サイバーセキュリティーサービスの比較・資料請求サイト|中小企業向けのセキュリティ対策を考える「サイバーセキュリティ」に関する情報メディア。日本の中小企業の情報を守るため、最新のセミナー・人材育成・製品・中小企業向けのセキュリティ対策を考えるサイバーセキュリティ情報サイトです。

マルウェア【Emotet(エモテット)】とは?感染急増の手口や対策方法



Emotetは、非常に感染力・拡散力が強いマルウェアの一種です。Emotetは単体で動作するのではなく、あらゆるマルウェアを感染させる”プラットフォーム”としての役割を持ちます。Emotetに感染することで、約1億円もの被害にあった事例もあるほど危険なマルウェアですが、具体的な特徴から危険性、対策方法に関して解説していきます。

Emotet(エモテット)とは?

Emotet(エモテット)とは、2014年に発見された非常に強い感染力を持つマルウェアです。不正メールの添付ファイルが主要な感染経路で、情報窃盗に加えて他のウイルスの媒介もおこないます。一度侵入されれば他のウイルスにも次々と感染してしまうため、甚大な被害に発展する危険性が高いマルウェアとして有名です。

Emotet(エモテット)の特徴

Emotetの特徴として挙げられるのが、「正規メールの返信」を偽装する巧妙な攻撃手口です。詳しくは、以下の攻撃手順をご覧ください。

  1. Emotetが侵入した端末のOutlookから、メール情報を盗む
  2. 取引先や顧客になりすまし、マクロ付きのOfficeファイルを添付した偽装メールを送信
  3. 偽装メールのタイトルに「Re:」を付け、業務関係の文面を装って受信者にOfficeファイルの開封を促す
  4. Officeファイルを開封すると、閲覧に必要な「コンテンツの有効化」を要求
  5. 受信者が「コンテンツの有効化」を実行し、端末に侵入

Emotetは、実際の取引先になりすまして攻撃メールを送信します。返信を装うことでメールの信憑性が増すため、騙されてしまうユーザーが多いわけです。

2021年11月頃からEmotet(エモテット)の活動再開

Emotetは2014年の発見以来、活動停止と活動再開を繰り返しています。2021年1月には、EUROPOL(欧州刑事警察機構)によるテイクダウン (停止措置)が成功しました。2021年4月末以降、日本国内のEmotet感染は激減しています。

しかし、2021年11月頃から再びEmotetの活動再開 が報告されました。IPA (情報処理推進機構)の注意喚起によれば、これまでと同様に偽装メールを使った手口が確認されています。2022年2月には、Emotetの被害相談が急増していると発表しました。終息は発表されておらず、引き続きEmotetへの警戒が必要です。

Emotet(エモテット)の危険性!感染したらどうなる?

Emotetに感染すると、具体的には以下4つの被害が生じます。

  1. 重要な個人情報や企業秘密を盗まれる
  2. 社内ネットワークに感染拡大する
  3. ランサムウェアなどの強力なマルウェアに感染する
  4. 踏み台にされ社外へ感染を広げる

順番に説明します。

1. 重要な個人情報や企業秘密を盗まれる

端末に不正侵入したEmotetは、端末内の情報を盗み取ります。盗まれるのは、連絡先や氏名などのメール関連情報だけではありません。IDやパスワードといった認証情報も対象です。社内ネットワークやクラウドサービスに不正ログインされ、重要情報の流出へと繋がります。

2. 社内ネットワークに感染拡大する

Emotetには自己増殖が可能な「ワーム」機能があるため、社内ネットワークへ感染拡大する恐れがあります。ワームは、コンピュータウイルスのように他のファイルに寄生する必要がありません。自己複製と単独活動により、社内ネットワークを介して他の端末へと感染を広げます。

3. ランサムウェア などの強力なマルウェアに感染する

Emotetは、他のマルウェアの媒介機能があります。つまり、Emotetがプラットフォームとなり、強力なマルウェアをダウンロード・実行してしまうわけです。強力なマルウェアの1つ「ランサムウェア(身代金要求型ウイルス)」に感染すると、まずPCや重要ファイルが暗号化されます。その後、攻撃者から元の状態に戻す代わりに金銭を要求される仕組み です。Emotetは、さまざまなマルウェアを呼び込んで企業・組織に深刻な被害をもたらします。

4. 踏み台にされ社外へ感染を広げる

Emotetに感染した企業は、新たな被害者を生み出してしまう点も考えなくてはならないでしょう。Emotetは、侵入した端末のOutlookからメール情報を盗みます。メールアドレスや企業・個人名を悪用し、取引先などへEmotetを添付した偽装メールをばらまきます。自社のEmotet感染が原因で取引先などに被害が生じた場合、注意喚起や補償の対応に追われるでしょう。企業の信用も損なわれ、機会損失に繋がる可能性もあります。

