【図表】

出典: https://www.lanscope.jp/trend/16983/

【概要】

■攻撃者側が行った工夫

• メールに添付したMicrosoft Word文書ファイルのマクロを利用して端末へ侵入・感染するという手法
  • 正規にやり取りされているメールに「RE：」をつけて実際のメールの返信を装う手法
• Emotet本体には不正なコードを多く含まない
  • 情報窃取などの不正な動作をするモジュールを、攻撃者が用意したサーバー（C&Cサーバー）からダウンロード
  • ダウンロードしたモジュールは、メモリ上で動作させる(ファイルレス)

■Emotetの被害

• 重要な情報を盗み取られる
• ランサムウェアに感染する
• 社内の他の端末にEmotetが伝染する
• 社外へのEmotetばらまきの踏み台にされる

■Emotet対策

• 組織内への注意喚起の実施
• マクロの自動実行の無効化（事前にセキュリティセンターのマクロの設定で「警告を表示してすべてのマクロを無効にする」を選択しておく）
• メールセキュリティ製品の導入によるマルウェア付きメールの検知
• メールの監査ログの有効化
• OSに定期的にパッチを適用（SMBの脆弱性を突く感染拡大に対する対策）
• 定期的なオフラインバックアップの取得（標的型ランサムウエア攻撃に対する対策）

【公開情報】

◆最恐のマルウェア“Emotet”を徹底解剖。特徴と今必要な対策を解説します。 (LanScope, 2020/09/03)
https://www.lanscope.jp/trend/16983/

【関連まとめ記事】

◆全体まとめ
　◆マルウェア / Malware (まとめ)
　　◆バンキングマルウェア (まとめ)

◆Emotet (まとめ)
http://malware-log.hatenablog.com/entry/Emotet