マルウェア【Emotet(エモテット)】とは?脅威や手口・対策まで解説|サイバーセキュリティ.com

マルウェア【Emotet(エモテット)】とは?脅威や手口・対策まで解説



Emotetは、非常に感染力・拡散力が強いマルウェアの一種です。Emotetは単体で動作するのではなく、あらゆるマルウェアを感染させる”プラットフォーム”としての役割を持ちます。Emotetに感染することで、約1億円もの被害にあった事例もあるほど危険なマルウェアですが、具体的な特徴から危険性、対策方法に関して解説していきます。

Emotet(エモテット)とは?

Emotet(エモテット)とは、2014年に発見された非常に強い感染力を持つマルウェアです。不正メールの添付ファイルが主要な感染経路で、情報窃盗に加えて他のウイルスの媒介もおこないます。一度侵入されれば他のウイルスにも次々と感染してしまうため、甚大な被害に発展する危険性が高いマルウェアとして有名です。

Emotet(エモテット)の特徴・攻撃手法

Emotetの特徴として挙げられるのが、「正規メールの返信」を偽装する巧妙な攻撃手口です。詳しくは、以下の攻撃手順をご覧ください。

  1. Emotetが侵入した端末のOutlookから、メール情報を盗む
  2. 取引先や顧客になりすまし、マクロ付きのOfficeファイルを添付した偽装メールを送信
  3. 偽装メールのタイトルに「Re:」を付け、業務関係の文面を装って受信者にOfficeファイルの開封を促す
  4. Officeファイルを開封すると、閲覧に必要な「コンテンツの有効化」を要求
  5. 受信者が「コンテンツの有効化」を実行し、端末に侵入

Emotetは、実際の取引先になりすまして攻撃メールを送信します。返信を装うことでメールの信憑性が増すため、騙されてしまうユーザーが多いわけです。

近年Emotet(エモテット)が深刻化した理由

Emotet(エモテット)本体には不正なコードを含まない

Emotetは単体で動作するのではなく、あらゆるマルウェアを感染させる”プラットフォーム”としての役割を持ちます。ウイルス対策ソフトに検知されないマクロなど正規の機能を悪用して端末に侵入するので、一般的なマルウェアよりも感染しやすくなっています。

ばらまきメールが巧妙化している

Emotetは2014年の発見以来、活動停止と活動再開を繰り返しています。2021年11月頃から行われているばらまき攻撃では、正規でやり取りされているメールの件名に「RE:」をつけたメールを割り込ませ、自然の流れで添付ファイルを開けさせ、Emotetに感染させています。

IPA (情報処理推進機構)の注意喚起によれば、2022年2月には、Emotetの被害相談が急増していると発表しました。終息は発表されておらず、引き続きEmotetへの警戒が必要です。

ユーザに不正なファイルをダウンロードさせる

マクロなどを利用してユーザに気付かれずに侵入する手口が主流でしたが、近年では、正規サービスを装ってユーザ自ら不正ファイルをダウンロードさせる手口も現れました。
必要なPDFファイルを開くには、別のファイルダウンロードが必要だと促され、感染させるケースです。

Emotet(エモテット)の危険性!感染した時の被害

1. 重要な個人情報や企業秘密を盗まれる

端末に不正侵入したEmotetは、端末内の情報を盗み取ります。盗まれるのは、連絡先や氏名などのメール関連情報だけではありません。IDやパスワードといった認証情報も対象です。社内ネットワークやクラウドサービスに不正ログインされ、重要情報の流出へと繋がります。

2. 社内ネットワークに感染拡大する

Emotetには自己増殖が可能な「ワーム」機能があるため、社内ネットワークへ感染拡大する恐れがあります。ワームは、コンピュータウイルスのように他のファイルに寄生する必要がありません。自己複製と単独活動により、社内ネットワークを介して他の端末へと感染を広げます。

3. ランサムウェア などの強力なマルウェアに感染する

Emotetは、他のマルウェアの媒介機能があります。つまり、Emotetがプラットフォームとなり、強力なマルウェアをダウンロード・実行してしまうわけです。強力なマルウェアの1つ「ランサムウェア(身代金要求型ウイルス)」に感染すると、まずPCや重要ファイルが暗号化されます。その後、攻撃者から元の状態に戻す代わりに金銭を要求される仕組み です。Emotetは、さまざまなマルウェアを呼び込んで企業・組織に深刻な被害をもたらします。

