2014年に初めて確認され、全世界に脅威をもたらしたマルウェア「Emotet(エモテット)」。2021年前半に無害化されたと思われていましたが、同年11月後半より活動の再開が確認されました。その後、再び沈静化したように思われましたが、2023年3月から攻撃が活発化しています。
Emotet(エモテット)とは、非常に強い感染力を持つマルウェアです。今回はこのEmotet(エモテット)について、その実態や攻撃方法、感染するとどんな被害をもたらすのかについて説明します。また、もし感染した場合に自社の機密情報を守るために取るべき対策、さらに重要な点として感染しないために今すぐできることについても解説します。
目次
Emotet(エモテット)とは?
Emotet(エモテット)の主な攻撃手法2つ
Emotet(エモテット)が深刻化した3つの理由
感染するとどうなる?Emotet(エモテット)の被害
Emotet(エモテット)の攻撃事例4つ
Emotet(エモテット)に感染した際の対処法5つ
Emotet(エモテット)に感染しないための対策5つ
Emotet(エモテット)の感染対策に「使えるクラウドバックアップ」
FAQ
Emotet(エモテット)とは?
Emotet(以下「エモテット」)とは、情報の窃取などを目的とし、悪意のある攻撃者によって送られる不正なメールから感染が世界的に拡大しているマルウェアです。エモテットが最初に検出されたのは2014年ですが、2019年頃から流行が拡大し、広く認知されることになりました。一度無力化したかと思われましたが、2023年4月現在も感染は拡大し続けています。
参考:SoftBank 「マルウェア「Emotet(エモテット)」の脅威を分かりやすく解説」
マルウェア対策について知りたい方はこちら
Emotet(エモテット)の主な攻撃手法2つ
エモテットは主にメールを介して感染することが報告されていますが、その具体的な攻撃方法は以下の2つです。
・メールの添付ファイルを用いて感染させる
・なりすましメールを用いて感染させる
1. メールの添付ファイルを用いて感染させる
添付ファイルにマクロの実行を促す文面が記載されており、受信者がそれに気づかず「コンテンツの有効化」をクリックすることでマクロが起動し、エモテットに感染してしまいます。
添付ファイルはWordやExcelのことも多く、日常的にやりとりされるメールに紛れてしまいます。そのため、受信者は何気なくクリックしてしまい、気づかないうちに被害を拡大させてしまいます。
2. なりすましメールを用いて感染させる
公的機関や企業を装ったメールを送信し、本文に記載したURLをクリックさせることでマルウェアへの感染を誘導する攻撃方法もあります。
受信者がうっかりメールを開くのには理由があります。例えば、件名に公的機関などを装い「重要連絡」と記載してあったり、「Re:」や「Fwd:」などの文字が含まれたりしているため正規の業務メールと勘違いしてしまうのです。場合によっては、冒頭にメールの受信者の名前が書かれていることもあります。
そして、メール本文に記載されたURLを開くと、不正なファイルのダウンロードが始まり、マルウェアに感染してしまいます。
参考:サイバーセキュリティ.com 「危険なマルウェア「Emotet(エモテット)」とは?脅威や手口・対策まで解説」(https://cybersecurity-jp.com/column/34114)
Emotet(エモテット)が深刻化した3つの理由
いったん感染が収束したように思えたエモテットの被害が再び拡大し、深刻化したのはなぜでしょうか?主に3つの理由が考えられます。
1. 本体は不正なコードを含まず感染しやすい
2. 巧妙な手口で不正メールであることがわかりにくい
3. 不正ファイルのダウンロードを誘導する
1. 本体は不正なコードを含まず感染しやすい
一般的なマルウェアの場合、端末にインストールされているウイルス対策ソフトにより検知されます。しかし、エモテットは感染した端末にほかのマルウェアを感染させる「プラットフォーム」のような役割を持ち、マクロなどの正規の機能を悪用して端末に侵入します。そのため、ウイルス対策ソフトでも検知することが難しいといわれています。中には検知できるものもありますが、ハッカー側も次々と亜種(すでに出回っている不正プログラムの一部を改変したマルウェアのこと)を送り込むため、攻撃を防ぐのは容易ではありません。
