、フィッシングメールへの添付ファイル、またはペイロードを起動するリンクを通じて、ワームのように拡散する。ファイルかリンクが開かれると、Emotetはブルートフォース(総当たり)攻撃でユーザーの認証情報を取得、共有ドライブに書き込むことにより、ネットワークの中を水平方向に拡散する。
CISAによると、連邦政府および民間の行政機関ネットワーク向けの侵入検知システム「EINSTEIN」は7月以降、約1万6000件のEmotetの活動に関連するアラートを検出している。
また9月にはMicrosoftが、Emotetは「Office」ドキュメントではなく、パスワードで保護された添付ファイル(ZIPファイルなど)を使用することで、電子メールのセキュリティゲートウェイを迂回していることを突き止めた。
同月、欧州各国はEmotetがランサムウェアを配信するためにマルウェア「Trickbot」をドロップしているほか、銀行の認証情報を盗むためにトロイの木馬「Qakbot」をドロップしていることを検知していた。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