【2022年急増中!】Emotetの感染を狙うメールの手口とは

Emotetの感染を狙うメールは、実際にどのような文面になっているのでしょうか。IPAによる注意喚起から、5つの手口を一部抜粋して紹介します。

  1. 正規メールの返信を装う
  2. Excel・Word ファイルの「コンテンツの有効化」
  3. URLリンクを記載
  4. パスワード付きZIPファイルを添付
  5. 新型コロナウイルス関連情報を使った本文

1つずつ見ていきましょう。

1. 正規メールの返信を偽装する

画像出典IPA「Emotet(エモテット)」と呼ばれるウイルスへの感染を狙うメールについて」

Emotetの偽装メールの中でも巧妙なケースが、実在する取引先からの返信を装ったメールです。受信者が送った本文やタイトルを引用し、返信のように見せかけています。メールのfrom欄も取引先になりすましているため、本文に多少不自然な点があっても添付ファイルを開封してしまう人もいるでしょう。

2. Excel・Wordファイルの「コンテンツの有効化」を悪用

emotetの侵入経路は、Excel・Wordなどの文書ファイルのマクロを悪用する方法が一般的です。偽装メールに添付された文書ファイルを開くと、以下のような画面が表示されます。

画像出典IPA「Emotet(エモテット)」と呼ばれるウイルスへの感染を狙うメールについて

Wordに悪意あるマクロを埋め込み、「コンテンツの有効化」または「編集を有効にする」をクリックするよう誘導します。文書ファイルを開くだけでは感染しませんが、クリックするとマクロが動作してemotetに感染してしまいます。

3. URLリンクを記載

emotetの偽装メールの中には、文書ファイルを添付せず不正リンクを記載する例も見受けられます。取引先や顧客を装ったメールの本文中に不正リンクが貼り、クリックするよう促す手口です。不正リンクをクリックすると、Wordなどの文書ファイルがダウンロードされます。メールに添付するパターンと同じく、文書ファイルの「コンテンツの有効化」を許可するとemotetに感染します。

4. パスワード付きZIPファイルを添付

偽装メールに文書を添付する手口から派生し、パスワード付きZIPファイルを添付する事例も報告されています。パスワード付きZIPファイルは暗号化されているため、メール配信上のセキュリティ検知 をすり抜ける確率が高いです。不正メールとして検知されず受信者に届きやすいので、パスワード付きZIPファイルの開封には慎重さが求められます。ZIPファイルの中身は、これまでと同様に悪意あるマクロが仕込まれた文書ファイルです。

5. 新型コロナウイルス関連情報を使った本文

2020年以降発生しているのが、新型コロナウイルス関連情報を扱う偽装メールです。以下の画像をご参照ください。

画像出典IPA「Emotet(エモテット)」と呼ばれるウイルスへの感染を狙うメールについて

本文の日本語に不自然な点はほとんどなく、不正なWordファイルの開封を促している内容です。新型コロナウイルスの情報を伝える自然な文章で、非常に巧妙な偽装をしています。IPAは、巧みな文章は「窃取したメールを改変・流用したもの」との見解を示しています。

Emotet(エモテット)の被害事例

実際のEmotetの被害事例について、下記5つの例を紹介します。

米ペンシルバニア州アレンタウン市の事例

2018年2月に感染が確認されたこの事例では、約100万ドル(約1億円)もの被害額が出ています。政府のコンピュータに感染したEmotetは、ログイン情報を盗みながら感染を広げていきました。最終的に市のネットワークの隅々にあらゆるマルウェアをダウンロードしたといいます。

一つの感染源から、ネットワーク全体へ感染が広がったことにより、インフラシステムを再構築しなければならなくなりました。

首都大学東京の事例

日本でも、つい最近感染が確認されました。2019年11月に起きた事例であり、1万8千件を超えるメール情報が流出した可能性があります。この感染事例では、大学教員をターゲットにした標的型のフィッシングメールに添付されたファイルを開封したことが原因です。

カナダ・ケベック州司法省の感染例

カナダのケベック州司法省は、2020年8月にEmotetの攻撃を受けています。Emotetの不正侵入を受け、攻撃者は司法省の受信トレイを閲覧できる状態になりました。従業員や司法省とメールで連絡していた市民など、約300人分の個人情報が流出しています。