例えば、独立法人情報処理推進機構(IPA)が2023年3月9日に公表した情報によると、セキュリティソフトなどの検知を回避するため、メールにZIPファイルが添付され、解凍するとファイルサイズ500MBを超えるWord文書ファイルが展開されるものがありました。
また、2023年3月17日には、Microsoft OneNote形式のファイルが添付された、新たな攻撃方法も発見されました。添付ファイルを開くと、ファイルに「偽の指示」が表示され、それに従って「View(閲覧)」ボタンをクリックすると、エモテットに感染する仕組みです。
参考:独立行政法人情報処理推進機構 「Emotet(エモテット)と呼ばれるウイルスへの感染を狙うメールについて」
2. 巧妙な手口で不正メールであることがわかりにくい
上述したようにエモテットの感染経路として用いられるメールの件名には、「Re:」や「Fwd:」などの文字が含まれていたり、当事者が通常やりとりでつかうような件名が付けられていたりします。
ほかにも2019年12月には賞与についての連絡、2020年1月には新型コロナウイルスに関連した保健所からの連絡を装うメールもありました。受信者が違和感なくメールを見て、クリックに誘導するような巧妙な手口がエモテットの被害を深刻化させています。
3. 不正ファイルのダウンロードを誘導する
正規サービスを装ってユーザ自身に不正なファイルをダウンロードさせる手口も被害拡大の要因として挙げられます。
具体的には、メール本文中のリンクをクリックすると、PDFファイル閲覧のためにはファイルのダウンロードが必要だと促され、知らず知らずのうちに不正ファイルをダウンロードさせるのです。
感染するとどうなる?Emotet(エモテット)の被害
エモテット感染による被害は多岐に渡ります。各企業では社内外に被害が及ぶことを認知しておくことが大切です。
・重要な個人情報や企業秘密を盗み取られる
・ランサムウェアなどのマルウェアに感染する
・社内のほかの端末に感染拡大する
・エモテットばらまきの踏み台にされる
顧客の個人情報を盗み取られれば、企業の信用問題にかかわります。1つのパソコンからほかの端末へと感染し、被害が拡大することもあるでしょう。エモテットの感染対策を徹底するためにも、まずは組織内で感染リスクを周知しておくことが重要です。
重要な個人情報や企業秘密を盗み取られる
そもそも個人情報とは、生存する個人に関する情報のことです。氏名や生年月日、住所のほか、学歴やメールアドレスなども含まれます。
従業員の個人情報はもちろん、顧客の個人情報の漏えいは企業の信頼低下につながりかねません。従業員が企業に対し、不信感を抱くケースもあるでしょう。
エモテットに感染すると、認証情報やネットワーク内にある機密情報が外部へ流出する恐れがあります。企業の大小にかかわらず、事業所には個人情報保護法が適用されるため、漏えいが発覚した場合は「指導」または「勧告」処分を受けなければいけません。
盗み取られた個人情報や企業秘密が悪用されれば、被害が拡大するだけでなく損害賠償責任が発生する可能性も考えられます。
ランサムウェアなどのマルウェアに感染する
エモテットの感染をきっかけに、端末を人質に取るランサムウェアなどに感染する可能性があります。ランサムウェアは、感染した端末内のファイルを暗号化し、そのファイルを元に戻すことと引き換えに金銭を要求するマルウェアです。
エモテットに感染し、機密情報を窃取されたあとに端末がランサムウェアに感染すれば、端末内のどの情報が盗まれたのか、経緯や原因を調査することも不可能になるのです。
ランサムウェアとは何かを知りたい方はこちら
社内のほかの端末に感染拡大する
エモテットは自己増殖する機能を持っているため、組織内で爆発的に感染が拡大する恐れもあります。エモテットがいったん企業や組織のネットワーク内に侵入すれば、端末内に潜伏しながらアップデートを試み続けます。ネットワークで脆弱な部分があれば、そこを起点として感染を拡大させようと虎視眈々と狙っているのです。
Emotet(エモテット)ばらまきの踏み台にされる
エモテットに感染した端末から盗んだ認証情報が悪用され、メールのやり取り履歴がある宛先へ正規のメールを装ってエモテットのばらまき攻撃が行われます。各方面に送られたメールには同じようにエモテット感染を誘導するファイルやリンクが付けられており、被害はますます拡大していきます。
