サイバーセキュリティーサービスの比較・資料請求サイト|中小企業向けのセキュリティ対策を考える「サイバーセキュリティ」に関する情報メディア。日本の中小企業の情報を守るため、最新のセミナー・人材育成・製品・中小企業向けのセキュリティ対策を考えるサイバーセキュリティ情報サイトです。

最恐のマルウェア「EMOTET」の感染被害を調査する方法を徹底解説

  • LINEで送る

EMOTET(エモテット)とは、「なりすましメール」を通じて感染するマルウェア(安全上の脅威となる悪意あるソフトウェア)の一種です。これまで数多くのサイバー犯罪に使われ、EMOTETに感染したことが原因で「約1億円もの被害にあった」「5億円を超える身代金を要求された」といった事例もあるほど危険なマルウェアです。日本では法人を中心に2019年10月から感染被害が爆発的に急増しました。

EMOTETから身を守るため、事前にセキュリティ対策をすることは必要不可欠ですが、EMOTETにはウイルス検知をすり抜けて拡散し続ける「ステルス機能」も搭載されており、その手口は非常に巧妙かつ狡猾です。セキュリティ対策を施しても「絶対安全」はありません。もし、EMOTETに感染して「セキュリティ・インシデント」が発生してしまった場合、どうしたら良いのでしょうか。

そこで今回は「EMOTETで想定される被害事例」から“EMOTETに感染してしまった”後の原因究明・犯罪捜査・法的紛争などに活用できる「感染被害の調査方法」まで徹底解説いたします。

EMOTETとは

EMOTETの大きな特徴は、次の3つです。

  • 非常に高い感染力と拡散力
  • さまざまなマルウェアを感染させるプラットフォーム
  • 感染先のパソコンにあわせてインストールする

これらの特徴について、以下に詳しく解説していきます。

EMOTETの歴史

EMOTETは2014年に初確認され、時代の流れにあわせて形を変えながら動き続ける非常に悪質な「自己拡散型マルウェア」です。

当初は「バンキング型トロイの木馬」(オンライン銀行詐欺ツール)の役割を担っていましたが、2017年ごろから、さまざまなマルウェアの感染・拡散を行う「マルウェアの運び屋」(あるいはマルウェアのプラットフォーム・インフラ)へと進化しました。たとえば、認証情報を盗み出す「トロイの木馬」や身代金を要求する「ランサムウェア」などのマルウェアを取引先に自動で感染・拡散させてしまいます。

さらに、2018年頃からは「EMOTETの開発グループ」が「サイバー犯罪集団」と共謀し、一般のユーザーから法人をターゲットに、金銭窃取を目的とした「サイバー犯罪ビジネス」(アンダーグラウンドビジネス)を展開するようになりました。

2018年夏にはアメリカの国土安全保障省が「州、地方政府、民間企業、公的機関に重大な脅威を与える最も破壊的なマルウェアの1つ」とEMOTETについて警告するなど、非常に危険視される存在となっています(原文)。

主な感染経路

主な感染ルートは「なりすましメール」に添付されたWordなどのOfficeファイルです。

もし「なりすましメール」を実行し、Officeのマクロ機能(複数の操作をまとめて呼び出す機能)を有効化すると「C&Cパソコンサーバ」(マルウェアへの攻撃命令、情報収集、マルウェア配布などを遠隔で行う司令塔サーバのこと。正式名称はコマンド&コントロールサーバ)から、自動的にEMOTETがダウンロードされ、あらゆるマルウェアに感染させられてしまいます。また、感染者の「メールアドレス」や「アカウント情報」などを盗み出し、自動生成した「なりすましメール」を取引先・関係先へと送信することで、さらに感染を広範囲に拡大させていきます。

なお、EMOTETのように「なりすましメール」を用いるサイバー攻撃は「標的型攻撃」と呼ばれ、これは情報処理推進機構(IPA)が公表している「情報セキュリティ 10大脅威 2020(組織)」の1位に選ばれています。

感染先を選ぶ狡猾さ

EMOTETは感染先にあわせる特徴を持っています。

たとえばEMOTETがパソコンに感染すると、C&Cサーバ上で感染者の情報を判定します。その際、もしサンドボックスのようなマルウェア解析ツールがある場合にはインストールされません。しかし「このパソコンでは解析されない」と分かるや否や、最新のEMOTET本体や目的に応じた部品(モジュール)をダウンロードするよう実行します。

