EMOTET(エモテット)とは?特徴から危険性、対策方法まで徹底解説

EMOTETは、非常に感染力・拡散力が強いマルウェアの一種です。EMOTETは単体で動作するのではなく、あらゆるマルウェアを感染させる"プラットフォーム"としての役割を持ちます。EMOTETに感染することで、約1億円もの被害にあった事例もあるほど危険なマルウェアですが、具体的な特徴から危険性、対策方法に関して解説していきます。

EMOTET(エモテット)とは?

EMOTETはマルウェアの一種であり、2014年にはじめて確認されました。当時はオンラインバンクの認証情報を盗むバンキングトロジャンとしてのマルウェアでしたが、2017年ごろからは役割が大きく変わっています。現在のEMOTETは、さまざまなマルウェアの感染・拡散を行うマルウェアのインフラ・プラットフォームとして活動するように進化しました。時代の流れにあわせて形を変えながら動き続ける悪質なマルウェアとなっています。

EMOTETは単体で感染することは少なく、認証情報を盗み出すトロイの木馬や身代金を要求するランサムウェアと一緒に感染することが多いマルウェアです。EMOTETに感染するということは、あらゆるマルウェアに感染するリスクを含むことになります。

2018年夏には、アメリカの国土安全保障省から、EMOTETが企業に与える脅威について警告するセキュリティアドバイザリを公表されるほど、非常に危険視されているマルウェアです。

参照Alert(TA18-201A)Emotet Malware(米国土安全保障省-CISA)

EMOTET(エモテット)の特徴

EMOTETの大きな特徴は、次の3つです。

  • 非常に高い感染力、拡散力
  • さまざまなマルウェアを感染させるプラットフォーム
  • 感染先にあわせてアップデートされる

EMOTETの感染の始まりは、メールに添付されたOfficeファイルです。Officeのマクロ機能を使って、EMOTET本体となるファイルをC&Cサーバ(コマンド&コントロールサーバ)からダウンロードし、実行します。感染元のパソコンから、メールアドレスやさまざまなWebサービスのアカウント情報、パソコンに保存されているシステムのアカウント情報などを盗み出し、広範囲に渡って感染を広げようとします。

また、EMOTETは単体で感染することは多くありません。なぜなら、EMOTETを介してさまざまなマルウェアを感染させるからです。EMOTETの開発グループは、EMOTETを利用する他のサイバー犯罪グループからの2次的なペイロードを運ぶことで料金を徴収しており、サイバー犯罪ビジネスとして成り立っています。そのことからも、さまざまなマルウェアを感染させるプラットフォームとして機能してしまっているというわけですね。

参照The Evolution of Emotet: From Banking Trojan to Threat Distributor(Symantec)

一般的なマルウェアは、マルウェア本体に判定機能が持たされているため、セキュリティ管理者によって解析することで、対策を行うことが可能です。しかし、EMOTETはパソコンなどに感染すると、攻撃者の用意したC&Cサーバに情報を送り、C&Cサーバ上で感染先の情報を判定します。解析をされるようなパソコンには、EMOTETを解析されないように本体をインストールしません。解析されないようなパソコンと判定されると、最新のEMOTET本体をダウンロードしたり、目的に応じた部品(モジュール)をダウンロードしたりします。このように、感染先にあわせてアップデートする特徴を持っているのです。

EMOTET(エモテット)の被害事例

具体的にEMOTETの被害事例について紹介します。EMOTETの被害事例として有名なものと、国内での被害事例を一つずつ見ていきましょう。

米ペンシルバニア州アレンタウン市の事例

2018年2月に感染が確認されたこの事例では、約100万ドル(約1億円)もの被害額が出ています。政府のコンピュータに感染したEMOTETは、ログイン情報を盗みながら感染を広げていきました。最終的に市のネットワークの隅々にあらゆるマルウェアをダウンロードしたといいます。

一つの感染源から、ネットワーク全体へ感染が広がったことにより、インフラシステムを再構築しなければならなくなりました。

首都大学東京の事例

日本でも、つい最近感染が確認されました。2019年11月に起きた事例であり、1万8千件を超えるメール情報が流出した可能性があります。この感染事例では、大学教員をターゲットにした標的型のフィッシングメールに添付されたファイルを開封したことが原因です。

EMOTET(エモテット)の危険性

EMOTETの危険性は「感染力、拡散力の高さ」と「他のマルウェアへの感染」にあります。それぞれの危険性について、もう少し詳しく見ていきましょう。

横方向に感染が進んでしまう

EMOTETは、非常に感染力・拡散力が高いマルウェアです。感染したパソコンから、メールアドレスやWebサービスのログイン情報、社内ネットワークのログイン情報などを盗み出し、さらに感染源を広げようとします。

