近年ではEmotetと呼ばれるマルウェアの被害が急拡大しています。世界中で被害が確認されているEmotetとはいったいどのようなマルウェアなのでしょうか。
本記事では、Emotetの感染経路や脅威、その対策などについてご紹介します。
ページコンテンツ
最恐マルウェアEmotetとは
近年、新種のマルウェアによる被害が世界中で発生しています。その中でも“最恐”とされ、多くの被害をもたらしているのが「Emotet」です。
Emotetは過去に送受信したメールアドレスや文面の情報を収集して、取引先や有名企業など正規のメールを装った「なりすましメール」から感染します。非常に感染力が強く、一度感染してしまうと、社内外まで拡散を続けることから、Windowsの被害を中心に世界中で拡散されています。2019年~2020年にかけて流行し、一度収束したEmotetですが、2022年に再び感染が急拡大しているため、注意が必要です。
Emotetの最新手法として、ショートカットファイル(LNKファイル)を使った拡散が確認されています。この手法では、感染を狙ったメールに、細工したLNKファイルまたはこれを含めたパスワード付きZipファイルを添付し、受信者にファイルを実行させることで、Emotetに感染させます。
以下ではEmotetがどのような被害を招くマルウェアか、なぜこれほどまでに被害が拡大しているのかを詳しく解説しています。
とは?広がる危険性といま行うべき方法-120x120.png)
Emotetの感染経路
「Emotet」からの攻撃はメールから始まります。明らかに怪しいメールであれば無視や削除などの対応が取れますが、Emotetの場合は容易に判別することは難しいです。なぜなら、実在する相手の氏名やメールアドレスに加え、過去のメールの内容も引用されたメールが送付されてくるからです。
このようなEmotetの具体的なメール内容はどのようなものでしょうか。以下でご紹介していますのでぜひご覧ください。
感染したらどうなる?Emotetの脅威
Emotetに感染してしまった際に、まず起こる被害は「メール情報の詐取」です。
Emotetに感染すると、端末を利用しているユーザーのメールアドレスやアカウント情報、過去のメール履歴などが収集され、攻撃者へと送付されます。これらの情報を用いて関係者に攻撃を仕掛けることから、「社内・取引先へ拡散」する被害も発生します。さらに、別のマルウェアやランサムウェアを勝手にダウンロードし感染させ、二次被害に発展してしまうケースもあります。
近年報告されているEmotet以外のマルウェアやランサムウェアについては以下でご紹介していますので、情報収集としてご確認いただき、対策にお役立てください。
Emotetの被害事例
Emotetの被害は日本だけではなく世界中で多く確認されています。国内の某大学では、関係者の名前を騙る不審メールが大量に送付され、約1万8千件のメール情報が流出する被害が発生しています。
こちらの事例は以下からご確認いただけます。
Emotetに感染しないための対策
ご紹介したように、Emotetはメールを感染経路としています。したがって、Emotetに感染しないためには、従業員のセキュリティに関するリテラシー向上を目的とした「標的型メール訓練」を行うなどの対策が重要です。
標的型メール訓練の効果的な実施方法は以下でご紹介しています。
また、コンピュータセキュリティの情報収集・インシデント対応の支援などを行っているJPCERT/CC(一般社団法人JPCERTコーディネーションセンター)では、Emotetの対処方法として、以下6つの方法がご紹介されています。あわせてご確認ください。
- 組織内への注意喚起の実施
- OS に定期的にパッチを適用
- 定期的なオフラインバックアップの取得
- 「Word マクロの自動実行」の無効化
- 「メールの監査ログ」の有効化
- 「マルウェア付きメールの検知」が可能なメールセキュリティ製品の導入
Emotetの「感染有無」を確認するには
Emotetの感染は気づかない場合も多く、知らぬ間に情報が外部に流出してしまったという被害が起きています。このような事態に陥らないためにも、Emotetに感染していないか定期的に確認することが重要です。
ここでは、Emotetの感染有無を確認する5つの方法をご紹介します。
方法1. なりすましメールの送信者アカウントのユーザーにヒアリング
関係者から怪しいメールが送られてきた際は、電話などで送信者に直接確認を取るようにしましょう。その際には、不審なメールを受け取っていないか、怪しい添付ファイルを実行していないかを確認することが重要です。
方法2. 端末の自動起動設定に怪しいexeが登録されていないか確認
端末の起動時に実行するプログラムの中に怪しいものがまぎれていないかも確認するようにしましょう。スタートアップやタスクスケジューラなどに不審なexeがあった場合、Emotetなどのマルウェアに感染してしまっている恐れがあります。
方法3. メールサーバのログ確認
Emotetは関係者へ大量のメールを送信するため、メールサーバのログからも感染有無が確認できます。確認の際には外部宛の送信メールが大量に増えていないか、Word形式のファイル添付メールが大量に送信されていないかを見るようにしましょう。
方法4. ネットワークトラフィックログの確認
ネットワークトラフィックログを確認し、1つの端末から「外部のIP アドレスの複数ポート」にアクセスしていないかを確認することでも、感染有無を判断する指標となります。
方法5. ウイルス対策ソフトでスキャン
ウイルス対策ソフトでスキャンを実行することで、マルウェアを検知・駆除することができます。スキャンをする際にはウイルス対策ソフトのバージョンを最新にしてから実行することで、より正確な検知・駆除が可能です。
しかし、Emotetには「マルウェアフリー」といったウイルス対策ソフトでは検知困難な手法があるため、JPCERT/CC(一般社団法人JPCERTコーディネーションセンター)で紹介されている、Emotet の感染有無を確認できるツール「EmoCheck」の使用がおすすめです。
「EmoCheck」については以下で解説しています。ぜひご覧ください。
万が一感染したら・・・?Emotet感染時の対応方法
前述した方法によって、Emotetに感染していることが判明した場合には迅速な対応が必要です。まずは、感染が確認された端末をネットワーク環境から隔離し、証拠保全、および被害範囲の調査を実施しましょう。
そのうえで、感染端末で利用していたメールアカウントなどのパスワード変更や感染端末が接続していた組織内のネットワーク全端末のログ調査 (およびWindowsUpdate最新化、データのバックアップ取得など)を実施します。
Emotetに類似したマルウェア
併せて知っておきたいマルウェアとして、Emotetによく似た「IcedID」と呼ばれるものがあります。IcedIDもEmotetと同じく、メールを感染経路としていることに加え、他のマルウェアを二次感染させるなどの被害をもたらします。
IcedIDもEmotet同様、標的型メールへの対策を行うことが重要です。IcedIDについては以下からご覧ください。
侵入されても感染させない仕組みでEmotetによる被害を防ごう
EmotetやIced IDへの対策は本記事でご紹介したものがありますが、感染を事前に防御する仕組みがあれば、感染自体だけでなくその後の対応にかかる時間も大幅に削減できます。侵入されても感染さない対策を施すことで、より強固なセキュリティ対策を実現できます。
大興電子通信ではゼロトラストセキュリティを実現する「AppGuard」を提供しています。AppGuardは不正なアプリの起動防止やマルウェアの侵入経路とするアプリケーションのプロセスを監視する事で、マルウェアの感染防止に特化した製品です。
マルウェアによるシステム改ざんやそれによる不正アクセス等からパソコンを守り、個人情報の漏えいやファイルの破壊などの行為自体をさせないことが可能です。
AppGuardについては以下にてご紹介していますので、気になった方はぜひこちらもご覧ください。
マルウェアが動いても「感染させない」。
不正な動作をシャットアウトするゼロトラスト型エンドポイントセキュリティ
「AppGuard」については、下記よりご覧いただけます
