Emotetとは。マルウェアとしての特徴や対策を解説

みなさんは、Emotet（エモテット）というマルウェアを聞いたことがありますか？

Emotetは、悪意のある攻撃者から送られた不正なメールに添付されたファイルから感染するマルウェアです。

2014年に発見されて以来、活動が広がった状態が続いており、現在も大きな問題となっています。

Emotetに感染すると、感染したPCが持っているメールアドレスやアカウントなどの大切な情報が抜き取られ、他所へ転送されてしまいます。

そして、攻撃者はそれらの情報を使って、さらに攻撃を繰り返します。

今回は、こうした危険なマルウェアであるEmotetについて概要や感染の仕組み、対策の方法などを解説します。

Emotetとは

まず、Emotet（エモテット）とはどのようなマルウェアなのか、概要や攻撃対象などについて見ていきましょう。

Emotetはどのようなマルウェア？

Emotetは、2014年に初めて発見されたマルウェアです。

2021.02.18

マルウェアとは。種類、感染防止策、検知方法をわかりやすく解説。

パソコンやスマートフォンなどを使っていると、ウイルスや迷惑メールなどさまざまなサイバー攻撃に遭う時があります。最近では、サイバー攻撃...

2019年ごろから急速に感染が拡大し、現在までに世界中で多数の被害が発生しています。

発見当初はトロイの木馬として動作し、金融系をターゲットとして不正にデータを取得するマルウェアでした。

現在では、さまざまなマルウェアを運んで感染を拡大させる「運び屋」のようなマルウェアへと変化しています。

Emotetの主な感染経路は、「なりすましメール」と呼ばれる赤の他人になりすまして送られる不正なメールです。

なりすましメールに添付されたファイルや、メール本文のリンクを開くことによって、感染が引き起こされます。

現在でもEmotetの感染と攻撃は拡大しており、国内でも警視庁をはじめJPCERT/CCやIPAなどの情報セキュリティ関連の専門機関などが注意を呼びかけています。

Emotetの攻撃対象とは

世の中に出回っているマルウェアは、「Windowsには感染するがLinuxには感染しないもの」、「スマートフォンやタブレットには感染するがPCには感染しないもの」など、攻撃対象が限られるものも多くあります。

Emotetの攻撃対象は、どうなっているのでしょうか。

JPCERT/CCによる情報では、Emotetの攻撃対象はWindowsのみであり、それ以外のOS(Mac OS, Linux, iOS, Android等)では確認されていないとのことです。

少なくとも現状では、Windows OSのみに感染すると考えて良いようです。

それでもデスクトップPCでは、Windowsを搭載しているものが非常に多く、脅威であると言えます。

Emotetは何が脅威なのか

Emotetの感染の広がりが続く中で、各セキュリティベンダーだけでなく、JPCERT/CCやIPAのような専門機関や警視庁も注意を促しています。

各機関が熱心に注意喚起を行う訳は、もちろん感染拡大が原因ですが、それに加えてEmotetの特徴にも要因があります。

どのような点が、Emotetの脅威なのでしょうか。

• • 不正なメールの内容が非常に巧妙である
  • なりすましメールで送られてくる
  • プログラムに不正なコードが少なく、検知しづらい

まるで知り合いから送られたメールのように内容が作りこまれていれば、添付ファイルやリンクを開いてしまう人も多いでしょう。

さらに検知しづらいとなると、感染の拡大が起こるのも理解できますよね。

Emotetでは、実際にメールを受信する利用者だけでなく、セキュリティ対策ソフトウェアや専門の担当者から見つかりにくくするための仕様が多く、「知らないうちに組織内に広がってしまう」「気づいたときには蔓延している」「手遅れになってしまった」といったケースが多くなっています。

Emotetの攻撃の仕組み

Emotetはメールの添付ファイルを通して利用者のPCに感染するのが一般的ですが、感染から情報の抜き取りや送信まではどういった仕組みになっているのでしょうか。

JPCERT/CCによると、Emotetの感染の仕組みは以下のような流れとなっています。

1. 1. ターゲット1である企業AにEmotetが進入する
   2. 企業Aでメールアドレスなどの情報を収集し、犯罪者に送る
   3. 企業Aになりますして企業Bにメールを送る
   4. ターゲット2である企業AにEmotetが進入する

これを延々と繰り返して次から次へと感染組織を増やしていくのが、Emotetの仕組みです。

Emotetの感染拡大が続く理由とは

Emotetは、2014年に発見されて以来、感染の広がりを見せています。

なぜ、長期間にわたって拡大傾向が続いているのでしょうか。

それには、先ほど触れたEmotetの怖さに原因があります。

たとえば「不正なメールの内容が非常に巧妙なものである」という点です。

不正に取得した情報を使って「知り合いからのメールのように見せかける」「新型コロナウイルス感染症の内容など、時節をとらえたメール」など、通常のメールと見分けるのが困難です。