EMOTETで想定される被害事例

EMOTETの危険性は次の2点に集約されます。

  • 感染力、拡散力の高さ
  • 他のマルウェアへの感染

それぞれの危険性と想定される被害について詳しく見ていきましょう。

横方向に感染が進む

EMOTETは、非常に感染力・拡散力が高いマルウェアです。感染したパソコンから、メールアドレスやWebサービスのログイン情報、社内ネットワークのログイン情報などを盗み出し、さらに感染源を広げようとします。

C&Cサーバと通信を行うことで、機能のアップデートができるため、C&Cサーバからダウンロードしたパスワードリストを使った総当たり攻撃(ブルートフォース攻撃)を実行した例も報告されています。最悪の場合はネットワーク全体へと感染が進んでしまうのです。

さらに強力なマルウェアに感染する

現在のEMOTETは、EMOTET本体によって攻撃を行うというよりも、その他のさらに強力なマルウェアを感染させるプラットフォームとなっています。

たとえばEMOTETに感染すると「トリックボット」(Windows Defenderを無効化するマルウェア)にも感染しやすくなり、さらに凶悪なランサムウェア(身代金要求型マルウェア)の「Ryuk」が展開されやすいという「連鎖攻撃」が典型となっています。

このように、感染力・拡散力の高さとあわせて、強力なマルウェアに感染するリスクを高める点が、EMOTETの危険性といえるでしょう。

日本国内におけるEMOTETの被害事例

2019年11月27日時点でEMOTETの感染が確認された国内の組織は、約400組織でした。しかし、2020年2月7日時点でEMOTETへの感染が確認された国内の組織は、約3200組織を超え、たった2ヶ月強で8倍を数える驚異的な感染拡大力が浮き彫りになりました。

2019年10月から2020年1月末までの間で感染被害が発覚した代表的な法人は以下の通りです。

2019/10/3 大阪大学
2019/10/24 神戸大学
2019/11/1 首都大学東京(現・東京都立大学)
2019/11/5 ニッポンレンタカー
2019/11/8 双葉電子工業
2019/11/12 イオン
2019/11/20以降 名古屋青果
2019/11/21 佐賀市観光協会
2019/11/25 京都市観光協会
2019/12/9 群馬中央病院
2019/12/10 行政管理研究センター
2019/12/11 横浜市立大学
2019/12/23 関西電力
2020/1/20 岐阜新聞社

EMOTETの被害を調査する方法

セキュリティソフトには限界がある

セキュリティ対策(入口対策)は必要不可欠ですが、セキュリティソフトのウイルス対策機能は、確実に限界を迎えつつあるといわれています。なお、EMOTETもセキュリティソフトで検知しにくいように、潜伏して悪意のある行為を働くため、実際に被害が出るまで気づくことが難しいといわれてます。

実際、シマンテック(現・ノートンライフロック)のブライアン・ダイ氏も「ウイルス対策ソフトの時代は終わった」「ウイルス対策ソフトが検知できるのは、攻撃全体の45%、残り55%の攻撃は防御できない」と発言しています(米紙『ウォール・ストリート・ジャーナル』2014年5月4日付)。

このように、セキュリティソフトが完全ではない以上「入口対策」だけではなく、セキュリティ・インシデント後の「サイバー攻撃の証拠保全・分析・調査」が必要不可欠となります。

EMOTETの被害調査には「フォレンジック調査」を

EMOTETなどマルウェアを用いた不法行為(不正アクセス・情報漏洩・なりすまし)が発覚した場合、あるいは「マルウェアで不正アクセスされたかもしれない!」「ハッキングによるデータの改竄や情報流出の有無を明らかにしたい!」と不安な場合は、すぐに被害調査を行う必要があります。

なぜなら、デジタルデータは、削除・複製・上書きが簡単に出来てしまうため、法的紛争などにおいて法的証拠を確保・保全しておくには、スピーディーかつ確実な調査を行う必要があるからです。

たとえば、サイバー犯罪を扱ったドラマでも「犯罪の証拠をログ解析で発見・追跡」「消された証拠データを復元して犯人を特定」するようなストーリーは、よく見られますが、このように「セキュリティ・インシデント」の原因を特定し、法的証拠となるデータを収集・分析・解析する作業を「フォレンジック調査」と呼びます。

