サイバーセキュリティーサービスの比較・資料請求サイト|中小企業向けのセキュリティ対策を考える「サイバーセキュリティ」に関する情報メディア。日本の中小企業の情報を守るため、最新のセミナー・人材育成・製品・中小企業向けのセキュリティ対策を考えるサイバーセキュリティ情報サイトです。

最恐のマルウェア「EMOTET」に感染した?感染経路や被害調査の方法を徹底解説



※この記事は2022年6月に更新されています。

EMOTET(エモテット)とは、「なりすましメール」を通じて感染するマルウェア(安全上の脅威となる悪意あるソフトウェア)の一種です。これまで数多くのサイバー犯罪に利用され、日本国内においてもEMOTETに感染したことが原因で、企業の情報が漏えいした事件も多数報告されている非常に危険なマルウェアです。

  • EMOTETに感染したらどうなる?
  • 感染経路を確認する方法は?
  • EMOTETの駆除方法は?

今回はこのような疑問に答えるためEMOTETで想定される被害事例、EMOTETに感染してしまった後の原因究明、感染被害の調査方法を徹底解説いたします。

EMOTET(エモテット)とは

EMOTET(エモテット)は、2014年に初めて確認されたマルウェアです。当初はオンライン銀行のアカウント情報を不正入手する、バンキング型のトロイの木馬でした。その後、EMOTETは「金銭搾取」「認証情報の詐取」「サイバー犯罪者へのアクセス権の転売」などを目的に、強い感染拡大能力を持つ悪質なマルウェアへと変化していきました。


EMOTETの特徴

  • 「なりすましメール」を通じて拡散される
  • 他のマルウェア(ランサムウェア)への感染リスクを増加させる
  • ネットワークにつながっている別の端末にも感染被害を連鎖的に広げていく
  • 従来のセキュリティソフトでの検知を回避する潜伏能力がある

「なりすましメール」を通じて拡散される

EMOTET(エモテット)は、主になりすましメール」の添付ファイルを通じて感染を拡大させています。EMOTETに一度感染すると、端末に登録されているメールアドレスを介して、関係者や取引先にもスパムメールを拡散し、さらには同一ネットワークにある他の端末にも感染を広げます。

このような、拡散力の強いマルウェアを「ドロッパー」と呼びます。また、なりすましメールを用いたサイバー攻撃は「標的型攻撃」と呼ばれ、IPAによる情報セキュリティの10大脅威でも2位に選ばれています。

日本は世界各国と比較してEMOTET攻撃の犠牲になる可能性が130%も高いとの報告もあり、対策が必要です。

出典IPAAvast

EMOTET感染拡大の経緯

EMOTETは、国内では2019年に感染が確認され、その後何度も感染拡大を繰り返しています。


2019年10月以降:日本国内でも法人を中心に感染被害が報告される

2020年9月~11月:日本国内での感染被害が急増する

2021年5月:EMOTETのサイバー犯罪組織の拠点が制圧され、テイクダウンされる (停止措置)

2021年11月:再びEMOTETの感染被害が確認される

2022年2月:最盛期と同規模にまで感染被害が再拡大

2022年4月:「Microsoft Office」がなくても感染するEmotetの亜種が登場する

2022年6月:「Google Chrome」に登録されているクレジットカード情報を盗む手口が確認される


EMOTET(エモテット)による主な攻撃手口

EMOTETの攻撃手口は、盗み取ったメールから氏名・アドレス・内容の一部を流用し、過去にメールでやりとりをした相手や取引先などを装った「なりすましメール」によるものです。

まず、EMOTETは、画像のようなWordやExcelファイルなどが添付されたスパムメールを攻撃対象のユーザーに送信します。この際、送り主は取引先や会社の人間等、実際にやり取りをしている相手であるため、警戒することなくファイルを開いてしまう可能性があります。

添付されたファイルを開封し、「編集を有効にする」「コンテンツの有効化」をクリックしてしまうと、マクロが起動しEMOTETに感染してしまいます。

出典IPA

EMOTETの攻撃~感染までの大まかな流れ
  1. 既にEMOTETに感染している取引先や会社の人間から、WordやExcelなどのファイルが添付されたメールが届く
  2. ファイルを開封し、コンテンツを有効化するとマクロが起動する
  3. 起動したマクロによって、EMOTETがダウンロードされるEMOTET感染

なお、EMOTETの攻撃手法は「関係者を装う」という点は共通しているものの、感染誘導の手口はさまざまです。ここではいくつかの例を紹介します。

パスワードつきZIPファイルメールを悪用した攻撃メール

攻撃メールには、暗号化ZIPファイルとパスワードがよく添付されています。この場合、件名およびファイルには「請求書」「ドキュメント」「賞与支払」等というタイトルがつけられており、関係者からの返信を装います。

