目次クリックで該当箇所に移動します
Emotet(エモテット)は、企業や個人の情報の漏えいや、その他のマルウェアの感染、社内外への感染拡大などさまざまな被害を引き起こす危険なマルウェアです。そのため、OSなどのこまめなアップデートや従業員のセキュリティー意識の向上などを重ね、日頃から対策を徹底することが大切です。この記事では、Emotetの攻撃方法や感染によって受ける被害、対策方法、万が一感染した際の確認方法や対処法について解説します。
Emotetとは
Emotetは、主に不正なメールによって感染が広がるマルウェアの一種で、感染したメールアカウントに登録された個人情報の窃取や、他のランサムウェアなどのマルウェアへの二次感染などを目的に攻撃します。Emotetは、攻撃者がメールに添付した不正なファイルを受信者が開くことで感染します。
Emotetは、メールの受信者が過去にやりとりしたことのある相手からのメールを装って攻撃するため、一見不正メールだと気づきにくいことが多いです。そのため、知っている相手からのメールだと判断した受信者が不正なファイルを開き、感染するケースもよく見られます。
なお、総務省の「サイバーセキュリティを巡る最近の動向」によると、2022年3月時点でEmotetに感染し、攻撃メールの送信に悪用される可能性のある「.jp」のメールアドレス数は、これまで感染被害の多かった2020年9月時点から約5倍以上に増えており、感染対策の緊急性が高まっています。
Emotetの動向
Emotetは、2014年ごろに初めて観測され、当初は銀行口座の情報を窃取することを目的に、不正なファイルやリンクを攻撃メールに添付することで感染を広げていました。2021年1月には一度沈静化されたものの、2021年11月には活動再開が確認されています。
Emotetは2023年3月より再び猛威を振るっており、新たな不正ファイルの配布形式も見られています。メールに添付されたZIPファイルを展開すると、500MBを超える大容量のドキュメントが表れる現象が確認されており、ファイルのサイズを大きくすることでウイルス対策ソフトなどの検知回避を狙ったものであると考えられています。
Emotetによる攻撃の特徴
Emotetは、主にメールの添付ファイルに仕込まれています。受信者がファイルを開こうとするとマクロの実行を促す文面が表示され、有効化するとマクロが起動し感染する仕組みです。
Emotetは感染した端末のメールアドレスや氏名、連絡先といった情報を窃取し、盗んだ情報を悪用した不正メールを社内や取引先へばらまくことで、さらなる感染拡大を図ります。「賞与に関する連絡」など、業務に関わる内容と偽り、開封を促すことも多いです。
Emotetの被害が拡大し深刻化した理由
Emotetは、受信者に違和感を覚えさせない巧妙なメールの作りが特徴です。これまでやりとりしていたメールの件名に「Re:」をつけて返信メールを装ったものや、時事的な出来事に関するお知らせを装ったものなどさまざまな工夫を施し、正規のルートで届きそうなメールを作成します。
文面をよく確認すると、見覚えのないドメインやURLといった不審な点に気づけるものの、一見すると通常のメールと大差ありません。Emotetでは、このような不審な点に気づかないまま感染してしまう人が多く、被害が深刻化したと考えられます。
Emotetによる被害
Emotetでは、感染すると情報漏えいや社内外への感染拡大などさまざまな被害が及ぶ可能性があります。主に考えられる被害は、次のとおりです。
情報漏えい
攻撃メールに添付されたファイルのマクロを有効化することで、情報を窃取するモジュールがダウンロードされます。これにより、感染端末のメールアドレスやパスワード、氏名などの個人情報、過去のメール履歴、連絡先に登録されているデータなどさまざまな情報が盗まれ、情報漏えいにつながる恐れがあります。また、企業の機密情報やネットワーク情報なども盗まれることで、社内ネットワークを使用して社外へ攻撃を広げられることもあります。
情報漏えいについては、下記の記事でも解説しています。
関連記事:情報漏えいとは?もし起きてしまったら?原因や対処法、事例など詳しく解説
他のマルウェアへの感染
一度Emotetに感染した場合、ランサムウェア(PCのデータを暗号化する)やボットウイルス(PCを外部から遠隔操作する)、キーロガー(キーボードでの入力内容を第三者が盗み見る)など、他のマルウェアもダウンロードさせられ、同時に感染する場合があります。種類によっては、受信者やIT管理者にも気づかれにくく、ウイルス対策ソフトの検知を回避するものもあるため、注意が必要です。
