サイバーセキュリティーサービスの比較・資料請求サイト|中小企業向けのセキュリティ対策を考える「サイバーセキュリティ」に関する情報メディア。日本の中小企業の情報を守るため、最新のセミナー・人材育成・製品・中小企業向けのセキュリティ対策を考えるサイバーセキュリティ情報サイトです。

最恐のマルウェア「EMOTET」の感染被害を調査する方法を徹底解説



※この記事は2021年11月に更新されています。

EMOTET(エモテット)とは、「なりすましメール」を通じて感染するマルウェア(安全上の脅威となる悪意あるソフトウェア)の一種です。これまで数多くのサイバー犯罪に使われ、EMOTETに感染したことが原因で「約1億円もの被害にあった」「5億円を超える身代金を要求された」といった事例もあるほど危険なマルウェアです。日本では法人を中心に2019年10月から感染被害が爆発的に急増しました。

2021年5月、EMOTETはテイクダウン(停止措置)されましたが、2021年11月ごろから、再び被害が確認されるようになりました。多くの被害を生んだEMOTETですが、その前例から予防法や、感染した後の対処について、事前に知っておくことが重要です。

そこで今回は「EMOTETで想定される被害事例」から“EMOTETに感染してしまった”後の原因究明・犯罪捜査・法的紛争などに活用できる「感染被害の調査方法」まで徹底解説いたします。

EMOTETとは

EMOTETは、感染させた筐体の情報の窃取・悪用だけでなく、他のマルウェアへの感染リスクを増加させるなど、非常に悪質なマルウェアの一種です。2021年5月に被害は終息したものの、2021年11月から、再び被害が確認されています。EMOTETは以下のような特徴を持っています。

  • 強い感染拡大能力
  • 従来のセキュリティソフトでの検知を回避する潜伏能力
  • 他のマルウェア(ランサムウェアなど)への感染リスクを増加させる

このような特徴を持つEMOTETはどのような被害を生むのでしょうか。

EMOTETによる被害

EMOTETによる被害は、次の4つが代表的です。

  • 情報漏洩の被害を受ける
  • ランサムウェアなど、他のマルウェア感染リスクが拡大する
  • 同一ネットワーク内で自己増幅する
  • 第三者攻撃への踏み台にされる

情報漏洩の被害を受ける

EMOTETには、感染した筐体内にある情報を盗み取るマクロが仕込まれています。そのため、感染した場合は、認証情報や筐体に保存されているファイルなどが自動的に攻撃者に送信されてしまいます。

攻撃者はその情報を公開・売買など悪用することで、被攻撃者への被害を生みます。

ランサムウェアなど、他のマルウェア感染リスクが拡大する

EMOTETは、その攻撃痕跡を隠蔽するために、筐体に保存されているデータの破壊をする別のマルウェアや、さらなる金銭や情報の搾取をするためにランサムウェアに感染させやすいよう、感染筐体に脆弱性を残す場合があります。

実際にEMOTET感染後、駆除まで完了したのにも関わらず、EMOTETが残した脆弱性が影響してランサムウェアに感染したケースもあるので、十分な調査・対応が必要です。

同一ネットワーク内で自己増幅する

EMOTETは、同一ネットワーク内で自己増殖するワーム機能が備わっています。そのため、感染端末が社内共有のWi-Fiに接続をしてしまうと、社内で爆発的な感染拡大が起こります。

さらに、EMOTETは定期的なアップデートが行われているためEDR等を導入していても、感染拡大をする可能性は十分にあります。脆弱性を修正するOSアップデートが発表されたタイミングでもEMOTETは感染拡大をしてしまうので、ネットワーク内で1台でも感染が判明した段階でネットワーク全体を調査(ファストフォレンジック)することが必要です。

第三者攻撃への踏み台にされる

攻撃者は、EMOTETで窃取した連絡先情報などから、正規のやり取りを装い第三者へEMOTET感染トリガーであるメールを送ります。そのため、自身が被害者だけでなく加害者となってしまう場合があります。

また、法人の場合、企業の信用失墜などにも繋がりかねないので、感染調査を行い説明責任を果たす必要があります。

主な感染経路

画像引用IPA

主な感染ルートは、上記で説明した、取引先などを装った「なりすましメール」によるものが大半です。

まず、画像のようなWordやExcelファイルなどが添付されたメールが届きます。この際、送り主は取引先や会社の人間等、実際にやり取りをしている相手であるため、警戒することなくファイルを開いてしまう可能性があります。添付されたファイルを開封し、コンテンツの有効化をしてしまうと、マクロが起動しEMOTETに感染してしまいます。

