2020/02/14

Emotet が Wi-Fi 経由で拡散できるように進化

Free Wifi check it

2020 年 2 月 14 日 Trevor Collins 著

ボットネットの Emotet が、最近追加された機能により Wi-Fi ネットワークを通して拡散できるになっていることを Binary Defense 社が発見しました。以前のバージョンでは、ローカルの有線ネットワークだけが狙われていました。Emotet ボットネットは、銀行を標的とするトロイの木馬として 2014 年から悪用されています。初期の段階では、電子メールを介して拡散した、ユーザの連絡先リストにある標的に向けて同じ内容を自動的に送信していました。後にそのボットネットは進化し、マルウェアのような悪意のあるペイロードを拡散するようになりました。さらに進化を続けており、脆弱性のある Wi-Fi ホットスポットを攻撃するようになっています。他の多くのボットネットと同じように、Emotet を操るサイバー犯罪者はさまざまなモジュールを設定し、悪意ある行為を実行しています。

今回アップデートされる前に、Emotet はすでにワームとしての基本的な拡散能力を持っていました。接続された有線ネットワークを見つけると、デフォルトのパスワード、あるいはパスワード総当たり攻撃によりネットワーク上にある他のデバイスへと攻撃を拡散しようとするというものです。しかし今回のアップデートされたバージョンでは、新しい独自の Wi-Fi 拡散機能が追加され、多くの公衆 Wi-Fi ホットスポットに見受けられるような安全でないワイヤレスネットワークに、このマルウェアは拡散できます。

その仕組みについて以下に説明します。

  1. Emotet は被害者のワイヤレスアダプタを利用してローカル Wi-Fi シグナルスペースをエミュレートし、見つけたワイヤレスネットワーク(SSID)をリストにします。Wi-Fi のエミュレーションを実行するときに、ユーザのデバイスが見つかったネットワークに接続している必要はありません。
    マルウェアが近くにある標的になりうるネットワークを検出すると、典型的な Wi-Fi パスワードのリストを使って接続を試みます。接続に成功すると攻撃の次のフェーズに移ります。
  2. 攻撃対象となるネットワークに接続されると、Emotet はそのネットワークに接続されている他のデバイスや、公開されている可能性のある共有フォルダを探します。ひとつでもそのようなものを見つけると、さまざまな種類の総当たり攻撃を仕掛けます。たとえば今回のように、典型的なユーザ名とパスワードを使って、公開されてフォルダなどに接続しようとします。
  3. Emotet が Wi-Fi ネットワークで検出した共有フォルダなどに接続すると、自身のコピーをロードし、Windows ネットワークコマンドを使って、コピーした Emotet を起動しようとします。それに成功すると、新たな標的に同じ攻撃を繰り返します。
  4. 最後にマルウェアは、Wi-Fi をスキャンした結果と新しい被害者のシステムに関する情報を C&C サーバに送ります。拡散フェーズが完了すると、Emotet は C&C を介してボットネットに接続されたボットクライアントとして残ります。Emotet を背後で操るサイバー犯罪者はこの時点で被害者のコンピュータを完全に制御し、インストールする Emotet モジュールに変えて、あらゆる悪意ある操作を行うことができます。
  5. Wi-Fi を使用した Emotet の拡散は、基本的なWi-Fi アクセスポイント(AP)のセキュリティ対策を励行すれば防止できます。Wi-Fi ネットワークを管理するときは、最新の WPA3 セキュリティで保護し、15 文字以上の長いパスワードを使用しましょう。そうすることで、ユーザが使用している AP の近くにある Emotet に感染したコンピュータが、総当たり攻撃で SSID パスワードを侵害する事態を防げます。

ウォッチガードの Cloud Wi-Fi AP などの安全な AP は、追加のセキュリティ機能を多く持つので、この Wi-Fi 攻撃の一部からユーザを保護するのに役立ちます。たとえば AP クライアントの隔離によって、同じ AP に接続する Wi-Fi クライアント同士が直接通信しないようにできます。それにより、Emotet に感染したコンピュータがゲストネットワークに接続しても、同じ AP に接続された他のゲストに感染しないようにできます。

Wi-Fi Cloud AP はまた、強力なワイヤレス侵入防止システム(WIPS)機能を持っており、隣接する AP 保護機能もあります。この機能を有効にすると、ユーザが会社の近くにあるワイヤレスネットワークに接続しないようにできます。この機能を使えば、もし管理下にあるワイヤレスのユーザのいずれかが Emotet に感染したとしても、そのコンピュータが近くにある他のWi-Fiネットワークに接続して拡散を行うことを防げます。それを踏まえても、感染したコンピュータはネットワーク上に残るのでリスクは依然としてありますが、少なくとも二次感染を防ぐことはできます。WIPS の強力な機能について詳しく知りたい場合は、Trusted Wireless Environment のページをお読みください。

しかし、ワイヤレス環境のセキュリティを維持する正しい習慣とウォッチガードの Secure AP は確かに役立ちますが、最初から Emotet に感染させないようなセキュリティ管理をしておくことが一番大切です。ウォッチガードの Total Security パッケージのようなマルウェア対策ソリューションをネットワークとエンドポイントの双方で導入することを徹底しましょう。ウォッチガードのプロアクティブなマルウェア検知を使えば、最新の Emotet がネットワークへ侵入することを防げます。