また、プログラムの手口が少しずつ変化をしていくという点も挙げられます。

「マクロ等を使って不正ファイルのダウンロードをさせる」「正規サービスになりすましてユーザーにダウンロードさせる」などいろいろな方法が発見されています。

これらはいずれも対処の難しさ、検知の難しさに直結します。

Emotetによる被害事例

広がりを続けているEmotetによる被害ですが、今までにどのような企業や組織が被害を受けているのでしょうか。

ここで、具体的な被害事例についていくつか見ておきましょう。

＜ケース1:　NTT西日本＞

従業員が不審なメールの添付ファイルを開封したことにより感染し、1343件のメールアドレスが外部に流出してしまった。

＜ケース2:　京セラ＞

従業員のPCが感染した結果、メールアドレス、氏名、住所、電話番号などの情報が外部に流出してしまった。

＜ケース3:　理化学研究所＞

一部のPCが感染した結果、情報が流出してしまった。

これらのケースでは、外部に情報が流出しただけでなく、流出したアドレスになりすましてメールが送信されるという事態につながっています。

Emotetの被害はどうすれば防げる？

Emotetに感染すると、外部への情報の流出などの問題が発生する可能性があります。

では、感染と被害を防ぐためにはどのようにすれば良いのでしょうか。

一般的にマルウェア感染や不正アクセスを防ぐためには、以下のような手法が有効です。

• • セキュリティ対策ソフトウェアの導入と定義の自動更新
  • セキュリティ機器導入による防御

など

先ほど、Emotetの巧妙な手口について解説をしましたが、普通のメールとの見分けがつけにくいEmotetに対する対策は、個人でも気をつけて実施する必要があります。

大手セキュリティベンダーのトレンドマイクロでは、以下のような心がけを呼びかけています。

1. • 不審なメールや添付ファイルを開かない
   • Officeのマクロ機能を「無効」にしておく

Emotetは、不審なメールの添付ファイルから感染します。

おかしいと思ったら開封せずに消去しましょう。

また、Officeのマクロ機能が有効になっている場合、マクロ経由で感染するので無効にしておきましょう。

セキュリティ対策ソフトやセキュリティサービスでのシステムによる対策と、個人でできる心掛けの2つを行うことで、Emotetによる感染はかなり防ぐことができます。

Emotetによる感染の被害を起こさないためには、確実にこうした対策を実施することが大切です。

また、こうした被害を防ぐためには社内全体への注意喚起や、社員への情報セキュリティ教育といった日頃の啓発も非常に重要です。

2020.12.17

WAFとは。ファイアーウォールとの違い、目的別の選び方を解説

WebサイトやWebサービスを運用しているみなさん、WAF(Web Application Firewall)は導入していますか？近...

Emotetに感染してしまったら

どれほど注意をしていてもコンピューターウイルスに感染する可能性はゼロではありません。

Emotetでもそれは同じです。

もし、Emotetに感染してしまったらどうすれば良いのでしょうか？

Emotetに感染した場合に取るべき対処は、他のマルウェア等に感染した場合ともほぼ同じです。

対処の流れは以下の通りです。

＜感染したPCの利用者で行う対処＞

①感染したPCをネットワークから切り離す

有線ネットワークの場合はLANケーブルを抜く。

無線LANの場合は、無効化する。

②システム管理者に連絡をする

社内の情報システム管理者に連絡をする。

ちなみに感染源と思われるメールの転送はしない。

＜システム管理者が行う対処＞

①影響範囲の調査

②必要に応じて社内全体への周知、報告

③感染PCのスキャンとウィルス除去

④社内PCのスキャン

⑤社内への完了の報告

なお、対処の完了後はあらためて社内へのウイルスメールに関する注意喚起を行う必要があります。

まとめ

Emotet（エモテット）は、2014年に発見されて以降、世界中で猛威を奮っているマルウェアで、日本国内でも感染の広がりが続いています。

Emotetの感染拡大を受けて、国内でもJPCERT/CCやIPAのような専門機関や警視庁をはじめ、大手のセキュリティベンダーなども注意喚起を呼びかけています。

今回解説したように、Emotetは主になりすましメールを介して感染を広げます。

不審なメールやメールの添付ファイル、本文のリンクはくれぐれも開かないようにしましょう。

もし、Emotetに感染してしまった場合は、慌てずに「ネットワークからの切り離し」「システム管理者に連絡」を迅速に行うことが大切です。

Emotetのようなインターネット上のマルウェアや不正アクセスなどの脅威は、年々急激に拡大しています。

被害を受けないようにするのは、情報システムとしての対策、組織としての対策、個人としての対策などさまざまな事柄が不可欠です。

2021.01.07

サイバー攻撃とは？テレワークの増加で攻撃も急増中？徹底解説します

昨今、インターネットを活用したオンラインショッピングやクラウドサービスなどの拡大、スマートフォンやウェアラブルデバイスなどネットワークに接続...