ESETサイバーセキュリティ脅威レポート
2022年第3三半期版を公開

特集記事以外にも、日本を主な標的としたEmotetによる攻撃が確認されました。Emotetの活動は、2022年初めの4か月は活発化しましたが、第3三半期は鳴りを潜めています。しかし、第3三半期で検出数が急増した11月上旬は、日本が標的となっていました。Emotetのオペレーターは、マルウェア自体のアップデートやモジュールの追加といった強化を継続的に行っているため、今後も強化したEmotetが活発化する可能性があり注意が必要です。

ESETは、最新の脅威インテリジェンスを、データフィードとAPTレポートプレミアムとしてまとめたサービスを「ESET Threat Intelligence（イーセット スレット インテリジェンス）」として提供しています。標的型攻撃、高度な持続的脅威、ゼロデイ、ボットネットアクティビティについて、ESETの専門家が収集したリアルタイムの知識を使いやすい形で提供します。さらに、APTレポートプレミアムでは、ESETのアナリストと直接コミュニケーションが取れる機会も提供します。ESET Threat Intelligenceサービスに関する詳細は、こちらのウェブサイト（英語ページ）をご覧ください。

また、日本国内向けのサイバー脅威動向については、ESETの販売代理店である、キヤノンITソリューションズ株式会社のサイバーセキュリティラボより、2022年9月から12月の4カ月に関して、以下見解をいただいております。こちらもご参考ください。

2022年第3三半期（9月～12月）にはRDPに関連する攻撃が減少しています。最大の要因は新型コロナウイルス感染症対策の緩和に伴うリモートワークの減少と考えられており、日本に先駆けてオフィスへの回帰が進んだ諸外国ではより顕著に攻撃が減少しています。
今後はコロナ禍以前のメール経由の攻撃が主流になるのか、それともネットワーク経由の攻撃が再び増加に転じるのか、2023年は脅威動向のターニングポイントになりそうです。

AgentTeslaは2014年に初めて確認された.NET Frameworkベースのマルウェアです。
AgentTeslaはソフトウェアに保存された認証情報やクリップボードの情報などを取得して攻撃者が用意したC&Cサーバーへ送信します。2022年第3三半期に日本国内で検出された情報窃取マルウェアのうち、36.5%はAgentTesla（MSIL/Spy.AgentTesla）でした。

これまでにAgentTeslaの感染を狙った攻撃キャンペーンがいくつか確認されています。例えば2020年には新型コロナウイルス感染症の感染拡大に乗じて悪意のある添付ファイルをクリックさせるマルスパムが日本国内で出回りました。また、2022年には南米やヨーロッパの企業を標的にした攻撃キャンペーンが観測されています。

AgentTeslaは主に電子メールを介して感染します。電子メールにファイルが添付されているパターンと本文にURLが記載されているパターンが存在します。以下に感染までの流れの一例を示します。

2022年第3三半期の間、世界的に見るとEmotetは目立った活動を行いませんでした。日本国内においても7月の活動停止以降沈黙を続けていましたが、11月2日から14日に掛けて攻撃キャンペーンが発生しています。

今回のキャンペーンの特徴は新しいExcelテンプレートが使用されたことです。
通常、インターネットから入手したファイルは保護ビューで開かれます。ところが、特定のフォルダーではインターネットから入手したファイルであっても保護ビューで開かれません。Emotetの攻撃者はそこに目を付け、特定のフォルダーでExcelファイルを開かせるようユーザーを誘導しています。

Emotetは今回紹介したExcelテンプレートのほかにも、頻繁に機能更新と拡張を行っています。2022年の主な更新内容は以下のとおりです。今後もEmotetはさまざまな機能を追加・更新しつつ、不定期に攻撃キャンペーンを行うと予想しています。

AgentTeslaやEmotet の感染を防ぐためには、以下の対策が有効です。

• 信頼していない電子メールの本文中のURLや添付ファイルは開かない
• 信頼していないOfficeファイルでは「編集を有効にする」や「コンテンツの有効化」をクリックしない
• 信頼していないOfficeファイルではハイパーリンクやオブジェクトをクリックしない
• 不審メールやその添付ファイルについて組織内でセキュリティ教育と情報共有を行う