近年はセキュリティ対策の一環で、ZIPファイルのダウンロードはブロックされることがありますが、「パスワードつき」ということでセキュリティを突破し、「コンテンツの有効化」をクリックさせ、受信者にファイルを開かせようとします。クリックすると、瞬く間にEMOTETが拡散するので、安易に「コンテンツの有効化」をクリックするのは控えてください。

URLリンクを悪用した攻撃メール

EMOTETの感染手口の1つに、不正なサイトに遷移させ、悪意あるファイルをダウンロードさせる、というものがあります。IPAの報告では「賞与支払届」という件名のメールに記載されたリンクをクリックすると、不正なファイルが自動的にダウンロードされた、という事例が報告されています。これまで企業から「請求書」「ドキュメント」「賞与支払」などのメールが届いたことがない場合、リンクをタップせず、送り主に確認を取りましょう。

出典IPA

季節的・時事的なテーマを取り扱った攻撃メール

EMOTETは、取引先から送信されたメールを装うだけでなく、季節的・時事的なテーマを取り扱った題材を用いることがあります。代表例としては、年末年始にかけてのクリスマス行事や「新型コロナウイルス」への対応を装ったものメールです。いずれにせよ、見覚えのある相手からのメールでも、安易に「コンテンツの有効化」をクリックせず、少しでも不審を覚えたら、連絡を取るようにしましょう。

ショートカットファイルを悪用

これは2022年4月ごろから報告が相次いでいる攻撃ケースです。

これまでメールに添付されたEmotetは「.zip」もしくは「.xls」「.docx」でしたが、「.lnk」というショートカットファイルの拡張子を添付した攻撃が発見されました。これはダブルクリックするだけで、悪意あるスクリプトが実行されてしまう可能性があるので、絶対に実行しないでください。

出典IPA

Google Chromeからクレジットカード情報を窃取

2022年6月以降、Chormeブラウザに登録されているクレジットカード情報を盗み、窃取した情報を攻撃者のC&Cサーバーに転送する手口が急増しています。攻撃手口そのものは、ショートカットファイルの悪用、zipファイル付きのメール攻撃など、従来のものとはあまり変わりませんが、感染してすぐに金銭的被害に結びつく恐れが高いことから、これまで以上に警戒が必要です。

感染時にかぎらず、ブラウザ上に金銭情報・決済情報を登録することは極力控えておきましょう。

出典bleepingcomputer.com

EMOTET(エモテット)による被害例

EMOTETによる被害は、次の4つが代表的です。

  • 情報漏えいの被害を受ける
  • ランサムウェアなど、他のマルウェア感染リスクが拡大する
  • 同一ネットワーク内で自己増幅する
  • 第三者攻撃への踏み台にされる

情報漏えいの被害を受ける

EMOTETには、感染した筐体内にある情報を盗み取るマクロが仕込まれています。そのため、感染した場合は、認証情報や筐体に保存されているファイルなどが自動的に攻撃者に送信されてしまいます。

攻撃者はその情報を公開・売買など悪用することで、被攻撃者への被害を生みます。

ランサムウェアなど、他のマルウェア感染リスクが拡大する

EMOTETは、その攻撃痕跡を隠蔽するために、筐体に保存されているデータの破壊をする別のマルウェアや、さらなる金銭や情報の搾取をするためにランサムウェアに感染させやすいよう、感染筐体に脆弱性を残す場合があります。

実際にEMOTET感染後、駆除まで完了したのにも関わらず、EMOTETが残した脆弱性が影響してランサムウェアに感染したケースもあるので、十分な調査・対応が必要です。

同一ネットワーク内で自己増殖する

EMOTETは、同一ネットワーク内で自己増殖するワーム機能が備わっています。そのため、感染端末が社内共有のWi-Fiに接続をしてしまうと、社内で爆発的な感染拡大が起こります。

さらに、EMOTETは定期的なアップデートが行われているためEDR等を導入していても、感染拡大をする可能性は十分にあります。脆弱性を修正するOSアップデートが発表されたタイミングでもEMOTETは感染拡大をしてしまうので、ネットワーク内で1台でも感染が判明した段階でネットワーク全体を調査(ファストフォレンジック)することが必要です。

第三者攻撃への踏み台にされる

攻撃者は、EMOTETで窃取した連絡先情報などから、正規のやり取りを装い第三者へEMOTET感染トリガーであるメールを送ります。そのため、自身が被害者だけでなく加害者となってしまう場合があります。