送り先の企業がエモテットばらまきの踏み台にされたことに気づけばすぐに注意喚起のメールを送らなければなりませんし、実際に被害が発生した場合には損害賠償にも発展します。被害者はすぐに加害者へと転じ、企業ブランドの低下にもつながります。
参考:大塚商会 「マルウェア「Emotet」に感染するとどうなる? 感染経路、確認方法について解説」
Emotet(エモテット)の攻撃事例4つ
エモテットの被害はさまざまな企業に広がっており、民間企業だけでなく、教育機関や公的組織も標的になっています。また、大企業に限らず、中小企業も含めてエモテットから情報資産を守るための施策を講じることが必要です。
ここでは、実際にどのような被害があったのか、攻撃事例を紹介します。
1. 首都大学東京│メールの添付ファイルを教員が開封し感染
2019年10月、首都大学東京の教員のもとに実在する雑誌社を騙るメールが届きました。当該教員がメールに添付されたファイルを開封したところ、端末がエモテットに感染してしまいました。被害範囲はメールボックス内に保存されていた18,843件のメールに及びました。首都大学東京は学内に向けて同日に注意喚起を実施し、3日後には学外に向けてもホームページにより、注意喚起を掲載しました。
2. ライオン株式会社│従業員のPCがEmotet(エモテット)に感染
2022年2月、ライオン株式会社グループに所属する従業員のパソコンがエモテットに感染しました。結果として、同社メールサーバからメール情報が窃取され、同従業員を騙った不審メールが複数人に発信されてしまいました。ライオンはすぐに不審メールが同社の正規ドメインとは異なるものを使用していることを説明し、注意喚起を行いました。
3. テスコム電機株式会社│サーバからメール情報が窃取される
2022年2月、テスコム電機株式会社の従業員の端末がエモテットに感染し、メールアドレスを含むメール情報が窃取されました。調査の結果、同従業員を装った不審メールが送信されていることが分かりました。テスコムも正規ドメインを使用しているため、エモテットのドメインがそれとは異なることで見分けられることを情報発信しました。その結果、二次被害の拡大を抑えることができたようです。
4. NTT西日本│受託業務に使用しているPCがEmotet(エモテット)に感染
2022年3月、NTT西日本が受託している業務に使用しているPCがエモテットに感染しました。その後、過去のメール送受信情報として保存されていたメール情報が流出、不審メールが発信されている事実が確認されました。原因は添付されていたファイルで、受信した社員がマクロの実行を許可したところ、社内PCがエモテットに感染してしまいました。NTT西日本は端末をネットワークから切り離し、誤送信メールを開かないように注意喚起を行いました。
Emotet(エモテット)に感染した際の対処法5つ
ここでは、エモテットに感染してしまったらどうすればよいのか、対処法を解説します。主な対処法は5つです。
1. 感染した端末をネットワークから切り離す
2. ネットワーク内の被害状況を調査する
3. メールアカウントのパスワードを変更する
4. ほかのマルウェアへの感染状況を確認する
5. すぐに公表し関係者へ注意喚起する
1. 感染した端末をネットワークから切り離す
エモテットは企業や組織のネットワーク内で爆発的に被害を拡大させていく可能性があります。そのため、感染したことが分かったら、直ちにその端末をネットワークから切り離しましょう。
2. ネットワーク内の被害状況を調査する
感染した端末をネットワークから切り離した上で、被害状況の調査を開始します。といっても、中小企業や情報セキュリティの専門部署がない企業の場合、自分たちでネットワーク内の被害状況を調査するのは事実上困難です。逆に専門的な知識がないにもかかわらず、調査しようとすれば、かえって感染被害を広げてしまうことにもなりかねません。
おすすめは専門業者に「フォレンジック調査」を依頼することです。フォレンジック調査とは、コンピュータなどの電子機器に残る記録の証拠保全や調査、分析を行うことです。エモテットに感染したことが分かった時点でできるだけ早くフォレンジック調査を行い、被害と影響の範囲を特定することで、原因を究明し、その後の対応もスムーズに行えます。
