Emotetがここまで拡がった背景とは
──Emotetのこれまでの動きと、最近の活動についてどのように感じられていますか?
事件的な話ですと、2014年ぐらいから日本で話題になり、被害が拡大したというのはここ3年ぐらいのお話です。その頃は警察庁やIPA(情報処理推進機構)、JPCERT/CC(JPCERT コーディネーションセンター)などから注意喚起が出ています。そのため、技術的にすごく目新しいというものではないのです。ですが、むしろ「新しくない」ことが逆にトレンドになっていると言えます。
Emotetは、技術的にはわりと“ローテク”です。ですがローテクをうまく運用することで、非常に爆発的なパワーを有しているというのが特徴です。ですから技術の使い方が上手く、洗練されていると思っています。
警察庁の注意喚起で、2020年頃には十分問題になっていましたが、感染経路は限定的でした。このときの注意喚起は、「パスワード付きZIPファイル」です。最近ですと「PPAP(パスワード付きZIPファイル)」といった形式です。
Emotetの場合は、多くの人がご存じの通り暗号化されたZIPとパスワードを一つのメールで送ることが多いです。添付ファイルで送信されることが特徴で、添付ファイルを開くとファイルに埋め込まれたマクロの実行を促す内容が表示され、実行すると感染する。
もっとも、パスワード付きZIPとは限らないのですが、この添付ファイルを開いてマクロを実行するというところが基本的な攻撃手段です。ただ、これ自体はかなり昔から利用されている手法です。
技術的には新しくないのですが、では何故Emotetの感染が爆発的に拡がったか。感染拡大の一例としては、まずA社が感染し、連絡先情報やメールの文面を盗み取ります。そしてA社からのメールだと思うような文面を装って、あたかもA社から来たかのようなメールを別のサーバーからB社に送る。これが従来にない、洗練されたEmotetの特徴です。
ただ冒頭述べたように、これは技術的に凄くハイテクというわけではありません。IPAの注意喚起の例ですが、Emotetからのメールはきちんとした日本語で、かつ役所や取引先などを装ったメールが送られてきています。日本の方々は皆さん真面目なので、送られてきたら何気なく開いてしまうのです。
これはあくまで一例ではありますが、IPAの注意喚起にある通り、開いてみるとそこまで巧妙ではなかったりします。中身には「コンテンツの有効化をしろ」と英語で書いてあるため、本来はこの時点で「おかしい」と思わなければいけません。ただ簡単な英語ゆえに「コンテンツの有効を押せばいいのかな」と思ってしまい、押してはダメなのですが皆さん押してしまう。
その有効化を「する」か「しない」かの差については、従業員の皆さんはこれを“業務上必要”だと思い込んで押してしまいます。とはいえ、そもそも押さなければ感染はしないのです。