また、法人の場合、企業の信用失墜などにも繋がりかねないので、感染調査を行い説明責任を果たす必要があります。

日本国内企業のEMOTET(エモテット)被害事例

日本では法人を中心に2019年10月から感染被害が爆発的に急増しました。EMOTETに感染したことが原因で「約1億円もの被害にあった」「5億円を超える身代金を要求された」といった事例も報告されています。

EMOTETは、2019年11月末時点での感染組織は国内で約400組織でしたが、たった2ヶ月強で約3,200組織を超えるなど、驚異的な感染スピードを見せつけました。その後、EMOTETは活動を停止しましたが、2021年11月から活動を再開させ、2022年2月以降は国内の大企業でも相次いで感染被害が公表されています。

以下に被害事例をいくつか紹介します。

企業名 被害内容
首都大学東京 感染したPC内のメール18,843件が流出
NTT西日本 感染したPC内のメールアドレス1343件が流出
関西電力 感染したPC内のメールアドレス3418件メール125件が流出
株式会社ひらまつ PC2台に感染し、280名の個人情報が流出
亀屋良長株式会社 感染したPC内の個人情報最大18,000名が流出
サンビット株式会社 感染したPC内のメール17,149件、メールアドレス861件が流出
アサヒ産業株式会社 社内の全PCに感染の疑いがあり、社内外に大量の不審メールが送信されていた
積水ハウスグループ 同社の一部端末が感染し、不審メールを送信
テスコム電機株式会社 同社グループ会社に所属する従業員の端末が感染し、情報流出
丸山製作所 同社従業員の端末が感染し、情報流出、不審メールを送信
株式会社エノモト 同社の一部端末が感染し、社内外に不審メールを送信
クラシエホールディングス株式会社 同社の一部端末が感染し、情報流出
株式会社ワコーレ 同社の一部端末が感染した影響で情報が流出

2022年4月から改正個人情報保護法が施行

企業がEMOTETに感染した場合、最大の問題点は「盗まれた個人情報が第三者に悪用される」または「周囲の関係者に感染を広げるという点です。

2022年4月には「改正個人情報保護法」が施行され、個人情報の取り扱いが更に厳格化されます。今回の改正で追加された「事業者の守るべき責務」は次の通りとなっています。


  1. 漏えい等が発生した場合、個人情報保護委員会への報告、および本人への通知が義務化される(従来は努力義務)
  2. ペナルティ(罰金)の強化
  3. 不正アクセスによる漏えいは件数を問わず、たとえ1件であっても本人への通知が義務化

とくに、法人による命令違反で課せられる罰金刑は、上限50万円から1億円以下に引き上げられます。今後、マルウェア感染については、被害企業にセキュリティ体制の不備・過失が認められる場合、取引先から損害賠償請求を受ける可能性もあります。

サイバー攻撃被害の公表を控える行為は許されない状況となり、対応総額も増加することから、マルウェア感染対策、および感染調査の体制整備を行うことが重要となります。

>>EMOTET感染時のおすすめの調査業者はこちら

EMOTET(エモテット)の感染・被害を防ぐ方法

万が一感染してしまうと、甚大な被害の出るEMOTETですが、感染しないためには何ができるのでしょうか。たとえば「氏名表示とメールアドレスに相違がある」などの識別方法もありますが、根本的な回避方法としては、次の3つがあります。

  • 不審なメールは開かない
  • WordやExcelの「マクロの自動実行」を無効化しておく
  • セキュリティ製品の導入

不審なメールは開かない

EMOTET感染は、添付されているファイルの開封を行われなければ発生しません。そのため、突然取引先から「契約内容が更新されました。今すぐご確認ください」「御社に関わる重要なデータ」などど言われた場合疑いを持つようにしましょう。

WordやExcelの「マクロの自動実行」を無効化しておく

WordやExcelの「マクロ自動化」を無効化にしておくことで、添付ファイルを開いてしまった場合にも備えることができます。正確には、ファイル内のマクロが起動することでEMOTETに感染するため、そのマクロの自動化を無効にしておくことが重要です。

画像引用IPA

この設定を有効化していると、添付されているファイルを開いてしまった場合に、上の画像のように「コンテンツの有効化」というボタンが現れます。このボタンを押すとマクロが許可されるため、絶対に押さないでください

