昨今猛威を振るう新種のマルウェア「Emotet(エモテット)」をご存じでしょうか。感染者の情報を盗み、そのデバイスを踏み台として他者への感染拡大を行う悪質な特徴があります。
本記事では、エモテットの攻撃の手口について触れ、具体的な対策法をご紹介します。
ページコンテンツ
いま再流行している、エモテットの脅威
情報処理推進機構(IPA)が2020年9月に公開した情報によると、エモテットが日本国内の企業の大きな脅威となっている様子が見て取れます。
IPAの情報セキュリティ安心相談窓口には9月1日~2日だけで23件の相談が寄せられたことが分かっており、急速な感染拡大が予想されているのです。 事実、大手メーカーや大手小売業の某社でもエモテットの感染が確認されており、情報流出や大量のなりすましメールの配信が起こっています。
この特徴から分かるように、エモテットの恐ろしい点は情報の搾取に加えて、他のウイルスへの感染のために悪用されていることです。
参考:ナレッジソリューションズ コーポレーション「情報セキュリティポータル」
このエモテットの対策をするためには、まずはエモテットの手口を理解しておく必要があります。
見分けがつかないから感染しやすい?エモテットの攻撃メールと手口
では、エモテットに感染するまでのプロセスはどのようなものなのでしょうか。ユーザーが直面する状況と合わせてみてみましょう。
エモテットの手口
エモテットの一番の特徴は、感染を狙う攻撃メールから始まることです。
実際にエモテットの被害にあった方からは次のような声が聞かれます。 「普段やり取りしている顧客から、変なメールが届いた」 「取引先に私がメールを大量送信していることが判明したものの、身に覚えがない」 このような証言からは、過去にメールのやり取りをしたことがある方の情報が悪用されていることが分かります。
実在の相手の氏名やメールアドレスに加えて、メールの内容の一部を引用することで、あたかも人間がやり取りしているかのようなメールをばら撒くことがエモテットの特徴なのです。既に感染したデバイスやその組織から収集された情報がもとになり次々と感染拡大が起こるため、ひとたび誰かが感染すれば一挙に悪循環が発生してしまうと考えられます。
どのようなメールが送られてくるのか
では、具体的にどのようなメールが送られてくるのでしょうか。IPAが公開したエモテットの攻撃メール例をみると、次のような特徴が読み取れます。
①新型コロナウイルスを題材とした攻撃メールの例
2020年1月に発見された「新型コロナウイルス」に関する情報を装う攻撃メールは、感染予防策を謳う Wordファイルが添付されたものでした。このWordファイルには悪意のあるマクロが仕込まれており、万が一、これを開いてしまうとエモテットに感染してしまう、という仕組みです。
②URLリンクを悪用した攻撃メールの例
2019年12月に見つかったエモテットの攻撃メールには、日本語のメール本文中に不正なURLリンクが記載されているものでした。このメールには「賞与支払届」という件名がついており、本文中に書かれたURLリンクをクリックすると、外部ウェブサイトに設置された不正なファイルがダウンロードされる仕組みです。
一見どちらも騙される恐れは少ないように思えますが、いずれも過去にメールのやり取りをしたことがある方から届いたものである点がポイントとなります。一度連絡を取り合ったことがある方や、同じ社内の従業員のメールアドレスを悪用することで、相手の心理的な隙をつくことがエモテットの狙いというわけです。
感染しないための必要な対策と感染後の対応は
では、エモテットへの感染を防ぐためには、どのような対処法が必要なのでしょうか。
コンピュータセキュリティ関連情報の発信などを行う団体「JPCERT/CC」によれば、次のような点が挙げられています。
- OS に定期的にパッチを適用
- 定期的なオフラインバックアップの取得
- 「Word マクロの自動実行」の無効化
- 「メールの監査ログ」の有効化
- 「マルウェア付きメールの検知」が可能なメールセキュリティ製品の導入
このようにみると、いずれも基本的なものばかりに思えるかもしれません。しかし、感染の予防や感染被害の最小化を行うためには、隙のない水際対策を重ねることが必須といえます。
OSのセキュリティホールなどの対策や覚えのない添付ファイルは開かない、といった基本を徹底することが重要です。
エモテットだけではない!これからのセキュリティ対策を考える
今回、エモテットの脅威についてご紹介しましたが、エモテットは多種多様なマルウェアの一つでしかなく、この他に新種のウイルスも発見されています。こうしたウイルスによる対策は、被害が拡大してから講じられることが多く、具体的な予防策を講じることはなかなか難しいものです。
では、実際に社内で感染が起こってしまった場合、日常業務を支障なく継続するためにはどのような対策が有効なのでしょうか。
ここで知っておきたい対処法が、「OSプロテクト型セキュリティ」の活用です。 OSプロテクト型セキュリティは、OS・レジストリといったデバイスの中枢機能に対して、「本来想定されていない動作をすべてシャットアウトする」という仕組みのセキュリティです。これにより、従来型の「検知型セキュリティソフト」では対処が難しかった新種のマルウェアへの対策を講じることができます。
OSプロテクト型のセキュリティについては、こちらのページで詳細を紹介していますので、ぜひご覧ください。
マルウェアが動いても「感染させない」。
不正な動作をすべてシャットアウトする新型セキュリティ「AppGuard」については、下記よりご覧いただけます。