3. メールアカウントのパスワードを変更する
上述したようにエモテットの主な感染経路はメールです。そのため、感染拡大を抑えるためには感染が疑われる端末で使用していたメールアドレスのパスワードを変更する必要があります。ただ、同じ端末でパスワード変更すると、変更後のパスワードも窃取される可能性があるため、別の端末を使用しましょう。
4. ほかのマルウェアへの感染状況を確認する
エモテットはほかのマルウェア感染に誘導するためのプラットフォームの役割を果たします。そのため、エモテットだけでなく、ランサムウェアなどのほかのマルウェアに端末が感染して被害が拡大しないように調査を行わなければなりません。
5. すぐに公表し関係者へ注意喚起する
上述した感染事例はいずれもエモテット感染が発覚した時点で、いち早くプレスリリースなどを活用し、感染事実を公表したため、被害を最小限に抑えることができました。自社がエモテットに感染したことを公表すると、ブランド毀損や信用失墜につながるのでは、と不安に感じるかもしれません。しかし、その事実を隠蔽しようとし、後で被害が拡大した場合の影響ははかり知れません。とにかくすぐに関係者に公表し、注意喚起しましょう。
2022年4月1日には個人情報保護法が改正され、個人情報の漏えいが発生、または発生した可能性がある場合は、個人情報保護委員会への報告や本人への通知が義務化されました。報告義務は速報と確報(報告が求められている事項をすべて報告)に分かれており、速報は事態を把握した時点から5日以内、確報は事態を把握した時から30日以内に報告しなければなりません。
報告すべき項目は「漏えいが発生した、もしくは発生した可能性がある個人情報の項目(氏名、電話番号、メールアドレスなど)」、「漏えいした人数」、「原因」、「二次被害が発生するおそれ及びその内容」などであり、それらをできるだけ正確に把握するためには専門家への調査依頼が不可欠でしょう。
Emotet(エモテット)に感染しないための対策5つ
エモテットから企業が保有する情報資産を守るためには、普段からの対策が欠かせません。主な対策5つについて解説します。
1. OSやアプリケーションは常に最新の状態に更新する
2. マクロの自動実行を無効化する
3. メールの送信元を確認するよう心がける
4. 社内でエモテットへの共通認識を持つ
5. セキュリティ対策ソフトを導入する
1. OSやアプリケーションは常に最新の状態に更新する
マルウェアは古いOSの脆弱性を狙って攻撃することが多いため、OSやアプリケーションは常に最新の状態に更新しておきましょう。
OSにWindowsを使用しているのであれば、定期的にWindows Updateを実行しておくことが大切です。また、Windowsでは、セキュリティ更新プログラム(セキュリティパッチ)を公開しています。これは、ソフトウェアで発見された脆弱性や問題点など不具合を解決するプログラムです。ハッカーは常に企業のシステムやソフトウェアの脆弱性を狙うため、面倒だと感じてもセキュリティパッチを更新することは非常に重要です。
2. マクロの自動実行を無効化する
上述したように、エモテットへの感染経路は主にメールです。また、メールに添付されたファイルはWordやExcelファイルの「マクロ実行」によるものが多く確認されています。もし、WordやExcelのマクロ自動実行が有効であれば、無効化しておきましょう。
例えば、Wordであれば以下の手順でマクロの自動実行を無効化できます。
1. Wordを開いて「ファイル」をクリックする
2. 「オプション」を選択する
3. 「トラストセンター」もしくは「セキュリティセンター」を選択する
4. 「トラストセンター(セキュリティセンター)の設定」をクリックする
5. 「マクロの設定」を選択する
6. 「警告を表示してすべてのマクロを無効にする」を選択する
7. 「OK」をクリックする
3. メールの送信元を確認するよう心がける
エモテットの感染経路であるメールを不用意に開かないことが感染を防ぐために非常に重要です。ただ、件名やメールの文面は巧妙に偽装されているため、見分けるのは簡単ではありません。