ただし「フォレンジック調査」には非常に高度な技術や専門知識が要求されるので、自社で不正アクセスやハッキング調査を行うことが難しいときは、フォレンジックの専門業者へ相談してみるのも一つの手といえるでしょう。

フォレンジックについての詳細は、下記の記事で詳しく紹介しているので参考にしてみてください。
(2020年最新版)おすすめフォレンジック業者ランキングはコチラ

注意すべきポイント

セキュリティソフトでマルウェアを駆除してしまうと「どのような被害を受けたか」「何が盗まれたのか」「侵入経路はどこか」といった具体的な被害が分からなくなる恐れがあります。

きちんとした被害の実態を調査したいという方は、セキュリティソフトでマルウェアを駆除する前に、フォレンジック調査を行うことをおすすめします。

おすすめの専門業者

おすすめのフォレンジック調査会社として「デジタルデータフォレンジック」を紹介します。

デジタルデータフォレンジック


サイトデジタルデータフォレンジック

デジタルデータフォレンジックは国内売上No.1のデータ復旧業者が提供しているフォレンジックサービスです。

  • 端末、ネットワーク解析
  • 損害保険の鑑定業務
  • 各種インシデント対応
  • 警察への捜査協力
  • パスワード解除

マルウェア感染、不正アクセス、ハッキング調査など法人を対象とした社内インシデントに対応している専門性の高い業者であり、年中無休で無料相談も受け付けているため、突然のトラブルにもスムーズに対応することが出来ます。また警視庁からの捜査依頼実績も多数あることから実績面でも信頼ができ、費用面でも安心といえるでしょう。

費用 相談・見積り無料
調査対象 パソコン、スマートフォン、サーバ、外付けHDD、USBメモリ、SDカード、タブレット など
サービス 退職者調査、労働問題調査、社内不正調査、情報持出し調査、横領着服調査、ハッキング・不正アクセス調査、データ改竄調査、マルウェア・ランサムウェア感染調査など
特長 年中無休で無料相談が可能
11年連続国内売上No.1のデータ復元サービス
警視庁からの捜査協力依頼実績が多数あり

まとめ

今回は、マルウェアの中でも特に脅威的存在であるEMOTETについて解説しました。

EMOTETは、感染してから対処すると手遅れな場合も多いので、セキュリティソフトを導入して予防することをオススメします。

なお、EMOTETなどマルウェアによるインシデントが発生した場合、サイバー攻撃の証拠をつかむ手段として、不正アクセスやハッキングを調査する「フォレンジック調査」が有効です。ただし、本格的なフォレンジックは、セキュリティや法的手続に関する知識も求められるため、調査には時間やコストが必要です。

もし自社のみでフォレンジック調査を行うのが難しい場合は、専門業者に依頼するのがおすすめです。

ただし、フォレンジック業者に丸投げするのではなく「業者でやること」と「自社でやらなければならないこと」を明確にして、協力しながら調査を行うことが大切です。業務に与える影響なども考慮しながら、バランスの良いフォレンジック調査を行いましょう。

  • LINEで送る

情報漏洩セキュリティ対策ハンドブックプレゼント


メルマガ登録で、下記内容の「情報漏洩セキュリティ対策ハンドブック」プレゼント

1.はじめに


2.近年の個人情報漏洩の状況


3. 内部要因による情報漏洩
3-1.被害実例
3−2.内部犯行による被害統計情報
3-3.内部犯行による情報漏洩が増え続ける3つの原因
3-4.内部犯行を減らすための対策


4. 外部要因による情報漏洩
4−1.近年の個人情報漏洩の状況
4−2.実際の近年のサイバー攻撃による企業の被害実例
4−3.サイバー攻撃の統計情報
4-4.サイバー攻撃がふえ続ける5つの原因
4-5.急増する日本の企業のWEBサイト改ざんへの対策
4-6.サイバー攻撃の種類を把握しよう
4-7.日本におけるサイバー攻撃に対する国の対応と今後
4-8.外部要因による情報漏洩のセキュリティ対策

無料でここまでわかります!
ぜひ下記より無料ダウンロードしてみてはいかがでしょうか?


メルマガ登録はこちら

SNSでもご購読できます。