亀屋吉長 最大1万8,000名の顧客情報流出

亀屋吉長株式会社は2020年9月にEmotetに感染し、最大1万8,000名の顧客情報流出に至っています。感染源は、同社社員のPC1台です。別社員を装ったメールに添付されたWordファイルを開き、「編集を有効にする」をクリックして感染しました。

また、顧客や取引先へEmotetの偽装メールがばらまかれる事態にも発展しています。亀屋吉長は、ネットショップの一時閉鎖、顧客へのお詫び状送付といった対応に追われました。

日本管財株式会社 約6,400件の不審メール配信

2020年9月、Emotetに感染した日本管財株式会社は、不審メールの踏み台とされました。取引先や顧客に、約6,400件の不審メールを配信する事態となっています。不審メールは同社社員名義を騙っており、不正ファイルが添付されていました。感染したのはPC1台でしたが、 約6,400件ものメールが送られる大きな被害に繋がっています。

Emotet(エモテット)に感染した場合の対応方法

日ごろからセキュリティに対する意識を強め、事前に感染対策を行うのは必須ですが、マルウェア感染の手口は日に日に巧妙化しています。万が一Emotetに感染してしまった場合の対応方法について以下で説明します。

感染した端末をネットワークから切り離す

まずはEmotetの感染が疑われる端末をネットワークから切り離し、それ以上の使用を中止しましょう。

特に企業で使用しているパソコンに感染が疑われている場合、直ちにネットワークから切り離す必要があります。同じネットワークに接続している端末への感染を防ぐためです。無線で接続している場合は、パソコンの設定画面から、LANケーブルでネットワークに接続している場合はケーブルを抜きます。

Emotetは他の端末にも感染を広げる性質があります。さらに感染を拡大させないよう、まずは感染疑惑のある端末を使用しないようにしましょう。

メールアドレスなどのパスワードを変更する

Emotetは主にメール経由で感染を拡大させます。そのため、感染が疑われる端末が使用していたメールアドレスのパスワードを変更しなければいけません。

ただし感染が疑われる端末からではなく、ほかの端末を使用してパスワードを変更しましょう。感染疑惑のある端末からパスワード変更の操作を行うと、変更後のパスワードも盗まれる可能性があるためです。

Emotet感染被害状況を調査する

マルウェア感染の調査は、個人で行うとリスクを伴います。ウイルスに関する専門知識や、デジタル機器についての知識がない場合、調査内容や方法が定まらず、結果的に感染を広げてしまう危険があるためです。

個人で調査を行うよりも安全面を担保する対応方法としておすすめなのが、フォレンジック調査です。近年、マルウェア感染の被害が拡大するとともに、サイバー犯罪の法的証拠を収集・解析するフォレンジック調査の需要が増加しています。フォレンジック調査では、感染疑惑のある端末が接続していたネットワークのログなどを解析し、Emotet感染被害状況を解明することができます。

フォレンジック調査を行うべき理由は以下の2点です。

①法的証拠を取得するため

企業は、マルウェア感染を問わず何かしらの形で情報が流出した場合、個人情報保護法による報告義務が伴います。これは個人情報を扱う企業の情報が流出し、漏洩による被害を受ける顧客や関係者がいる場合、その顧客や関係者に報告しなければならないというものです。

従業員の端末がEmotetに感染した場合、悪意のある第三者から従業員のメールアドレスなどの個人情報が抜き取られ、流出したということになります。感染拡大を防ぐために、メールを開封しないように関係者に通達するだけではなく、直ちに感染事実や被害状況を証拠として取得し、関係者や顧客に報告しなければいけません。

また、パソコンなどのデジタル機器は、データの改ざんや上書きなど、簡単に情報を書き換えることができてしまうため、マルウェア感染による不正アクセスや情報漏洩などの被害が発覚した際には、直ちに被害状況を調べる必要があります。特にEmotetは感染後、潜伏し他のマルウェアを呼び寄せ、横感染の被害をもたらします。そのため感染被害状況を証拠として保全するには、早急な調査をしなければならないのです。

②再発防止するため

フォレンジック調査のサービスは解析結果をレポートとして提出するだけではありません。

解析の結果からマルウェアの侵入経路や感染状況を解明し、セキュリティの脆弱性を発見することで、再発防止のサポートを受けることができます。多くのフォレンジック専門業者は、ホワイトハッカーが在籍しており、日々巧妙化するマルウェアを研究しています。そのような専門家から提供される、セキュリティ強化を目的とした再発防止策は非常に信頼のできるものでしょう。

正確な被害状況を把握し、Emotetの被害を拡大させないために、フォレンジック調査専門の業者に依頼するのも一つの方法といえます。

フォレンジック調査サービスについては下記のページで紹介しています。

すぐに公表する

企業の信用に関わるため、Emotet感染が発覚したら迅速に公表する必要があります。取引先や顧客へ、感染経緯や対応策、今後の方針を明確に伝達しましょう。公表が遅れると、取引先や顧客が新たにEmotetへ感染する二次被害が生じるかもしれません。「添付ファイルを開かない」「URLをクリックしない」といった具体的な対応方法を伝えてください。

米国銀行のインシデントは36時間以内の報告が義務付けられている!