ランサムウェアについては、下記の記事でも解説しています。
関連記事:ランサムウェアの感染経路とその対策
社内の他の端末への侵入
Emotetはネットワーク内で自ら増殖することも可能で、同一のネットワーク内の他の端末への侵入を試みます。そのため、企業で1つの端末に感染が確認された場合、瞬時に社内ネットワークを介して他の端末へ感染が広がる危険があります。
また、端末に侵入し、潜伏したままアップデートが行われることも確認されているため、OSやシステムの脆弱性を狙うだけでなく、それぞれのアップデートに合わせた強化がされている点にも注意が必要です。
社外への被害拡大
社内ネットワークを介した社内端末への感染拡大だけでなく、取引先をはじめとした社外への被害拡大のリスクも挙げられます。感染によって盗まれた個人情報等を悪用し、取引先へEmotetをさらにばらまくことで、社外への感染が広がります。このとき、取引先への注意喚起や賠償金の支払いなどの対応が必要になる場合もあり、セキュリティー対策が徹底できていない企業として、イメージが低下することもあります。
ランサムウェア感染による身代金の要求
ランサムウェアといったマルウェアへ同時に感染した場合、端末のデータが暗号化され、操作ができなくなります。ランサムウェアは「身代金要求型不正プログラム」とも呼ばれ、操作ができなくなったPCのデータを復旧するために、企業は身代金を要求されることがあります。ランサムウェアは近年企業でも感染被害の多いマルウェアのため、Emotetとあわせて対策しておくことをおすすめします。
Emotetの対策方法
Emotetへの感染を防ぐためには、従業員のセキュリティー意識を高めることに加え、ウイルス対策ソフトやOSのこまめなアップデートなどの対策が重要です。具体的な対策方法は、次のとおりです。
セキュリティーソフトを導入する
Emotetの感染を防ぐためには、ユーザーのメール履歴やプログラムの操作履歴を記録できる監査ログを備えたセキュリティーソフトを導入するのがおすすめです。特に、EDR(Endpoint Detection and Response)機能を持つソフトを使用することで、不審な挙動を端末上で検知した際に、素早く管理者へ通知されます。管理者はEDRで取得した操作ログや通信状況を分析することで、迅速な対処が可能です。
EDRについては、下記の記事でも解説しています。
関連記事:「EDR」とは? エンドポイントセキュリティの重要性とともに解説
OSやソフトウェアのアップデートを怠らない
Emotetは、OSやメールソフトの脆弱性を狙って侵入を試みます。そのため、OSやソフトウェアのアップデートは怠らず、常に最新の状態を維持しましょう。なお、各ベンダーからはソフトウェアに脆弱性が発見された場合、セキュリティーパッチが配布されることもあります。ベンダーからパッチが配布される前に脆弱性を狙って攻撃する「ゼロデイ攻撃」が起きる場合もあるため、脆弱性についての情報収集を習慣化し、自社でも攻撃を防げるよう体制を整えておく必要があります。
ゼロデイ攻撃をはじめとしたその他のサイバー攻撃と対策方法については、下記の記事でも解説しています。
関連記事:高度化するサイバー攻撃。近年の手口やトレンド、対策をご紹介
マクロの自動実行を無効化する
Emotetでは、攻撃メールに添付されたファイルのマクロを受信者側で有効化したことをきっかけに感染する流れが一般的です。そのため、添付ファイルとしてよく扱われるMicrosoft WordやExcelといったOffice製品のマクロの自動実行を無効化しておくことで、感染リスクを下げられます。
このようにマクロの自動実行を無効化することで、マクロが含まれるファイルを開いた際に、マクロ実行の警告メッセージが表示されます。もしファイル展開時に警告メッセージが表示された場合は、メールの送信者やIT管理者に確認してもらうことで、Emotetを見つけやすくなります。
従業員のセキュリティー意識を向上させる
従業員のセキュリティー意識を向上させることによって、一見違和感のない攻撃メールが届いた際にも、感染を回避できる可能性が高まります。セキュリティーに関するガイドラインを定めたり、研修を行ったりするなどの方法で従業員への周知を徹底し、被害を最小限に抑えるよう努めましょう。なお、実際に社内でEmotetを想定したメールを試験的に送信し、従業員の理解度をテストする方法も効果的です。