なお、EMOTETのように「なりすましメール」を用いるサイバー攻撃は「標的型攻撃」と呼ばれ、これは情報処理推進機構(IPA)が公表している「情報セキュリティ 10大脅威 2021(組織)」で2位に選ばれています。

感染までの流れ-まとめ-
  1. 既にEMOTETに感染している取引先や会社の人間から、WordやExcelなどのファイルが添付されたメールが届く
  2. ファイルを開封し、コンテンツを有効化するとマクロが起動する
  3. 起動したマクロによって、EMOTETがダウンロードされる(EMOTET感染)

日本国内におけるEMOTETの被害事例

2019年11月27日時点でEMOTETの感染が確認された国内の組織は、約400組織でした。しかし、2020年2月7日時点でEMOTETへの感染が確認された国内の組織は、約3200組織を超え、たった2ヶ月強で8倍を数える驚異的な感染拡大力が浮き彫りになりました。

以下に被害事例をいくつか紹介します。

企業名 被害内容
首都大学東京 感染したPC内のメール18,843件が流出
NTT西日本 感染したPC内のメールアドレス1343件が流出
関西電力 感染したPC内のメールアドレス3418件メール125件が流出
株式会社ひらまつ PC2台に感染し、280名の個人情報が流出
亀屋良長株式会社 感染したPC内の個人情報最大18,000名が流出
サンビット株式会社 感染したPC内のメール17,149件、メールアドレス861件が流出
アサヒ産業株式会社 社内の全PCに感染の疑いがあり、社内外に大量の不審メールが送信されていた

EMOTETの感染・被害を防ぐ方法

万が一感染してしまうと、甚大な被害の出るEMOTETですが、感染しないためには何ができるのでしょうか。

  • 不審なメールは開かない
  • WordやExcelの「マクロの自動実行」を無効化しておく
  • セキュリティ製品の導入

不審なメールは開かない

EMOTET感染は、添付されているファイルの開封を行われなければ発生しません。そのため、突然取引先から「契約内容が更新されました。今すぐご確認ください」「御社に関わる重要なデータ」などど言われた場合疑いを持つようにしましょう。

WordやExcelの「マクロの自動実行」を無効化しておく

WordやExcelの「マクロ自動化」を無効化にしておくことで、添付ファイルを開いてしまった場合にも備えることができます。正確には、ファイル内のマクロが起動することでEMOTETに感染するため、そのマクロの自動化を無効にしておくことが重要です。

画像引用IPA

この設定を有効化していると、添付されているファイルを開いてしまった場合に、上の画像のように「コンテンツの有効化」というボタンが現れます。このボタンを押すとマクロが許可されるため、「絶対に押さないでください」

セキュリティ製品の導入

セキュリティ製品は、大きく分けると「入口対策」「内部対策」「出口対策」の3つに分類ができます。

  • 入口対策:マルウェアの感染自体を防ぐ目的。ファイアウォールなどが該当。
  • 内部対策:マルウェア感染拡大を防ぐ目的。サンドボックスなどが該当。
  • 出口対策:マルウェア感染による情報漏洩を防ぐ目的。各企業による製品が存在。

理想的なセキュリティ対策は、入口から出口までのすべてを対策することですが、金銭面で難しい場合は、情報漏洩を防ぐ目的の出口対策製品を、最低限で取り入れましょう。

入口対策や内部対策では、マルウェア側を監視するため、新種のマルウェアが生成された際に対応ができません。出口対策では攻撃者が使用するサーバー(C2サーバー)を監視するので、入口・内部対策に比べ検知率が圧倒的に高いです。

EMOTET感染による被害調査を行う方法

万が一、EMOTETに感染してしまったことが発覚した場合、その被害や情報漏洩の有無を調査する必要があります。特に法人であった場合、情報漏洩の調査を行い、その被害状況を説明する責任があります。責任を全うしないことで、社会的信用の失墜取引停止などの2次被害を被ることになります。

マルウェア感染調査に対応している業者に相談する

EMOTETに感染したことが確認できた場合、マルウェア感染調査に対応している業者に相談してください。マルウェアの被害調査を個人で行うことは不可能に近いため、まずは業者への相談をしましょう。マルウェア感染調査に対応している業者では以下のような調査が可能です。

