最恐のマルウェア「EMOTET」に感染した?感染経路や被害調査の方法を徹底解説|サイバーセキュリティ.com

最恐のマルウェア「EMOTET」に感染した?感染経路や被害調査の方法を徹底解説



※この記事は2022年11月に更新されています。

Emotet(エモテット)とは、「なりすましメール」を通じて感染するマルウェア(安全上の脅威となる悪意あるソフトウェア)の一種です。これまで数多くのサイバー犯罪に利用され、日本国内においても企業の情報が漏えいした事件も多数報告されている非常に危険なマルウェアです。

  • Emotetに感染したらどうなる?
  • 感染経路を確認する方法は?
  • Emotetの駆除方法は?

今回はこのような疑問に答えるため、Emotetの手口や被害事例感染有無や被害実態を確認する方法を徹底解説いたします。

Emotet(エモテット)とは

Emotet(エモテット)とは、メールの添付ファイルを悪用した不正プログラムで、金銭や機密情報を盗み出すことを目的としています。大きな特徴は、次の5つです。

  • 「なりすましメール」を通じて拡散される
  • 添付ファイルが付いている(本文に添付ファイルのパスワードが書いてある)
  • 他のマルウェア(ランサムウェア)への感染リスクを増加させる
  • ネットワークにつながっている別の端末にも感染被害を連鎖的に広げていく
  • 従来のセキュリティソフトでの検知を回避する潜伏能力がある

とくに重要な特徴が「なりすましメール」を通じて拡散することです。なりすましメールには、取引先や関係者を装った本文が使われることが多く、あやまってメールを開封してしまうケースが後を絶ちません。

この際、マクロの自動実行が有効化されていると、添付ファイル(WordやExcel)を開いた時点で感染してしまいます。この際、過去にやり取りしたメール内容やメールアドレスを盗まれ、感染拡大を目的とするメールを勝手に送信されてしまいます。マクロの自動実行の無効化など、感染予防対策をあらかじめ取っておきましょう。

>>Emotet感染時のおすすめの調査業者はこちら

Emotet感染拡大の経緯

EMOTETは、国内では2019年に感染が確認され、その後何度も感染拡大を繰り返しています。

  • 2019年10月以降:日本国内でも法人を中心に感染被害が報告される
  • 2020年9月~11月:日本国内での感染被害が急増する
  • 2021年5月:Emotetのサイバー犯罪組織の拠点が制圧され、テイクダウンされる (停止措置)
  • 2021年11月:再びEmotetの感染被害が確認される
  • 2022年2月:最盛期と同規模にまで感染被害が再拡大
  • 2022年4月:「Microsoft Office」がなくても感染するEmotetの亜種が登場する
  • 2022年6月:「Google Chrome」に登録されているクレジットカード情報を盗む手口が確認される
  • 2022年11月:再びEMOTETの感染被害が確認される

Emotet(エモテット)の手口

Emotet(エモテット)の主要な手口は、主に次のとおりです。

  • 「なりすましメール」を通じて拡散される
  • パスワードつきZIPファイルメールを悪用した攻撃メール
  • URLリンクを悪用した攻撃メール
  • 季節的・時事的なテーマを取り扱った攻撃メール
  • ショートカットファイルを悪用したメール
  • Google Chromeからクレジットカード情報を窃取
  • Excelで偽の指示をおこなう

「なりすましメール」を通じて拡散される

Emotet(エモテット)は、主になりすましメール」の添付ファイルを通じて感染が拡大します。一度感染すると、端末に登録されているメールアドレスを介して、関係者や取引先にもスパムメールを拡散し、さらには同一ネットワークにある他の端末にも感染を広げます。

パソコンを大量のマルウェアに感染させるものは「ドロッパー」と呼ばれ、Emotetはマルウェアのプラットフォームとしての役割を持つといえるでしょう。また、なりすましメールを用いたサイバー攻撃は「標的型攻撃」と呼ばれ、IPAによる情報セキュリティの10大脅威では2位に選ばれています。なお、日本は世界各国と比較し、Emotet攻撃にあう可能性が130%も高いという報告もあり、感染予防対策が必要不可欠となっています。

