デジタル時代において、さまざまなサイバー攻撃が日増しに増大する中、Emotet(エモテット)と呼ばれるマルウェアが、特に危険なマルウェアの一つとして恐れられています。世界中で被害が確認されているEmotetとはいったいどのようなマルウェアなのでしょうか。
本記事では、Emotetの感染経路や脅威、最新の感染予防策について詳しくご紹介します。Emotetに対する理解を深め、セキュリティを向上させるのにお役立てください。
ページコンテンツ
Emotet(エモテット)とは?
近年、新種のマルウェアによる被害が世界中で発生しています。その中でも“最恐”とされ、多くの被害をもたらしているのが「Emotet」です。
Emotetは2019年11月にメディアで取り上げられ、日本国内への大規模なばらまき攻撃が増加し、急速に知名度を上げました。
2021年1月にテイクダウン作戦が成功したことによって、脅威は去ったかと思われましたが、2022年11月に活動再開が確認され、IPAをはじめ各処で注意喚起が行われています。現状は目立った報告は上がっていないものの、2023年以降も引き続きEmotetへの十分な警戒と対策が必要です。
Emotetは過去に送受信したメールアドレスや文面の情報を収集して、取引先や有名企業など正規のメールを装った「なりすましメール」に添付されているファイルを開くことで感染します。非常に感染力が強く、一度感染してしまうと感染端末をもとに社内外まで拡散を続けます。
また、Emotetの最大の特徴は、単に感染を広げるだけでなく、先兵のような役割で他のマルウェアを送り込むプラットフォームにもなってしまうことです。そのため非常に厄介なマルウェアであり、Windowsの被害を中心に世界中で拡散されています。
Emotet(エモテット)の感染経路
「Emotet」からの攻撃はメールから始まります。明らかに怪しいメールであれば無視や削除などの対応が取れますが、Emotetの場合は悪質かどうかを判別することは容易ではありません。
なぜなら、実在する相手の氏名やメールアドレスに加え、過去のメールの内容も引用された通常の業務メールと酷似したものが送付されてくるからです。そのようなメールに添付されたファイルやURLリンクなどを開くとマクロが実行され、Emotetに感染し、感染端末から企業内ネットワークへの拡散が始まります。
2022年には、ショートカットファイル(LNKファイル)を使った拡散が確認されており、この手法では、感染を狙ったメールに、細工したLNKファイルまたはこれを含めたパスワード付きZipファイルを添付し、受信者にファイルを実行させることで、Emotetに感染させます。添付ファイルやURLリンクだけでなく、今後はメールに添付されたパスワード付きのZIPファイル、ショートカットにも注意が必要です。
また、感染端末から窃取したメールタイトルに「RE:」をつけた、正規メールに対する返信に見せかけた形の攻撃メールも存在し、なりすましの手口が巧妙化しています。
通常の業務メールと酷似したEmotetの具体的なメール内容は以下でご紹介していますのでぜひご覧ください。
Emotet(エモテット)の被害が深刻化した理由
Emotetの被害が深刻化した理由は大きく2つあります。
Emotet本体に不正なコードがない
Emotetは、ウイルス対策ソフトに検知されないマクロ※の機能を悪用します。
例えば、添付ファイルでマクロの実行を促しており、気づかずに「コンテンツの有効化」を押すことでマクロが発動し感染してしまいます。Emotet本体には不正なコードがないため、ウイルス対策ソフトも検知ができず、一般的なマルウェアよりも感染しやすく、被害が深刻化しました。
Emotetを検知できるツールもありますが、万全ではありません。亜種を新たに作られてしまうと検知をすり抜けるケースが多くなるため安心することはできません。
※マクロ=複数の操作をまとめて呼び出す機能。
メールが巧妙に作られている
Emotetの厄介さは、違和感を覚えさせないほど巧妙なメールです。実在の人物や取引先とのやりとりを偽装しているため、受信者が違和感を覚えないほど自然な形であり、不正なメールであることの判別がつきにくくなっています。
2021年11月に行われたばらまき攻撃では、正規やりとりのメールタイトルに「RE:」をつけた、正規メールへの返信を装った形での攻撃が発生しました。
Emotet(エモテット)に感染するとどんな被害が出る?