4. 踏み台にされ社外へ感染を広げる

Emotetに感染した企業は、新たな被害者を生み出してしまう点も考えなくてはならないでしょう。Emotetは、侵入した端末のOutlookからメール情報を盗みます。メールアドレスや企業・個人名を悪用し、取引先などへEmotetを添付した偽装メールをばらまきます。自社のEmotet感染が原因で取引先などに被害が生じた場合、注意喚起や補償の対応に追われるでしょう。企業の信用も損なわれ、機会損失に繋がる可能性もあります。

【急増中!】Emotetの感染を狙うメールの手口

Emotetの感染を狙うメールは、実際にどのような文面になっているのでしょうか。IPAによる注意喚起から、5つの手口を一部抜粋して紹介します。

1. 正規メールの返信を偽装する

画像出典IPA「Emotet(エモテット)」と呼ばれるウイルスへの感染を狙うメールについて」

Emotetの偽装メールの中でも巧妙なケースが、実在する取引先からの返信を装ったメールです。受信者が送った本文やタイトルを引用し、返信のように見せかけています。メールのfrom欄も取引先になりすましているため、本文に多少不自然な点があっても添付ファイルを開封してしまう人もいるでしょう。

2. Excel・Wordファイルの「コンテンツの有効化」を悪用

emotetの侵入経路は、Excel・Wordなどの文書ファイルのマクロを悪用する方法が一般的です。偽装メールに添付された文書ファイルを開くと、以下のような画面が表示されます。

画像出典IPA「Emotet(エモテット)」と呼ばれるウイルスへの感染を狙うメールについて

Wordに悪意あるマクロを埋め込み、「コンテンツの有効化」または「編集を有効にする」をクリックするよう誘導します。文書ファイルを開くだけでは感染しませんが、クリックするとマクロが動作してemotetに感染してしまいます。

3. URLリンクを記載

emotetの偽装メールの中には、文書ファイルを添付せず不正リンクを記載する例も見受けられます。取引先や顧客を装ったメールの本文中に不正リンクが貼り、クリックするよう促す手口です。不正リンクをクリックすると、Wordなどの文書ファイルがダウンロードされます。メールに添付するパターンと同じく、文書ファイルの「コンテンツの有効化」を許可するとemotetに感染します。

4. パスワード付きZIPファイルを添付

偽装メールに文書を添付する手口から派生し、パスワード付きZIPファイルを添付する事例も報告されています。パスワード付きZIPファイルは暗号化されているため、メール配信上のセキュリティ検知 をすり抜ける確率が高いです。不正メールとして検知されず受信者に届きやすいので、パスワード付きZIPファイルの開封には慎重さが求められます。ZIPファイルの中身は、これまでと同様に悪意あるマクロが仕込まれた文書ファイルです。

5. 新型コロナウイルス関連情報を使った本文

2020年以降発生しているのが、新型コロナウイルス関連情報を扱う偽装メールです。以下の画像をご参照ください。

画像出典IPA「Emotet(エモテット)」と呼ばれるウイルスへの感染を狙うメールについて

本文の日本語に不自然な点はほとんどなく、不正なWordファイルの開封を促している内容です。新型コロナウイルスの情報を伝える自然な文章で、非常に巧妙な偽装をしています。IPAは、巧みな文章は「窃取したメールを改変・流用したもの」との見解を示しています。

Emotet(エモテット)の被害事例

実際のEmotetの被害事例について、下記5つの例を紹介します。

米ペンシルバニア州アレンタウン市の事例

2018年2月に感染が確認されたこの事例では、約100万ドル(約1億円)もの被害額が出ています。政府のコンピュータに感染したEmotetは、ログイン情報を盗みながら感染を広げていきました。最終的に市のネットワークの隅々にあらゆるマルウェアをダウンロードしたといいます。

首都大学東京の事例

日本でも、つい最近感染が確認されました。2019年11月に起きた事例であり、1万8千件を超えるメール情報が流出した可能性があります。この感染事例では、大学教員をターゲットにした標的型のフィッシングメールに添付されたファイルを開封したことが原因です。