出典IPAAvast

パスワードつきZIPファイルメールを悪用した攻撃メール

攻撃メールには、暗号化ZIPファイルとパスワードがよく添付されています。この場合、件名およびファイルには「請求書」「ドキュメント」「賞与支払」等というタイトルがつけられており、関係者からの返信を装います。

近年はセキュリティ対策の一環で、ZIPファイルのダウンロードはブロックされることがありますが、「パスワードつき」ということでセキュリティを突破し、「コンテンツの有効化」をクリックさせ、受信者にファイルを開かせようとします。クリックすると、瞬く間にEmotetが拡散するので、安易に「コンテンツの有効化」をクリックするのは控えてください。

URLリンクを悪用した攻撃メール

Emotetの感染手口の1つに、不正なサイトに遷移させ、悪意あるファイルをダウンロードさせるものがあります。

IPAの報告では「賞与支払届という件名のメールに記載されたリンクをクリックすると、不正なファイルが自動的にダウンロードされた」という事例が報告されています。これまで企業から「請求書」「ドキュメント」「賞与支払」などのメールが届いたことがない場合、リンクをタップせず、送り主に確認を取りましょう。

出典IPA

季節的・時事的なテーマを取り扱った攻撃メール

Emotetは、取引先から送信されたメールを装うだけでなく、季節的・時事的なテーマを取り扱った題材を用いることがあります。代表例としては、年末年始にかけてのクリスマス行事や「新型コロナウイルス」への対応を装ったものメールです。いずれにせよ、見覚えのある相手からのメールでも、安易に「コンテンツの有効化」をクリックせず、少しでも不審を覚えたら、連絡を取るようにしましょう。

ショートカットファイルを悪用したメール

これは2022年4月ごろから報告が相次いでいる攻撃ケースです。

これまでメールに添付されたEmotetは「.zip」もしくは「.xls」「.docx」でしたが、「.lnk」というショートカットファイルの拡張子を添付した攻撃が発見されました。これはダブルクリックするだけで、悪意あるスクリプトが実行されてしまう可能性があるので、絶対に実行しないでください。

出典IPA

Google Chromeからクレジットカード情報を窃取

2022年6月以降、Chormeブラウザに登録されているクレジットカード情報を盗む攻撃が急増しました。攻撃手口そのものは、ショートカットファイルの悪用、zipファイル付きのメール攻撃など、従来のものとはあまり変わりませんが、感染してすぐに金銭被害に結びつく恐れが高い攻撃であることから、これまで以上に警戒が必要です。ブラウザに金銭情報・決済情報を登録することは極力控えておきましょう

出典bleepingcomputer.com

Excelで偽の指示をおこなう

これは2022年11月ごろから報告が相次いでいる攻撃ケースです。これまでの攻撃手口は「コンテンツの有効化」を促すという内容でしたが、新たな手口として、特定のフォルダにExcelをコピーし、開封を促す内容に変化しました。この場合、マクロ機能を無効化していても、強制実行されてしまいますので、怪しい指示には従わないようにしてください。

Emotet(エモテット)感染有無や被害実態を確認する方法

Emotet感染有無や被害実態を確認する方法は次の5つです。

  • Emotetの感染有無を「EmoCheck」で確かめる
  • なりすまされた本人へのヒアリング
  • メールサーバーのログを確認
  • トラフィックログを確認
  • マルウェア感染調査に対応している業者に相談する

もし、Emotetに感染していたことが発覚した場合、その感染経路や被害範囲を特定し、被害規模や情報漏えいの有無を調査する必要があります。特に法人であった場合、被害状況を説明する責任があります。もし企業としての社会的責任を全うしないと、信用の失墜取引停止などの二次的被害を被ることになりますので、注意してください。

Emotetの感染有無を「EmoCheck」で確かめる

emocheck

「EmoCheck」はJPCERTが開発し、ソースコード共有サービス「ギットハブ」で無料公開されている、Emotet感染チェックツールです。このツールは、感染の有無を速やかに確かめる際、非常に有効なものとなります(EmoCheckの実行手順はこちら)。