Emotetに感染してしまった際に、まず起こる被害は「メール情報の詐取」です。
Emotetに感染すると、端末を利用しているユーザーのメールアドレスやアカウント情報、過去のメール履歴などが収集され、攻撃者へと送付されます。これらの情報を用いて関係者に攻撃を仕掛けることから、「社内・取引先へ拡散」する被害も発生します。
さらに、別のマルウェアやランサムウェアを勝手にダウンロードし感染させ、二次被害に発展してしまうケースもあります。Emotet感染による被害の詳細は、以下をご確認ください。
重要な情報が流出する
Emotetは、侵入と同時に情報窃取用のモジュールのダウンロードも行います。モジュールがダウンロードされると、認証情報やさまざまな機密情報が外部サーバに送信され、流出します。
他のマルウェアに感染する
Emotetは、感染した端末に他のマルウェアを侵入させるプラットフォームの役割も持ちます。そのためEmotet感染後は、コンピュータ内のデータを破壊するマルウェアや、情報や金銭などを取得する目的のランサムウェアに感染しやすくなります。
社内の他端末に伝染する
Emotetは「ワーム機能」と呼ばれる自己増殖機能を持っており、感染端末からネットワークを伝わって社内の他の端末にも伝染します。また、潜伏中も頻繁にアップデートも行われるため、OSの脆弱性を突いて組織内で爆発的に拡大する恐れもあります。
社外へEmotetを伝染する際の踏み台に利用される
窃取した連絡先やメール情報は、取引先や顧客へEmotet入りのメールを送信するのに利用されます。感染端末が増加するだけでなく、取引先や顧客へのばらまきメールが発生した場合には、顧客への注意喚起や補償対応が必要となり、企業のブランドイメージの低下や信用失墜につながります。
Emotet(エモテット)の被害事例
Emotetの被害は日本だけではなく世界中で多く確認されています。Emotetの被害事例をいくつかご紹介します。
取引先の担当者名で送られてきたメールで感染した事例
2023年3月、ある半導体・電子部品メーカーで、社員のパソコンがEmotetに感染し、個人情報等のデータ流失の疑いがあることが確認されました。
調査の結果、取引会社の担当者名で送られてきたメールに添付されていたZipファイルを開いたことが原因でした。情報流出の痕跡はなかったものの、当該パソコンから関係者のメールアドレスや本文が流出した可能性があるという認識にいたりました。
マイクロソフトのファイルを悪用した事例
2023年3月、独立行政法人情報処理推進機構(IPA)は、「Microsoft OneNote」形式のファイル(.one)を悪用した「Emotet」の新たな手口を発表しました。この手口では、攻撃メールに添付されたMicrosoft OneNote形式のファイルを開き、ファイル内に書かれた偽の指示に従って「View」ボタンに模した画像をダブルクリックすると、「View」ボタンの裏に隠されている悪意のあるファイルが実行され、Emotetに感染するというものです。
参照:Microsoft OneNote形式のファイルを悪用した攻撃(2023年3月17日)
もし感染したら?Emotet(エモテット)感染時の対応方法
万が一Emotetに感染していることが判明した場合には迅速な対応が必要です。主な手順は以下の通りです。
①関係各所へ連絡する
端末に保存されていた情報が漏えいした可能性があります。感染した端末内に保存されていたメール情報、および登録されているメールアドレスを確認し、Emotetの被害を受ける恐れのある関係者への注意喚起が必要です。
漏えいした連絡先が不特定多数の場合は、プレスリリースなどを利用し周知します。
②感染端末を隔離する
Emotetに感染した端末をネットワークから隔離し、感染の拡大を防ぎます。感染端末からLANケーブルを抜く、無線LAN接続を解除する、WiFiをオフにする、などの対応を行い、感染した端末をネットワークから物理的に切り離します。また、端末自体の電源も切っておきましょう。