アメリカの金融当局は、国内銀行の重大なインシデントは36時間以内の報告を義務付けました。重大なインシデントには、顧客が銀行サービスを利用できなくなる事態や、銀行業務を停止せざるを得ない状態を挙げています。こうしたセキュリティインシデントは、Emotet感染によって起こり得ます。ただし、2022年現在、日本国内にこのような義務付けはありません。

おすすめのEMOTET感染調査に対応している業者

EMOTETのようなマルウェア感染調査に対応している業者の中で「スピード対応」と「実績」が豊富な業者を選定しました。

デジタルデータフォレンジック

公式HPデジタルデータフォレンジック

デジタルデータフォレンジックは、個人はもちろん、大手企業や警察からの依頼も多数解決しているため、実績・経験は申し分ないフォレンジック調査対応業者です。さらに、「Pマーク」「ISO27001」を取得しているため、セキュリティ面でも信頼がおけます。

相談から見積もりまで無料で行っているので、Emotetの感染調査を検討している際は、まずは実績のあるデジタルデータフォレンジックに相談すると良いでしょう。

費用 ■相談から見積もりまで無料
※機器の種類・台数・状態によって変動
調査対応機器 NAS/サーバー機器(RAID対応)、パソコン(ノート/デスクトップ)、外付けHDD、SSD、USBメモリ、ビデオカメラ、SDカードなど
調査実施事例 警察からの捜査依頼(感謝状受領)、マルウェア・ランサムウェア感染調査、ハッキング・不正アクセス調査、パスワード解除、データ復元など
特長 大手企業や警察を含む累計14,233件の相談実績
■「Pマーク」「ISO27001」取得済のセキュリティ

デジタルデータフォレンジックのさらに詳しい説明は公式サイトへ

Emotet(エモテット)に感染しないための有効な対策

非常に危険なEmotetですが、感染しないためにはどのような対策を取ればよいでしょうか。ここでは、Emotetに感染しないための対策を5つ紹介します。どれか1つだけではなく、すべての対策を取ることを意識しましょう。

セキュリティ対策ソフトで保護する

Emotetに限らず、マルウェア感染によるセキュリティインシデントの発端となるパソコンは、セキュリティ対策ソフトで保護されていないことが多いものです。現代において、セキュリティ対策ソフトを導入していないパソコンは、裸で戦場を歩いているようなものであるといえます。

社内ネットワークにつながるすべてのパソコンはもちろんのこと、普段オフラインのパソコンなども対象です。ネットワークに接続する可能性があるパソコンは、全てセキュリティ対策ソフトで保護しましょう。

AIを搭載のエンドポイントセキュリティ「Intercept X」を利用する

セキュリティアナリストと同レベルのAIを搭載した未知のマルウェアを検出する「Intercept X」を利用することもEmotet(エモテット)の対策に有効です。

Intercept Xは、大流行したランサムウェアだけでなく、標的型攻撃用にカスタマイズされた発見しづらいランサムウエアまでを発生直後からブロック。

Intercept Xに搭載のCrypto Guardは、ランサムウェアによる暗号化プロセスをブロックし、ファイルの自動復旧とランサムウェアの削除でお客さまの大切なデータを100%保護し続けています。

参考https://cybersecurity-jp.com/ad-lp/48849

セキュリティパッチを適用する

Emotetに感染することで、あらゆるマルウェアに感染するリスクが高まります。マルウェアの多くは、既知のぜい弱性を狙ったものであり、ぜい弱性をそのままにしておくことは非常にリスクが高い行為です。実際にぜい弱性を修正するためのセキュリティパッチを適用していなかったことで、マルウェアに感染した事例は多く存在しています。

Windowsでは、毎月定期的にセキュリティパッチを配布しています。セキュリティパッチの適用を面倒臭がって後回しにしている人も多いと思いますが、セキュリティパッチが配布されたら即座に適用することを心がけましょう。

Power Shellをあらかじめブロックする

Emotetの実行には、PowerShellが利用されています。メールに添付されたファイルを開くことで、マクロの実行→コマンドプロンプトの実行→PowerShellの実行、という順番で実行され、C&Cサーバと通信を行うのです。

