Emotet（エモテット）関連情報の収集

EUROPOLが2021年1月にテイクダウンしたEmotetが2021年11月から再び活動を始めています。
最近では日本語に対応したメールも登場しており、Twitter上でEmotet関連のツイートを多く見かけるようになりました。
そこで今回は社内SOCや情報システム部にとって有益なEmotet関連情報を紹介したいと思います。

Emotetはなぜ騒がれるのか

Emotetの他にもマルウェアは多くありますが、なぜEmotetがよく騒がれているのでしょうか。
私は「本物のメールを再利用することで攻撃の成功率を高めている」からだと思っています。

Emotetは感染した端末からメールを盗み、そのメールを攻撃に利用する特徴があります。
そのため、普段からやり取りしている知人や取引先から返信されたようなメールを装ってきます。
受信者は「知っている人からの返信」なので添付ファイルに対する警戒心が低く、開封しやすいです。

情報共有のトライアングル

情報共有のトライアングルをご存じでしょうか？
「早さ」「正確性」「網羅性」の3つ全てを満たすことは出来ず、いずれかの2つしか満たせないというものです。
以下資料の15ページに説明があります。
参考：セキュリティ対応組織(SOC/CSIRT)強化に向けたサイバーセキュリティ情報共有の「5W1H」 (isog-j.org)

情報収集においてもそうで、他者が共有してくれている情報には3つとも満たしているものは無いと認識しておくことが重要です。

正確性・網羅性の高い情報収集

セキュリティの注意喚起を確認する際はJPCERT/CCとIPAは必須です。
正確性や網羅性は高い一方で、被害が確認されたり話題になった後に更新されるため、新しい攻撃パターンや事例が掲載されるのは遅くなります。
その点に考慮して確認していきましょう。

• 「Emotet（エモテット）」と呼ばれるウイルスへの感染を狙うメールについて：IPA 独立行政法人 情報処理推進機構
• マルウエアEmotetへの対応FAQ – JPCERT/CC Eyes | JPCERTコーディネーションセンター公式ブログ

文章は長いので理解して読むのは大変だと思いますが、画像付きで説明してありますので不審なメール例は分かりやすいと思います。

早さ重視の情報収集

情報の早さと言えばなんと言ってもSNSです。
誰でも発信できるため情報が早い反面、正確性や網羅性に難があります。
早さだけを求めるにはハッシュタグ検索が良いです。
正確性又は網羅性を高めるためには普段から情報を発信しているアカウントを覚えておくことで改善できます。

• ハッシュタグの#emotetで検索「(#emotet) – Twitter検索 / Twitter」
• Emotetの情報発信をしているアカウント
  • bomさん (@bomccss) / Twitter
  • さとっぺさん (@satontonton) / Twitter
  • abelさん (@abel1ma) / Twitter

その他

通信先情報（※2022/02/05追記）

紹介するサイトはC2や通信先を確認できるサイトです。
ブラックリストへの追加や通信先がEmotetに関連するかチェックできます。

C2
Feodo Tracker | Browse Botnet C&Cs (abuse.ch)

通信先
URLhaus | emotet (abuse.ch)

Emotet解説動画（※2022/03/17追記）

Emotet系の動画で一番正確だと思ってます。

• Emotet感染の確認方法と対策 – YouTube
• 日本中で感染が広がるマルウェアEmotet – YouTube

最後に

Emotetに限らず脅威は多くありますので日々の情報収集は重要です。
色々な情報を発信をしている人達が居ますので、また何か話題に上がった際は紹介していきたいと思います。

最後に今回紹介したアカウントや有益な情報を発信している方々に感謝します。