  • どのようなマルウェアに感染したのか
  • いつ、どのような経路で、どのくらいの規模で感染しているか
  • マルウェアによる情報漏洩の有無
フォレンジック調査
マルウェア感染調査には「フォレンジック調査」という方法が存在します。フォレンジックとは、スマホやPCなどの電子機器や、ネットワークに記録されているログ情報などを解析・調査することで、社内不正調査やサイバー攻撃被害調査に活用される技術のことです。別名「デジタル鑑識」とも呼ばれ、最高裁や警視庁でも正式な捜査手法として取り入れられています。

おすすめのマルウェア感染調査に対応している業者

マルウェア感染調査に対応している業者の中でも「スピード」と「実績」を重視して選定しました。

デジタルデータフォレンジック

公式HPデジタルデータフォレンジック

デジタルデータフォレンジックは、個人はもちろん、大手企業や警察からの依頼も多数解決しているため、実績・経験は申し分ないフォレンジック調査対応業者です。さらに、「Pマーク」「ISO27001」を取得しているため、セキュリティ面でも信頼がおけます。

相談から見積もりまで無料で行っているので、フォレンジック調査を検討している際は、まずは実績のあるデジタルデータフォレンジックに相談すると良いでしょう。

費用 ■相談から見積もりまで無料
※機器の種類・台数・状態によって変動
調査対応機器 RAID機器(NAS/サーバー)、パソコン(ノート/デスクトップ)、外付けHDD、SSD、USBメモリ、ビデオカメラ、SDカードなど
調査実施事例 警察からの捜査依頼(感謝状受領)、パスワード解除、ハッキング・不正アクセス調査、データ復元、マルウェア・ランサムウェア感染調査など
特長 大手企業や警察を含む累計14,233件の相談実績
■「Pマーク」「ISO27001」取得済のセキュリティ

デジタルデータフォレンジックのさらに詳しい説明は公式サイトへ

まとめ

今回は、マルウェアの中でも特に脅威的存在であるEMOTETについて解説しました。

EMOTETなどマルウェアによるインシデントが発生した場合、サイバー攻撃の証拠をつかむ手段として、不正アクセスやハッキングを調査する「フォレンジック調査」が有効です。ただし、本格的なフォレンジックは、セキュリティや法的手続に関する知識も求められるため、調査には時間やコストが必要です。

もし自社のみでフォレンジック調査を行うのが難しい場合は、専門業者に依頼するのがおすすめです。

ただし、フォレンジック業者に丸投げするのではなく「業者でやること」と「自社でやらなければならないこと」を明確にして、協力しながら調査を行うことが大切です。業務に与える影響なども考慮しながら、バランスの良いフォレンジック調査を行いましょう。

書籍「情報漏洩対策のキホン」プレゼント


当サイトへの会員登録で、下記内容の書籍「情報漏洩対策のキホン」3000円相当PDFプレゼント
(実際にAmazonで売られている書籍のPDF版を無料プレゼント:中小企業向け大企業向け

下記は中小企業向けの目次になります。

  1. 1.はじめに

  2. 2.あなたの会社の情報が漏洩したら?

  3. 3.正しく恐れるべき脅威トップ5を事例付きで
    •  3-1.ランサムウェアによる被害
    •  3-2.標的型攻撃による機密情報の窃取
    •  3-3.テレワーク等のニューノーマルな働き方を狙った攻撃
    •  3-4.サプライチェーンの弱点を悪用した攻撃
    •  3-5.ビジネスメール詐欺による金銭被害
    •  3-6.内部不正による情報漏洩

  4. 4.情報漏洩事件・被害事例一覧

  5. 5.高度化するサイバー犯罪
    •  5-1.ランサムウェア✕標的型攻撃のあわせ技
    •  5-2.大人数で・じっくりと・大規模に攻める
    •  5-3.境界の曖昧化 内と外の概念が崩壊

  6. 6.中小企業がITセキュリティ対策としてできること
    •  6-1.経営層必読!まず行うべき組織的対策
    •  6-2.構想を具体化する技術的対策
    •  6-3.人的対策およびノウハウ・知的対策

  7. 7.サイバーセキュリティ知っ得用語集

無料でここまでわかります!
ぜひ下記より会員登録をして無料ダウンロードしてみてはいかがでしょうか?

無料会員登録はこちら

SNSでもご購読できます。