Emotetに感染したか確かめる方法
Emotetへの感染が疑われる場合は、自身で確かめることができます。
JPCERTコーディネーションセンターでは、Emotet専用の感染確認ツール「EmoCheck(エモチェック)」を提供しており、誰でも利用できます。EmoCheckは、以下のページよりダウンロードできます。
EmoCheck上で「Emotetのプロセスが見つかりました」と表示された場合は、Emotetに感染しています。感染が確認された場合は、あわせて表示される「プロセス名」「イメージパス」をチェックします。まずは、プロセス名に示されているプロセスをタスクマネージャーから停止しましょう。次に、イメージパスに示されているファイル名がEmotet本体になるため、該当のファイルを削除します。感染後に行うべき対処法については、後ほど詳しく解説します。
Emotetに感染したときの対処法
万が一Emotetの感染が確認された場合は、次のような手順で対処します。感染端末以外にも、社内の他の端末への被害の確認や関係各所への注意喚起を徹底することで、感染拡大を最小限に抑えられるでしょう。
感染端末をネットワークから隔離する
Emotetへの感染が確認された場合、まずは感染した端末のLANケーブルを抜いたり、LAN接続を解除したりすることでネットワークから遮断し、隔離させます。また、被害を受けた端末以外にも感染が疑われる端末がある場合は、それらもネットワークから隔離させましょう。もしも感染した端末がネットワークにつながっていた場合、同じネットワークに接続されている他の端末への感染が広がる恐れがあります。
感染端末のメールアドレスやパスワードを変更する
Emotetは感染端末のメール情報を悪用し、社内外へさらにマルウェアをばらまくため、感染端末をネットワークから切断した後は、端末に設定されているメールアカウントのアドレスやパスワードを変更します。もしメールアカウントを削除しても問題ない場合は、感染に関わる一連の対応や対策が終わった段階でアカウントを作成し直すのもおすすめです。
他にも、メール情報以外の個人情報の窃取を防ぐために、Webブラウザーに保存されているアカウント認証情報や、クレジットカード情報などは削除し、あわせてカードの利用停止などの措置も行いましょう。
社内の全端末を調査する
社内ネットワークに接続されているすべての端末に対し、Emotetに感染していないかをチェックします。Emotetは感染が広がりやすいマルウェアのため、感染端末だけでなく、他の端末の感染状況も必ず確認することが大切です。
また、あわせて感染端末の通信履歴を見ながら、「他にも感染が疑われる端末がないか」「感染端末に関わるすべての端末をネットワークから隔離できているか」といった点も確かめ、感染が疑われる端末を見逃さないよう徹底します。
他のマルウェアに感染していないか確かめる
先述したEmoCheckでEmotetへの感染はチェックできますが、Emotetをきっかけに感染したその他のマルウェアは検知できません。そのため、Emotet以外にも感染したマルウェアがないか、セキュリティー対策ソフトなどを用いて必ず確認しておきましょう。このとき、感染端末だけでなく、同じネットワークに接続されている端末すべてをチェックすることで、他の端末への感染を見落とすことなく対処できます。
関係各所へ注意喚起を行う
感染端末のメールアドレスとやりとりしていた取引先などがある場合は、関係各所への感染も懸念されるため、速やかに注意喚起を行います。例えば、「自社から届いたメールの添付ファイルは開封しない」「マクロの自動実行を無効化する」などの注意を呼びかけることで、感染の拡大を最小限に抑えることが大切です。また、関係各所への連絡とあわせて、プレスリリースや自社のWebサイトでも周知させるとよいでしょう。
まとめ
この記事では、Emotetの攻撃方法や感染によって受ける被害、対策方法、万が一感染した際の確認方法や対処法について解説しました。Emotetは感染に気づきにくいため、被害が拡大しやすい危険なマルウェアです。定期的にOSやソフトウェアのアップデートを行うとともに従業員のセキュリティー意識を高め、脆弱性を狙われないよう注意しましょう。
万が一感染が疑われる場合は、記事内でご紹介したEmoCheckで感染の有無を確認します。感染していた場合は感染端末をネットワークから隔離したうえで社内の全端末を調査し、関係各所への注意喚起を迅速に行い被害を最小限に抑えるよう努めることが大切です。