もしEmotetの感染が確認された場合、 「Emotetのプロセスが見つかりました」と表示されます。この際、Emotetの駆除をおこなう必要がありますが、その前に、どのような被害を被ったかについて専門業者の専門的知見をもとに、正確に調査する必要があります。

「駆除作業に自信がない」「Emotetの感染経路や被害範囲を正確に特定したい」という方は、あらかじめEmotetの感染被害調査に対応した専門業者まで対応を依頼するようにしましょう。

Emotetの感染被害調査に対応したおすすめの専門業者はこちら>

なりすまされた本人へのヒアリング

添付ファイル付きの不審なメールが届いた場合、送信者本人にヒアリングを行うのが、確実な方法です。この場合、相手も自身のメールがEmotetに悪用されていると気づいていないことが多く、相手にヒアリングを行うのは、両者のためにもなります。

メールサーバーのログを確認

Emotetに感染すると、膨大なスパムメールが関係者や取引先に送信されます。よって、送信メールが大量に増えていないか、メールサーバの送受信ログを確認しておきましょう。

トラフィックログを確認

トラフィックログを確認することで、外部への通信を把握することができます。ひとつの端末から外部のIP アドレスに対して不自然なアクセスが発生していないか、確認しておきましょう。

Emotet(エモテット)の感染調査に対応している業者に相談する

Emotetに感染している恐れがある場合、マルウェア感染調査に対応している業者に相談してください。専門業者では「どのマルウェアに感染したのか」「いつ、どの経路で、どの規模で感染したか」「情報漏えい有無はないか」といったことを調査することが出来ます。

このようなマルウェア被害調査を個人で行うことは不可能に近いため、まずは業者への相談をしましょう。

Emotet調査の専門業者の実力を確実に見極めるためのポイントは次のとおりです。

上記の6つのポイントから厳選したおすすめランキング1位の業者が、デジタルデータフォレンジックです。

デジタルデータフォレンジック

デジタルデータリカバリー
公式HPデジタルデータフォレンジック

✔警視庁への捜査協力を含む、累計14,000件の相談実績
✔企業で発生しうるサイバーインシデント・人的インシデントの両方に対応
✔国際標準規格ISO27001/Pマークを取得した万全なセキュリティ体制
✔警視庁からの表彰など豊富な実績
✔11年連続国内売上No.1のデータ復旧技術を保有(※)
(※)第三者機関による、データ復旧サービスでの売上の調査結果に基づく。(2007年~2017年)

こちらのデジタルデータフォレンジックは、累積ご相談件数14,000件以上を誇る、対応件数で国内最大級のフォレンジック業者です。データ復元技術を活用した証拠復元から、マルウェア感染・情報漏洩・社内不正といった企業インシデントに対して、幅広くサービス展開しています。

Emotet(エモテット)による被害例

Emotetによる被害は、次の4つが代表的です。

  • 情報漏えいの被害を受ける
  • ランサムウェアなど、他のマルウェア感染リスクが拡大する
  • 同一ネットワーク内で自己増幅する
  • 第三者攻撃への踏み台にされる

情報漏えいの被害を受ける

Emotetには、感染した端末内にある情報を盗み取る機能が仕込まれています。

もし感染してしまった場合、パスワードなど個人情報や機密情報が外部に流出し、攻撃者が利用するC2サーバに不正送信される恐れが高く、このような機密情報はダークウェブ上で取引されるケースが後を絶ちません。そのため、Emotetの感染被害に遭った場合、ダークウェブ調査も並行して行う必要があります。

ランサムウェアなど、他のマルウェア感染リスクが拡大する

Emoteに感染すると、セキュリティホール(脆弱性)を開けられる恐れがあり、金銭や個人情報を盗むことに特化した「ランサムウェア」など別のマルウェアに感染するリスクが高まります。

実際にEmotet感染後、駆除まで完了したのにも関わらず、Emotetが残した脆弱性が影響してランサムウェアに感染したケースもあるので、駆除をおこなう前から十分な調査・対応が必要となります。