カナダ・ケベック州司法省の感染例

カナダのケベック州司法省は、2020年8月にEmotetの攻撃を受けています。Emotetの不正侵入を受け、攻撃者は司法省の受信トレイを閲覧できる状態になりました。従業員や司法省とメールで連絡していた市民など、約300人分の個人情報が流出しています。

亀屋吉長 最大1万8,000名の顧客情報流出

亀屋吉長株式会社は2020年9月にEmotetに感染し、最大1万8,000名の顧客情報流出に至っています。感染源は、同社社員のPC1台です。別社員を装ったメールに添付されたWordファイルを開き、「編集を有効にする」をクリックして感染しました。

日本管財株式会社 約6,400件の不審メール配信

2020年9月、Emotetに感染した日本管財株式会社は、不審メールの踏み台とされました。取引先や顧客に、約6,400件の不審メールを配信する事態となっています。不審メールは同社社員名義を騙っており、不正ファイルが添付されていました。感染したのはPC1台でしたが、 約6,400件ものメールが送られる大きな被害に繋がっています。

Emotet(エモテット)に感染した場合の対応方法

日ごろからセキュリティに対する意識を強め、事前に感染対策を行うのは必須ですが、マルウェア感染の手口は日に日に巧妙化しています。万が一Emotetに感染してしまった場合の対応方法について以下で説明します。

感染した端末をネットワークから切り離す

まずはEmotetの感染が疑われる端末をネットワークから切り離し、それ以上の使用を中止しましょう。
特に企業で使用しているパソコンに感染が疑われている場合、直ちにネットワークから切り離す必要があります。無線で接続している場合は、パソコンの設定画面から、LANケーブルでネットワークに接続している場合はケーブルを抜きます。

メールアドレスなどのパスワードを変更する

Emotetは主にメール経由で感染を拡大させます。そのため、感染が疑われる端末が使用していたメールアドレスのパスワードを変更しなければいけません。
ただし感染が疑われる端末からではなく、ほかの端末を使用してパスワードを変更しましょう。感染疑惑のある端末からパスワード変更の操作を行うと、変更後のパスワードも盗まれる可能性があるためです。

Emotet感染被害状況を調査する

マルウェア感染の調査は、個人で行うとリスクを伴います。ウイルスに関する専門知識や、デジタル機器についての知識がない場合、調査内容や方法が定まらず、結果的に感染を広げてしまう危険があるためです。
個人で調査を行うよりも安全面を担保する対応方法としておすすめなのが、「デジタルデータフォレンジック」などの専門家が行うフォレンジック調査です。感染疑惑のある端末が接続していたネットワークのログなどを解析し、Emotet感染被害状況を解明することができます。

すぐに公表する

企業の信用に関わるため、Emotet感染が発覚したら迅速に公表する必要があります。取引先や顧客へ、感染経緯や対応策、今後の方針を明確に伝達しましょう。公表が遅れると、取引先や顧客が新たにEmotetへ感染する二次被害が生じるかもしれません。「添付ファイルを開かない」「URLをクリックしない」といった具体的な対応方法を伝えてください。

米国銀行のインシデントは36時間以内の報告が義務付けられている!

アメリカの金融当局は、国内銀行の重大なインシデントは36時間以内の報告を義務付けました。重大なインシデントには、顧客が銀行サービスを利用できなくなる事態や、銀行業務を停止せざるを得ない状態を挙げています。こうしたセキュリティインシデントは、Emotet感染によって起こり得ます。ただし、2022年現在、日本国内にこのような義務付けはありません。

今すぐできるEmotet(エモテット)に感染しないための有効な対策

非常に危険なEmotetですが、感染しないためにはどのような対策を取ればよいでしょうか。ここでは、Emotetに感染しないための対策を5つ紹介します。どれか1つだけではなく、すべての対策を取ることを意識しましょう。

セキュリティ対策ソフトで保護する

Emotetに限らず、マルウェア感染によるセキュリティインシデントの発端となるパソコンは、セキュリティ対策ソフトで保護されていないことが多いものです。現代において、セキュリティ対策ソフトを導入していないパソコンは、裸で戦場を歩いているようなものであるといえます。

