昨今猛威を振るう新種のマルウェア「Emotet(エモテット)」をご存じでしょうか。感染者の情報を盗み、そのデバイスを踏み台として他者への感染拡大を行う悪質な特徴があります。本記事では、Emotetの攻撃の手口について触れ、具体的な対策法をご紹介します。
ページコンテンツ
いま再流行している、Emotetの脅威
【2021年12月 最新情報】
2019年から2020年にかけ、多くの企業・組織が被害に遭ったEmotetですが、2021年1月に欧州各国の連携によって包囲網が引かれ、封じ込めに成功したと考えられていました。しかし、2021年11月16日、情報処理推進機構(IPA)よりEmotetが活動を再開したと発表がありました。
国内でも攻撃メールによるEmotetへの感染が確認されています。過去にも、大手メーカーや大手小売業の某社でもEmotetの感染が確認されており、情報流出や大量のなりすましメールの配信が起こっているため、今後攻撃メールの大規模なばらまきに発展する可能性も考えられます。この特徴から分かるように、Emotetの恐ろしい点は情報の搾取に加えて、他のウイルスへの感染のために悪用されていることです。
参考:「Emotet(エモテット)」と呼ばれるウイルスへの感染を狙うメールについて
見分けがつかないから感染しやすい?Emotetの攻撃メールと手口
では、Emotetに感染するまでのプロセスはどのようなものなのでしょうか。ユーザーが直面する状況と合わせてみてみましょう。
Emotetの手口
Emotetの一番の特徴は、感染を狙う攻撃メールから始まることです。
実際にEmotetの被害にあった方からは次のような声が聞かれます。 「普段やり取りしている顧客から、変なメールが届いた」 「取引先に私がメールを大量送信していることが判明したものの、身に覚えがない」 このような証言からは、過去にメールのやり取りをしたことがある方の情報が悪用されていることが分かります。
実在の相手の氏名やメールアドレスに加えて、メールの内容の一部を引用することで、あたかも人間がやり取りしているかのようなメールをばら撒くことがEmotetの特徴なのです。既に感染したデバイスやその組織から収集された情報がもとになり次々と感染拡大が起こるため、ひとたび誰かが感染すれば一挙に悪循環が発生してしまうと考えられます。
どのようなメールが送られてくるのか
では、具体的にどのようなメールが送られてくるのでしょうか。IPAが公開したEmotetの攻撃メール例をみると、次のような特徴が読み取れます。
①新型コロナウイルスを題材とした攻撃メールの例
2020年1月に発見された「新型コロナウイルス」に関する情報を装う攻撃メールは、感染予防策を謳う Wordファイルが添付されたものでした。このWordファイルには悪意のあるマクロが仕込まれており、万が一、これを開いてしまうとEmotetに感染してしまう、という仕組みです。
②URLリンクを悪用した攻撃メールの例
2019年12月に見つかったEmotetの攻撃メールには、日本語のメール本文中に不正なURLリンクが記載されているものでした。このメールには「賞与支払届」という件名がついており、本文中に書かれたURLリンクをクリックすると、外部ウェブサイトに設置された不正なファイルがダウンロードされる仕組みです。
一見どちらも騙される恐れは少ないように思えますが、いずれも過去にメールのやり取りをしたことがある方から届いたものである点がポイントとなります。一度連絡を取り合ったことがある方や、同じ社内の従業員のメールアドレスを悪用することで、相手の心理的な隙をつくことがEmotetの狙いというわけです。
感染しないための必要な対策と感染後の対応は
では、Emotetへの感染を防ぐためには、どのような対処法が必要なのでしょうか。
コンピュータセキュリティ関連情報の発信などを行う団体「JPCERT/CC」によれば、次のような点が挙げられています。
- OS に定期的にパッチを適用
- 定期的なオフラインバックアップの取得
- 「Word マクロの自動実行」の無効化
- 「メールの監査ログ」の有効化
- 「マルウェア付きメールの検知」が可能なメールセキュリティ製品の導入
このようにみると、いずれも基本的なものばかりに思えるかもしれません。しかし、感染の予防や感染被害の最小化を行うためには、隙のない水際対策を重ねることが必須といえます。
OSのセキュリティホールなどの対策や覚えのない添付ファイルは開かない、といった基本を徹底することが重要です。
摘発により削除のアップデートが実施予定、しかし油断は禁物
2021年2月現在、欧州8カ国の警察が一斉摘発を実施し、Emotetを拡散した関係者が逮捕され、サーバーが押収されました。その後の対応として、オランダ警察より感染したコンピューターからEmotetを削除するアップデートが配信されるとのことです。
これにより、今後Emotetの脅威は徐々に排除されていくことになると思われますが、IcedIDといった、Emotet同様の手法を用いた攻撃が出始めていますので、油断せずに基本的な対策は継続して行う必要があります。
※出展:https://japan.cnet.com/article/35165702/
Emotetだけではない!これからのセキュリティ対策を考える
今回、Emotetの脅威についてご紹介しましたが、Emotetは多種多様なマルウェアの一つでしかなく、この他に新種のウイルスも発見されています。こうしたウイルスによる対策は、被害が拡大してから講じられることが多く、具体的な予防策を講じることはなかなか難しいものです。
では、実際に社内で感染が起こってしまった場合、日常業務を支障なく継続するためにはどのような対策が有効なのでしょうか。
ここで知っておきたい対処法が、「OSプロテクト型セキュリティ」の活用です。 OSプロテクト型セキュリティは、OS・レジストリといったデバイスの中枢機能に対して、「本来想定されていない動作をすべてシャットアウトする」という仕組みのセキュリティです。これにより、従来型の「検知型セキュリティソフト」では対処が難しかった新種のマルウェアへの対策を講じることができます。
OSプロテクト型のセキュリティについては、こちらのページで詳細を紹介していますので、ぜひご覧ください。
マルウェアが動いても「感染させない」。
不正な動作をすべてシャットアウトする新型セキュリティ「AppGuard」については、下記よりご覧いただけます。