同一ネットワーク内で自己増殖する

Emotetは、同一ネットワーク内で自己増殖するワーム機能が備わっています。そのため、感染端末が社内共有のWi-Fiに接続をしてしまうと、社内で爆発的な感染拡大が起こります。

さらに、Emotetは定期的なアップデートが行われているためEDR等を導入していても、感染拡大をする可能性は十分にあります。脆弱性を修正するOSアップデートが発表されたタイミングでもEmotetは感染拡大をしてしまうので、ネットワーク内で1台でも感染が判明した段階でネットワーク全体を調査(ファストフォレンジック)することが必要です。

第三者攻撃への踏み台にされる

攻撃者は、Emotetをもとに盗み取ったメール情報などから、社内や取引先への感染拡大させようとします。そのため、自身が被害者だけでなく加害者となってしまう恐れがあります。場合によっては、企業の信用失墜などにもつながりかねないので、感染調査を取りこぼしなく正確に行ったうえで、説明責任を果たす必要があります。

Emotet(エモテット)調査会社を選ぶときのポイント

Emotetの調査会社を選ぶときのポイントは次の6つです。

なお、Emotetの感染調査では「フォレンジック調査」という技術が用いられます。これにより、スマホやPCなどの電子機器や、ネットワークに記録されているログ情報を解析、調査し、サイバー攻撃の被害実態を解明することができます。こうしたフォレンジックは、別名「デジタル鑑識」とも呼ばれ、最高裁や警視庁でも正式な捜査手法として取り入れられています。

実績がある

上場企業や警察・官公庁からの依頼実績があるかどうかも、業者の信頼性を判断する上で重要なポイントとなります。

多数の相談実績を持つ業者は、高度な技術力やノウハウ、データ復旧に関する知識が蓄積しており、膨大なデータベースから適切な方法を選択し、証拠データを抽出することが可能です。

スピード対応している

サイバーインシデントが発生した際、感染拡大や証拠隠滅を防ぐため、早急かつ正確に把握する必要があります。この際、24時間・365日営業している業者であれば、素早い対応を期待できるでしょう。

早急に原因を究明し、感染の原因となった端末を迅速に特定できる「ファストフォレンジック「DFIR(デジタルフォレンジック・インシデントレスポンス)」などにも対応したフォレンジック調査が可能である業者を選ぶのも、重要なポイントとなってきます。

なお、いつまでに対応が完了し、調査対象機器が手元に戻るのかは、相談時に事前確認したほうが良いでしょう。

セキュリティ体制が整っている

セキュリティ対策をしっかりと行っている業者では「プライバシーマーク」や「ISO認証」などの認定を得ています。これらの認定は、世界基準で規定されている厳しい調査をクリアした業者のみ習得できるもので、フォレンジック業者の信頼性を判断するポイントにもなります。

フォレンジック調査を依頼する際は、機器はもちろんその中に保存されているデータも業者側に一定期間預けることになりますので、大切なデータを安心して預けることができるセキュリティ体制が整っているかを確認するようにしましょう。

法的証拠となる調査報告書を発行できる

フォレンジック調査の報告書は、裁判所や行政機関に提出できる「法的証拠」として活用することが可能です。もし民事・刑事訴訟を視野に入れている場合は、あらかじめ法的証拠となる調査報告書を発行できるフォレンジック専門業者に対応を追依頼することを視野に入れておきましょう。

データ復旧作業に対応している

フォレンジック技術と、データ復旧技術は、両輪として活用されています。たとえば、対象となるデータやファイルがマルウェアによって削除されてることも多く、通常のアクセスが不可能ということも珍しくありません。そのような場合は、データ復元を行ったうえで、調査を行う必要があります。この際、適切に対応するには、データ復旧技術の実績をHP上に記載しているフォレンジック調査に対応を依頼することが重要となってきます。

費用形態が明確である

デジタルフォレンジックの費用は、調査する内容によって大きく変わります。作業にかかる手間や時間が大きく変わってくることが原因となります。 ただし、あとからどんどんと請求額が増えていく事は誰も望んでいないと思います。そのため、

目的とする調査がどの程度の価格が発生するのか依頼前に確認しましょう。基本的には「一律で費用が発生する」か、「ディスク自体の容量と調査内容で金額が決まる」というパターンが多いですが、暗号化や物理故障が関わってくると追加調査が必要な場合もあります。明確に調査したいことを決めておき、あらかじめ相談しておくことが重要です。

Emotet(エモテット)感染時、企業のとるべき対応とは?