セキュリティ製品の導入

セキュリティ製品は、大きく分けると「入口対策」「内部対策」「出口対策」の3つに分類ができます。

  • 入口対策:マルウェアの感染自体を防ぐ目的。ファイアウォールなどが該当。
  • 内部対策:マルウェア感染拡大を防ぐ目的。サンドボックスなどが該当。
  • 出口対策:マルウェア感染による情報漏えいを防ぐ目的。各企業による製品が存在。

理想的なセキュリティ対策は、入口から出口までのすべてを対策することですが、金銭面で難しい場合は、情報漏洩を防ぐ目的の出口対策製品を、最低限で取り入れましょう。

入口対策や内部対策では、マルウェア側を監視するため、新種のマルウェアが生成された際に対応ができません。出口対策では攻撃者が使用するサーバー(C2サーバー)を監視するので、入口・内部対策に比べ、検知率が圧倒的に高いです。

EMOTET(エモテット)感染による被害調査を行う方法

万が一、EMOTETに感染してしまったことが発覚した場合、その被害や情報漏洩の有無を調査する必要があります。特に法人であった場合、情報漏洩の調査を行い、その被害状況を説明する責任があります。責任を全うしないことで、社会的信用の失墜取引停止などの2次被害を被ることになります。

EMOTET(エモテット)の感染有無を「EmoCheck」で確かめる

JPCERT からリリースされている「EmoCheck」は、Emotetの感染チェックに特化したツールです。「EmoCheck」はソースコード共有サービス「ギットハブ」にて無料公開されており、誰でもダウンロードできます。なお、これは感染の有無を速やかに確かめるのには向いていますが、被害の調査は専門業者で行う必要があります。

マルウェア感染調査に対応している業者に相談する

EMOTETに感染したことが確認できた場合、マルウェア感染調査に対応している業者に相談してください。マルウェアの被害調査を個人で行うことは不可能に近いため、まずは業者への相談をしましょう。マルウェア感染調査に対応している業者では以下のような調査が可能です。

  • どのようなマルウェアに感染したのか
  • いつ、どのような経路で、どのくらいの規模で感染しているか
  • マルウェアによる情報漏洩の有無
フォレンジック調査
マルウェア感染調査には「フォレンジック調査」という方法が存在します。フォレンジックとは、スマホやPCなどの電子機器や、ネットワークに記録されているログ情報などを解析・調査することで、社内不正調査やサイバー攻撃被害調査に活用される技術のことです。別名「デジタル鑑識」とも呼ばれ、最高裁や警視庁でも正式な捜査手法として取り入れられています。

おすすめのEMOTET感染調査に対応している業者

EMOTETのようなマルウェア感染調査に対応している業者の中で「スピード対応」と「実績」が豊富な業者を選定しました。

デジタルデータフォレンジック

公式HPデジタルデータフォレンジック

デジタルデータフォレンジックは、個人はもちろん、大手企業や警察からの依頼も多数解決しているため、実績・経験は申し分ないフォレンジック調査対応業者です。さらに、「Pマーク」「ISO27001」を取得しているため、セキュリティ面でも信頼がおけます。

相談から見積もりまで無料で行っているので、Emotetの感染調査を検討している際は、まずは実績のあるデジタルデータフォレンジックに相談すると良いでしょう。

費用 ■相談から見積もりまで無料
※機器の種類・台数・状態によって変動
調査対応機器 NAS/サーバー機器(RAID対応)、パソコン(ノート/デスクトップ)、外付けHDD、SSD、USBメモリ、ビデオカメラ、SDカードなど
調査実施事例 警察からの捜査依頼(感謝状受領)、マルウェア・ランサムウェア感染調査、ハッキング・不正アクセス調査、パスワード解除、データ復元など
特長 大手企業や警察を含む累計14,233件の相談実績
■「Pマーク」「ISO27001」取得済のセキュリティ

デジタルデータフォレンジックのさらに詳しい説明は公式サイトへ

まとめ

今回は、マルウェアの中でも特に脅威的存在であるEMOTETについて解説しました。

EMOTETなどマルウェアによるインシデントが発生した場合、サイバー攻撃の証拠をつかむ手段として、不正アクセスやハッキングを調査する「フォレンジック調査」が有効です。ただし、本格的なフォレンジックは、セキュリティやガバナンスに関する知識も求められるため、調査には時間やコストが必要です。

もし自社のみでフォレンジック調査を行うのが難しい場合は、専門業者に依頼するのがおすすめです。

ただし、フォレンジック業者に丸投げするのではなく「業者でやること」と「自社でやらなければならないこと」を明確にして、協力しながら調査を行うことが大切です。業務に与える影響なども考慮しながら、迅速な対応を行うようにしましょう。

SNSでもご購読できます。