Emotetの被害は回避できる
自治体から学ぶその具体的手法とは

　2014年ごろに主に金融機関を狙ったトロイの木馬型マルウエアとして登場し、2017年から2021年初頭まで世界中で猛威を振るっていた「Emotet」。2021年1月にはユーロポール（欧州刑事警察機構）と8カ国の司法機関が連携し、C&Cサーバーを制圧することで無力化されたといわれていた。しかし近年、Emotetは再び猛威を振るうようになっている。

　「その被害を防ぐには、攻撃者の目的や方針を理解する必要があります」と語るのは、プロットの坂田 英彦氏だ。「Emotetの大目的はビジネス拡大による金儲けですが、そのためのアプローチとして、以前は金融機関の認証情報を盗み出して悪用する、という方針を採用していました。しかし、新たなEmotetでは、これが大きく転換しているのです」。

　現在のEmotetの方針は、感染した端末に別のマルウエアを送り込むことで、ほかの攻撃グループから利益供給を受けるというものに変化した。他のマルウエアにとっての「プラットフォーマー」になるという、新たなビジネスモデルを採用しているわけだ。

　「他のマルウエアにとって魅力的なプラットフォーマーになるために、Emotetには高い感染力に加え、簡単には駆除されないような高い潜伏力と、検知回避能力が備わっています。そしてもう1つ注意すべきなのは、Emotetを発見・駆除してもそれで安全というわけではないということです。ほかのマルウエアのプラットフォーマーだということは、Emotetが検出された時点で他のマルウエアが送り込まれている可能性が高いからです」と坂田氏は指摘する。

　このようにEmotetによる攻撃は、非常に危険性の高いものだといえる。しかしこれほど感染力が強い一方で、地方自治体のEmotet感染ニュースはほぼ見かけない。

　なぜ自治体でEmotetの感染被害が見られないのか。その理由は、総務省が作成した「地方公共団体における情報セキュリティポリシーに関するガイドライン」の中にあると坂田氏は言う。そして注目すべきなのは、このガイドラインの「情報システム全体の強靭性の向上」という項目の中に、「無害化通信を実施する」という記述がある点だ。

　「無害化とは従来の防御方法とは大きく異なる考え方です。従来はパターンマッチング型でも振る舞い検知型でも、過去に発見された『悪いもの』に関する知見に基づき、これと同じであれば『悪意あり』と判断するというものでした。しかしこの方法では、過去の知見に含まれない攻撃がすり抜けてしまいます。これに対して無害化は、すべてのファイルを信用せずに『入口で武器を捨てさせる』というアプローチです。つまり新型コロナウイルス感染症対策で『建物に入る前にアルコール消毒を行う』というのと同じ発想なのです」（坂田氏）

　Emotetのように近年猛威を振るっているマルウエアでは、メール添付されたファイルを開くことで感染する、というパターンが一般的。ファイルの中に感染のためのマクロスクリプトやOLE（Object Linking and Embedding）が含まれており、ファイルを開くことでこれらが実行されるのである。

　「その中でも鉄板の武器になっているのがOLEです。米国政府機関の1つであるCISA^※も、『Top 10 Routinely Exploited Vulnerabilities』の中で、サイバー攻撃者はOLEの脆弱性を悪用するケースが最も多いと指摘しています。またこれだけではなく、ファイル形式ごとに悪意を仕込みやすい領域が存在しており、そこに本来のデータ構造定義上ありえないデータを仕込む、という手法もあります」と坂田氏は説明する。

　このような攻撃力の高いデータを添付ファイルから除去しておけば、感染するリスクを下げられる。これは世界的に「CDR（Content Disarm and Reconstruction：ファイル無害化）」と呼ばれている。そしてこの技術を日本でいち早く確立し、「Mail Defender」「Fast Sanitizer」として製品化したのがプロットなのである。

　「ファイル無害化は、ゼロトラストの概念同様、すべてのファイルを信用しないため、未知の攻撃に強いという特長があります。またファイルを無害化した後にコンテンツの中身を再構成して使える状態にするため、業務への影響が小さいことも大きなメリットです。そのため先ほど紹介した総務省のガイドラインだけではなく、医療情報システムの安全管理に関するガイドラインでも、取り込む情報の安全性確保のために無害化を図ることが推奨されています」（坂田氏）

　それでは具体的に、どのようなフローで無害化が実行されるのか。それを示すのが図1だ。 　まずオンプレミスの場合（図の上側）には、インターネットから送られてきたメールがスパムフィルタを経由し、DMZに入ってくる。この段階ではまだ無害化は行われておらず、悪意のあるメールが含まれている可能性がある。これらをすべてMail Defenderに送り込むと、無害化エンジン「Fast Sanitizer」と連携し、メールが無害化される。添付ファイルがCDR技術で無害化されるのはもちろんのこと、本文に埋め込まれたリンクも無効化されており、HTMLメールの場合にはテキストメールへと変換されるのだ。社内のメールサーバーにはこの無害化されたメールが配信されるため、従業員が不用意に添付ファイルを開いたとしても、Emotetなどに感染する心配はない。HTMLもリンクも無効なので、フィッシングサイトに誘導される危険性も排除できる。

　Mail Defenderでもう1つ注目したいのは、Microsoft 365やGoogle Workspaceといったクラウドサービスでも利用可能という点だ。

　クラウドサービスで利用する場合には、インターネットから送られるメールをいったんプロットが提供するクラウドサービスで受信し、その中で稼働するMail DefenderとFast Sanitizerでメール無害化を実行する。無害化の内容はオンプレミスの場合と同様だ。その後、無害化されたメールはMicrosoft 365やGoogle Workspaceといったクラウドサービスへと送られ、ユーザーは安全にメールの閲覧が行える。

　「プロットの無害化技術はすでに500を超える自治体・公的団体が採用しています」と坂田氏。これだけEmotetが猛威を振るっている中で自治体の被害報告が見当たらない理由は、こうした無害化技術の採用だったわけだ。 　当然ながらこのアプローチが有効なのは、自治体だけではない。Emotetに不安を感じているのであれば、検討してみる価値は十分にあるといえるだろう。

• CISA：Cybersecurity and Infrastructure Security Agency