2022年4月から改正個人情報保護法が施行

企業がEmotetに感染した場合、最大の問題点は「盗まれた個人情報が第三者に悪用される」または「周囲の関係者に感染を広げるという点です。

2022年4月には「改正個人情報保護法」が施行され、個人情報の取り扱いが更に厳格化されます。今回の改正で追加された「事業者の守るべき責務」は次の通りとなっています。


  1. 漏えい等が発生した場合、個人情報保護委員会への報告、および本人への通知が義務化される(従来は努力義務)
  2. ペナルティ(罰金)の強化
  3. 不正アクセスによる漏えいは件数を問わず、たとえ1件であっても本人への通知が義務化

とくに、法人による命令違反で課せられる罰金刑は、上限50万円から1億円以下に引き上げられます。今後、マルウェア感染については、被害企業にセキュリティ体制の不備・過失が認められる場合、取引先から損害賠償請求を受ける可能性もあります。

サイバー攻撃被害の公表を控える行為は許されない状況となり、対応総額も増加することから、マルウェア感染対策、および感染調査の体制整備を行うことが重要となります。

Emotet感染被害についての責任を追及される場合も

十分なセキュリティ対策を施していなかった結果、Emotetに感染し、取引先などにも「伝染」させてしまった場合、過失が認められると判断されると、損害賠償責任を負う可能性があります。また感染時、不適切な調査をおこなった結果、有用な対策が取れないとみなされた場合も同様に過失が認められる恐れがあり、注意が必要です。

おすすめのEmotet(エモテット)感染調査に対応している業者

Emotetのようなマルウェア感染調査に対応している業者の中で「スピード対応」と「実績」が豊富な業者を選定しました。

デジタルデータフォレンジック

デジタルデータフォレンジック
公式HPデジタルデータフォレンジック

デジタルデータフォレンジックは、個人はもちろん、大手企業や警察からの依頼も多数解決しているため、実績・経験は申し分ないフォレンジック調査対応業者です。フォレンジック調査に対応している業者では珍しく個人のハッキング調査にも対応している特長があります。さらに、「Pマーク」「ISO27001」を取得しているため、セキュリティ面でも信頼がおけます。

相談から見積もりまで無料で行っているので、フォレンジック調査を検討している際は、まずは実績のあるデジタルデータフォレンジックに相談すると良いでしょう。

費用 ■相談から見積もりまで無料
※機器の種類・台数・状態によって変動
調査対応機器 RAID機器(NAS/サーバー)、パソコン(ノート/デスクトップ)、外付けHDD、SSD、USBメモリ、ビデオカメラ、SDカードなど
調査実施事例 警察からの捜査依頼(感謝状受領)、パスワード解除、ハッキング・不正アクセス調査、データ復元、マルウェア・ランサムウェア感染調査など
特長 大手企業や警察を含む累計14,233件の相談実績
個人での調査依頼にも対応
■「Pマーク」「ISO27001」取得済のセキュリティ

デジタルデータフォレンジックのさらに詳しい説明は公式サイトへ

Emotet(エモテット)の感染・被害を防ぐ方法

万が一感染してしまうと、甚大な被害の出るEmotetですが、感染しないためには何ができるのでしょうか。たとえば「氏名表示とメールアドレスに相違がある」などの識別方法もありますが、根本的な回避方法としては、次の3つがあります。

  • 不審なメールは開かない
  • WordやExcelの「マクロの自動実行」を無効化しておく
  • セキュリティ製品の導入

不審なメールは開かない

Emotet感染は、添付されているファイルの開封を行われなければ発生しません。そのため、突然取引先から「契約内容が更新されました。今すぐご確認ください」「御社に関わる重要なデータ」などど言われた場合疑いを持つようにしましょう。