見分けるための1つのポイントは、メールの送信元を確認することです。エモテットのばらまきメールは、送信元の「@」以下がフリーアドレスになっているなど、正規のメールアドレスではありません。そのため、いくら件名がそれらしいものであっても、メールの送信元と照らし合わせれば判別は可能です。
4. 社内でEmotet(エモテット)への共通認識を持つ
エモテットはビジネスパーソンなら普段の業務で頻繁に使っているメールやWord、Excelなどのビジネスツールを経由して広がります。そのため、経営層やセキュリティ担当者だけでなく、従業員ひとり一人がエモテットについて正しい知識を持つことが大切です。
具体的にはエモテットの感染経路や、疑わしいメールの見分け方、添付ファイルの扱い方や、もし万が一感染した場合の対処法などについて社内で共通認識を持っておくようにしましょう。
5. セキュリティ対策ソフトを導入する
セキュリティ対策ソフトの導入が必要なのはいうまでもありませんが、導入後も定期的なアップデートや、セキュリティパッチの配布をチェックするなどして、最新の状態に保つようにします。
セキュリティ対策ソフト以外にも、クラウドサービスのランサムウェアスキャン機能を活用するのもおすすめです。クラウド上でウイルスチェックをすることで、端末への負担が少なくなり、パフォーマンスの低下を防げます。また、セキュリティパッチをダウンロードして対処する方法だと新たな脅威に対してどうしてもタイムラグが生じてしまいますが、クラウド上のウイルスチェックであれば、より迅速に対応できます。つまり、セキュリティ面ではクラウドサービスのウイルス対策に軍配が上がるのです。
参考:サイバーセキュリティ.com 「ウイルスチェックはスピードが重要!クラウド上でウイルスチェックするメリット」(https://cybersecurity-jp.com/security-measures/8547)
セキュリティ対策について知りたい方はこちら
Emotet(エモテット)の感染対策に「使えるクラウドバックアップ」
使えるねっとが提供する「使えるクラウドバックアップ」は、バックアップ機能だけでなく、企業にとって資産ともいうべき情報を保護し、使うための機能を1つにまとめたサービスです。
使えるクラウドバックアップはエモテットの感染対策にも有効です。その理由はAIベースのテクノロジーである「アクティブプロテクション」により、ファイルやバックアップデータ、バックアップソフトへの疑わしい改変を即座に検出できるからです。
また、脆弱性診断でシステムに問題がないかもチェックします。さらに、Petya、WannaCry、Osirisなど最新のランサムウェアからもシステムとデータを保護するため、既知のランサムウェアはもちろん、未知のランサムウェア攻撃を識別する際にも効果的です。
用途や容量に合わせて多彩なプランから選べる使えるクラウドバックアップは、月単価1,870円(税込)から利用可能です。30日間の無料トライアルも実施しているため、是非お気軽にお試しください。
FAQ
(1)Emotet(エモテット)の主な感染経路は?
エモテットの主な感染経路は、メールの添付ファイルです。添付ファイルの多くはWordやExcelファイルなど、通常のメールで頻繁にやりとりすることから、感染を防ぐのが難しいと言われています。
(2)Emotet(エモテット)の新たな手口とは?
2023年3月にはMicrosoft OneNote形式のファイルを悪用してエモテットに感染する新たな手口が確認されました。ファイルの指示に従って「View」ボタンをダブルクリックすると、不正なファイルが実行されてしまいます。これまでエモテットの主な感染経路がWordやExcelファイルだったため、うっかりクリックしないように注意する必要があります。
(3)Emotet(エモテット)に感染した端末からウイルスを駆除する方法は?
エモテットによって端末がウイルスに感染した場合、最初にすべきなのは感染拡大を防ぐためにインターネット接続を切断することです。その後、PCをセーフモードで再起動し、すべての一時ファイルを削除します。この段階で、セキュリティ製品を使ってウイルススキャンを実行し、ウイルスを削除または隔離します。その後、PCを再起動し、今後攻撃を受けることがないようにすべてのパスワードを変更し、ソフトウェア、ブラウザ、OSも更新しましょう。
お電話でのお問い合わせはこちら:03-4590-8198
(営業時間:10:00-17:00)