AIを搭載のエンドポイントセキュリティ「Intercept X」を利用する

セキュリティアナリストと同レベルのAIを搭載した未知のマルウェアを検出する「Intercept X」を利用することもEmotet(エモテット)の対策に有効です。

Intercept Xに搭載のCrypto Guardは、ランサムウェアによる暗号化プロセスをブロックし、ファイルの自動復旧とランサムウェアの削除でお客さまの大切なデータを100%保護し続けています。

参考https://cybersecurity-jp.com/ad-lp/48849

セキュリティパッチを適用する

Emotetに感染することで、あらゆるマルウェアに感染するリスクが高まります。マルウェアの多くは、既知のぜい弱性を狙ったものであり、ぜい弱性をそのままにしておくことは非常にリスクが高い行為です。実際にぜい弱性を修正するためのセキュリティパッチを適用していなかったことで、マルウェアに感染した事例は多く存在しています。

Power Shellをあらかじめブロックする

Emotetの実行には、PowerShellが利用されています。メールに添付されたファイルを開くことで、マクロの実行→コマンドプロンプトの実行→PowerShellの実行、という順番で実行され、C&Cサーバと通信を行うのです。

一般的にはPowerShellの利用は多くありません。そのため、PowerShellの実行をあらかじめブロックしておくことが対策として有効となります。実行ポリシーで制御すると、マルウェアによって変更される可能性があるため、管理者権限でPowerShell自体の起動をブロックするとよいでしょう。

標的型攻撃メール対策ソリューションを導入する

Emotetの主な感染源はメールの添付ファイルです。標的型攻撃メールによる感染事例があることからも、標的型攻撃メール対策ソリューションは有効となります。

標的型攻撃メール対策ソリューションは、フィッシングサイトのURLチェックを行ったり、添付ファイルの解析を行ったりすることが可能です。Emotetは、感染先が解析を行うようなパソコンである場合は、C&CサーバからEmotet本体をダウンロードしないことからも、有効な手段となります。

よくある質問

最後に、Emotetに関するよくある質問3つにお答えします。

私用メールアドレスもEmotetの攻撃対象になる?

私用メールアドレスも、Emotetの攻撃対象になります。Emotetは、不正入手したメールアドレスに無差別に攻撃メールをばらまくからです。たとえば、普段利用しているオンラインショップがEmotetに感染すれば、オンラインショップから攻撃メールが送られてきます。ビジネスだけでなく、私用メールアドレスに届く不審なメールも警戒しましょう。

個人でできるEmotet対策は?

個人でできるEmotet対策は、基本的には企業向けの対策と共通しています。詳しくは以下をご参照ください。

  • 添付ファイルを開かない / URLにアクセスしない
  • 誤って添付ファイルを開封しても、「コンテンツの有効化」や「編集を有効にする」をクリックしない
  • OSやアプリを常に最新状態にする

感染が疑われる場合は、ネットワークから切り離します。隔離した状態で、セキュリティソフトのウイルススキャンを実行しましょう。

Emotetとランサムウェアの違いは?

Emotetは、情報の盗窃とウイルスの媒介を目的とするマルウェアです。ランサムウェアもマルウェアですが、侵入した端末内のデータを暗号化して身代金を要求します。

Emotetは、侵入した端末内に他のマルウェアを勝手にダウンロードすることが可能です。そのため、ランサムウェアの運び屋として悪用されるケースがあります。セットで利用される事例が多いので混同されがちですが、全く異なるマルウェアです。

まとめ

Emotetは、もともとバンキングトロジャンとして登場しましたが、現在ではあらゆるマルウェアを感染させるプラットフォームとしてのマルウェアとなっています。非常に感染力・拡散力が強く、強力なマルウェア感染を手助けする存在であることから、非常に危険視されているものです。

Emotetの主な感染源はメールの添付ファイルとなりますので、不審なメールの添付ファイルを開かない、URLをクリックしないということを、いま一度確認するとともに、この記事で紹介した対策方法を取って感染しないように気をつけましょう。

 


書籍「情報漏洩対策のキホン」プレゼント


当サイトへの会員登録で、下記内容の書籍「情報漏洩対策のキホン」3000円相当PDFプレゼント
(実際にAmazonで売られている書籍のPDF版を無料プレゼント:中小企業向け大企業向け


ぜひ下記より会員登録をして無料ダウンロードしてみてはいかがでしょうか?

無料会員登録はこちら

SNSでもご購読できます。