③他のマルウェアに感染していないか確認する
Emotet は他のマルウェアに感染させる機能を持っているため、Emotet以外のマルウェアに感染していないかを調査する必要があります。Emotetは関係者へ大量のメールを送信するため、メールサーバのログや、ネットワークトラフィックのログから感染有無を確認できます。
- メールサーバのログ
外部宛の送信メールが大量に増えていないか、WordやExcel形式のファイル添付メールが大量に送信されていないかを見るようにしましょう。 - ネットワークトラフィックログ
1つの端末から「外部のIP アドレスの複数ポート」にアクセスしていないかを確認することで、感染有無を判断する指標となります。
④メールアドレスとパスワードを変更する
Emotetの感染時に使用していたメールアドレスや認証情報は窃取されている可能性が高いです。各メールアカウントや、Webブラウザに保存されていたパスワードなどは直ちに変更してください。
⑤全端末を調査する
Emotet は横断的侵害で、組織を横断して感染を広げる能力を持っています。添付ファイルを開いた端末だけでなく、社内ネットワークでつながっているすべての端末の感染状況も併せて調査が必要です。
横断的侵害には次の手法などが確認されており、該当する場合は感染が拡大している可能性があります。
- SMBの脆弱性(EternalBlue)の利用
- Windowsネットワークへのログオン
- 管理共有の利用
- サービス登録
Emotet(エモテット)の「感染有無」を確認するには
Emotetの感染は気づかない場合も多く、知らぬ間に情報が外部に流出してしまったという被害が起きています。このような事態に陥らないためにも、Emotetに感染していないか定期的に確認することが重要です。
- 関係者から怪しいメールが送られてきた際は、電話などで送信者に直接確認を取る
- 端末の自動起動設定に怪しいexeが登録されていないか確認する
- メールサーバのログを確認する
- ネットワークトラフィックログを確認する
- ウイルス対策ソフトでスキャンする
また、JPCERT/CC(一般社団法人JPCERTコーディネーションセンター)で紹介されている、Emotet の感染有無を確認できるツール「EmoCheck」でも感染有無を確認できます。
感染有無の確認方法については、下記記事でも詳しく紹介しています。
Emotet(エモテット)に感染しないための対策
コンピュータセキュリティの情報収集・インシデント対応の支援などを行っているJPCERT/CC(一般社団法人JPCERTコーディネーションセンター)では、Emotetの対処方法として下記6つの方法をご紹介しています。
<Emotetの侵入を防御する対策>
● 組織内への注意喚起の実施
● OS に定期的にパッチを適用
● 定期的なオフラインバックアップの取得
● 「マクロの自動実行」の無効化
● 「メールの監査ログ」の有効化
● 「マルウェア付きメールの検知」が可能なメールセキュリティ製品の導入
上記に加えておすすめの対策が、侵入されても感染させない仕組みの構築です。なぜなら従来の仕組みでは、侵入されてしまえば感染は防げないからです。侵入されても感染さない対策を施すことで、より強固なセキュリティ対策を実現できるだけでなく、感染後の対応にかかる時間も大幅に削減できます。
大興電子通信では「何も信頼しない」を前提に対策を講じるセキュリティ、ゼロトラストセキュリティを実現する「AppGuard」を提供しています。AppGuardは不正なアプリの起動防止やマルウェアの侵入経路とするアプリケーションのプロセスを監視する事で、マルウェアの感染防止に特化した製品です。
マルウェアによるシステム改ざんやそれによる不正アクセス等からパソコンを守り、個人情報の漏えいやファイルの破壊などの行為自体をさせないことが可能です。
AppGuardについては以下にてご紹介していますので、気になった方はぜひこちらもご覧ください。