C&Cサーバと通信を行うことで、機能のアップデートができるため、C&Cサーバからダウンロードしたパスワードリストを使ったブルートフォース攻撃(総当たり攻撃)を実行した例も報告されています。アレンタウン市の事例にもあったとおり、最悪の場合はネットワーク全体へと感染が進んでしまうのです。

さらに強力なマルウェアに感染してしまう

現在のEMOTETは、EMOTET本体によって攻撃を行うというよりも、その他のさらに強力なマルウェアを感染させるプラットフォームとなっています。2018年には、バンキングトロジャンであるTrickBotやQbotと一緒に配布されており、高度なランサムウェアの一種であるBitPaymerとの関連性が指摘されていました。

感染力・拡散力の高さとあわせて、強力なマルウェアに感染するリスクを高める点が、EMOTETの危険性といえるでしょう。

EMOTET(エモテット)に感染しないための対策

非常に危険なEMOTETですが、感染しないためにはどのような対策を取ればよいでしょうか。ここでは、EMOTETに感染しないための対策を5つ紹介します。どれか1つだけではなく、すべての対策を取ることを意識しましょう。

セキュリティ対策ソフトで保護する

EMOTETに限らず、マルウェア感染によるセキュリティインシデントの発端となるパソコンは、セキュリティ対策ソフトで保護されていないことが多いものです。現代において、セキュリティ対策ソフトを導入していないパソコンは、裸で戦場を歩いているようなものであるといえます。

社内ネットワークにつながるすべてのパソコンはもちろんのこと、普段オフラインのパソコンなども対象です。ネットワークに接続する可能性があるパソコンは、全てセキュリティ対策ソフトで保護しましょう。

セキュリティパッチを適用する

EMOTETに感染することで、あらゆるマルウェアに感染するリスクが高まります。マルウェアの多くは、既知のぜい弱性を狙ったものであり、ぜい弱性をそのままにしておくことは非常にリスクが高い行為です。実際にぜい弱性を修正するためのセキュリティパッチを適用していなかったことで、マルウェアに感染した事例は多く存在しています。

Windowsでは、毎月定期的にセキュリティパッチを配布しています。セキュリティパッチの適用を面倒臭がって後回しにしている人も多いと思いますが、セキュリティパッチが配布されたら即座に適用することを心がけましょう。

Power Shellをあらかじめブロックする

EMOTETの実行には、PowerShellが利用されています。メールに添付されたファイルを開くことで、マクロの実行→コマンドプロンプトの実行→PowerShellの実行、という順番で実行され、C&Cサーバと通信を行うのです。

一般的にはPowerShellの利用は多くありません。そのため、PowerShellの実行をあらかじめブロックしておくことが対策として有効となります。実行ポリシーで制御すると、マルウェアによって変更される可能性があるため、管理者権限でPowerShell自体の起動をブロックするとよいでしょう。

標的型攻撃メール対策ソリューションを導入する

EMOTETの主な感染源はメールの添付ファイルです。標的型攻撃メールによる感染事例があることからも、標的型攻撃メール対策ソリューションは有効となります。

標的型攻撃メール対策ソリューションは、フィッシングサイトのURLチェックを行ったり、添付ファイルの解析を行ったりすることが可能です。EMOTETは、感染先が解析を行うようなパソコンである場合は、C&CサーバからEMOTET本体をダウンロードしないことからも、有効な手段となります。

まとめ

EMOTETは、もともとバンキングトロジャンとして登場しましたが、現在ではあらゆるマルウェアを感染させるプラットフォームとしてのマルウェアとなっています。非常に感染力・拡散力が強く、強力なマルウェア感染を手助けする存在であることから、非常に危険視されているものです。

EMOTETの主な感染源はメールの添付ファイルとなりますので、不審なメールの添付ファイルを開かない、URLをクリックしないということを、いま一度確認するとともに、この記事で紹介した対策方法を取って感染しないように気をつけましょう。

情報漏洩セキュリティ対策ハンドブックプレゼント

メルマガ登録で、下記内容の「情報漏洩セキュリティ対策ハンドブック」プレゼント

1.はじめに


2.近年の個人情報漏洩の状況


3. 内部要因による情報漏洩
3-1.被害実例
3−2.内部犯行による被害統計情報
3-3.内部犯行による情報漏洩が増え続ける3つの原因
3-4.内部犯行を減らすための対策


4. 外部要因による情報漏洩
4−1.近年の個人情報漏洩の状況
4−2.実際の近年のサイバー攻撃による企業の被害実例
4−3.サイバー攻撃の統計情報
4-4.サイバー攻撃がふえ続ける5つの原因
4-5.急増する日本の企業のWEBサイト改ざんへの対策
4-6.サイバー攻撃の種類を把握しよう
4-7.日本におけるサイバー攻撃に対する国の対応と今後
4-8.外部要因による情報漏洩のセキュリティ対策

無料でここまでわかります!
ぜひ下記より無料ダウンロードしてみてはいかがでしょうか?