WordやExcelの「マクロの自動実行」を無効化しておく

WordやExcelの「マクロ自動化」を無効化にしておくことで、添付ファイルを開いてしまった場合にも備えることができます。正確には、ファイル内のマクロが起動することでEmotetに感染するため、そのマクロの自動化を無効にしておくことが重要です。

画像引用IPA

この設定を有効化していると、添付されているファイルを開いてしまった場合に、上の画像のように「コンテンツの有効化」というボタンが現れます。このボタンを押すとマクロが許可されるため、絶対に押さないでください

セキュリティ製品の導入

セキュリティ製品は、大きく分けると「入口対策」「内部対策」「出口対策」の3つに分類ができます。

  • 入口対策:マルウェアの感染自体を防ぐ目的。ファイアウォールなどが該当。
  • 内部対策:マルウェア感染拡大を防ぐ目的。サンドボックスなどが該当。
  • 出口対策:マルウェア感染による情報漏えいを防ぐ目的。各企業による製品が存在。

理想的なセキュリティ対策は、入口から出口までのすべてを対策することですが、金銭面で難しい場合は、情報漏洩を防ぐ目的の出口対策製品を、最低限で取り入れましょう。

入口対策や内部対策では、マルウェア側を監視するため、新種のマルウェアが生成された際に対応ができません。出口対策では攻撃者が使用するサーバー(C2サーバー)を監視するので、入口・内部対策に比べ、検知率が圧倒的に高いです。

日本国内企業のEmotet(エモテット)被害事例

日本では法人を中心に2019年10月から感染被害が爆発的に急増しました。Emotetに感染したことが原因で「約1億円もの被害にあった」「5億円を超える身代金を要求された」といった事例も報告されています。

Emotetは、2019年11月末時点での感染組織は国内で約400組織でしたが、たった2ヶ月強で約3,200組織を超えるなど、驚異的な感染スピードを見せつけました。その後、Emotetは活動を停止しましたが、2021年11月から活動を再開させ、2022年2月以降は国内の大企業でも相次いで感染被害が公表されています。

以下に被害事例をいくつか紹介します。

企業名 被害内容
首都大学東京 感染したPC内のメール18,843件が流出
NTT西日本 感染したPC内のメールアドレス1343件が流出
関西電力 感染したPC内のメールアドレス3418件メール125件が流出
株式会社ひらまつ PC2台に感染し、280名の個人情報が流出
亀屋良長株式会社 感染したPC内の個人情報最大18,000名が流出
サンビット株式会社 感染したPC内のメール17,149件、メールアドレス861件が流出
アサヒ産業株式会社 社内の全PCに感染の疑いがあり、社内外に大量の不審メールが送信されていた
積水ハウスグループ 同社の一部端末が感染し、不審メールを送信
テスコム電機株式会社 同社グループ会社に所属する従業員の端末が感染し、情報流出
丸山製作所 同社従業員の端末が感染し、情報流出、不審メールを送信
株式会社エノモト 同社の一部端末が感染し、社内外に不審メールを送信
クラシエホールディングス株式会社 同社の一部端末が感染し、情報流出
株式会社ワコーレ 同社の一部端末が感染した影響で情報が流出

まとめ

今回は、マルウェアの中でも特に脅威的存在であるEmotetについて解説しました。

Emotetなどマルウェアによるインシデントが発生した場合、サイバー攻撃の証拠をつかむ手段として、不正アクセスやハッキングを調査する「フォレンジック調査」が有効です。ただし、本格的なフォレンジックは、セキュリティやガバナンスに関する知識も求められるため、調査には時間やコストが必要です。

もし自社のみでフォレンジック調査を行うのが難しい場合は、専門業者に依頼するのがおすすめです。

ただし、フォレンジック業者に丸投げするのではなく「業者でやること」と「自社でやらなければならないこと」を明確にして、協力しながら調査を行うことが大切です。業務に与える影響なども考慮しながら、円滑に調査をおこないましょう。

SNSでもご購読できます。