一般的にはPowerShellの利用は多くありません。そのため、PowerShellの実行をあらかじめブロックしておくことが対策として有効となります。実行ポリシーで制御すると、マルウェアによって変更される可能性があるため、管理者権限でPowerShell自体の起動をブロックするとよいでしょう。

標的型攻撃メール対策ソリューションを導入する

Emotetの主な感染源はメールの添付ファイルです。標的型攻撃メールによる感染事例があることからも、標的型攻撃メール対策ソリューションは有効となります。

標的型攻撃メール対策ソリューションは、フィッシングサイトのURLチェックを行ったり、添付ファイルの解析を行ったりすることが可能です。Emotetは、感染先が解析を行うようなパソコンである場合は、C&CサーバからEmotet本体をダウンロードしないことからも、有効な手段となります。

よくある質問

最後に、Emotetに関するよくある質問3つにお答えします。

私用メールアドレスもEmotetの攻撃対象になる?

私用メールアドレスも、Emotetの攻撃対象になります。Emotetは、不正入手したメールアドレスに無差別に攻撃メールをばらまくからです。たとえば、普段利用しているオンラインショップがEmotetに感染すれば、オンラインショップから攻撃メールが送られてきます。ビジネスだけでなく、私用メールアドレスに届く不審なメールも警戒しましょう。

個人でできるEmotet対策は?

個人でできるEmotet対策は、基本的には企業向けの対策と共通しています。詳しくは以下をご参照ください。

  • 添付ファイルを開かない / URLにアクセスしない
  • 誤って添付ファイルを開封しても、「コンテンツの有効化」や「編集を有効にする」をクリックしない
  • OSやアプリを常に最新状態にする

感染が疑われる場合は、ネットワークから切り離します。隔離した状態で、セキュリティソフトのウイルススキャンを実行しましょう。

Emotetとランサムウェアの違いは?

Emotetは、情報の盗窃とウイルスの媒介を目的とするマルウェアです。ランサムウェアもマルウェアですが、侵入した端末内のデータを暗号化して身代金を要求します。

Emotetは、侵入した端末内に他のマルウェアを勝手にダウンロードすることが可能です。そのため、ランサムウェアの運び屋として悪用されるケースがあります。セットで利用される事例が多いので混同されがちですが、全く異なるマルウェアです。

まとめ

Emotetは、もともとバンキングトロジャンとして登場しましたが、現在ではあらゆるマルウェアを感染させるプラットフォームとしてのマルウェアとなっています。非常に感染力・拡散力が強く、強力なマルウェア感染を手助けする存在であることから、非常に危険視されているものです。

Emotetの主な感染源はメールの添付ファイルとなりますので、不審なメールの添付ファイルを開かない、URLをクリックしないということを、いま一度確認するとともに、この記事で紹介した対策方法を取って感染しないように気をつけましょう。

 


書籍「情報漏洩対策のキホン」プレゼント


当サイトへの会員登録で、下記内容の書籍「情報漏洩対策のキホン」3000円相当PDFプレゼント
(実際にAmazonで売られている書籍のPDF版を無料プレゼント:中小企業向け大企業向け

下記は中小企業向けの目次になります。

  1. 1.はじめに

  2. 2.あなたの会社の情報が漏洩したら?

  3. 3.正しく恐れるべき脅威トップ5を事例付きで
    •  3-1.ランサムウェアによる被害
    •  3-2.標的型攻撃による機密情報の窃取
    •  3-3.テレワーク等のニューノーマルな働き方を狙った攻撃
    •  3-4.サプライチェーンの弱点を悪用した攻撃
    •  3-5.ビジネスメール詐欺による金銭被害
    •  3-6.内部不正による情報漏洩

  4. 4.情報漏洩事件・被害事例一覧

  5. 5.高度化するサイバー犯罪
    •  5-1.ランサムウェア✕標的型攻撃のあわせ技
    •  5-2.大人数で・じっくりと・大規模に攻める
    •  5-3.境界の曖昧化 内と外の概念が崩壊

  6. 6.中小企業がITセキュリティ対策としてできること
    •  6-1.経営層必読!まず行うべき組織的対策
    •  6-2.構想を具体化する技術的対策
    •  6-3.人的対策およびノウハウ・知的対策

  7. 7.サイバーセキュリティ知っ得用語集

無料でここまでわかります!
ぜひ下記より会員登録をして無料ダウンロードしてみてはいかがでしょうか?

無料会員登録はこちら

SNSでもご購読できます。