Emotet(エモテット)対策とは? 感染リスクや最新の攻撃手法も解説
サイバー攻撃が急増する昨今、主にメールを感染経路とする「Emotet(エモテット)」は、特に危険視されているマルウェアです。Emotetに感染すると重要な情報を窃取されたり、ほかの不正プログラムに感染したりするだけではなく、取引先や顧客も巻き込むおそれがあるため、社内で対策を徹底しておく必要があります。
本記事では、Emotetの現状と感染した場合の被害について解説した上で、有効な対策をご紹介します。
Emotet(エモテット)とは主にメールを感染経路とする不正プログラム
Emotet(エモテット)とは、主にメールを介してウイルスへの感染を狙うマルウェア(悪意のあるソフトウェア)です。過去にやりとりしたメールへの返信を装うなどした攻撃メールを送信し、添付ファイルの開封や本文中のリンクのクリックを促します。
こうした動作によってEmotetがダウンロードされ感染すると、そのパソコンやスマートフォンからメールアカウントやパスワード、メールアドレス、メール本文などの情報を窃取されてしまうのです。盗み取られた情報は悪用され、さらなる感染拡大を目的としたメールが拡散されます。
2023年3月時点で新たな攻撃手口が確認されている
Emotetは2019年末以降、感染拡大と共にメディアに取り上げられ、広く知られるようになりました。2021年には欧州刑事警察機構(Europol)による大規模な対策が成功し、Emotetは制御下に置かれたかと思われましたが、同年中に再び攻撃メールの着信が確認され、2022年にも複数の被害が報告されています。
2023年3月時点においても、Microsoft OneNote形式のファイル(.one)を悪用した新たな手口が確認されました。これは、攻撃メールに添付されたMicrosoft OneNote形式のファイルを開いて、偽の指示に沿って操作すると、Emotetに感染するというものです。Emotetは過去のものではなく、今も攻撃手法を変化させながら、ウイルス感染の被害を拡大しています。
Emotet(エモテット)に感染するとどうなる?
Emotet(エモテット)に感染すると、端末内の重要な情報を窃取されることをはじめ、様々な被害に遭う可能性があります。顧客や取引先に影響を及ぼすおそれもあるため、具体的にどのようなリスクがあるのか確認しておきましょう。
重要な情報を窃取される
Emotetがパソコンやスマートフォンなどのデバイスに不正侵入すると、Emotetを介して情報を窃取するマルウェアがダウンロードされ、端末内の情報が盗み取られます。
Emotetに感染することで盗み取られる情報としては、次のようなものが挙げられます。
- Emotetに盗まれる情報例
-
- メールアカウントやアドレス帳の情報
- 過去にやりとりしたメールの本文や送付先アドレス
- Webブラウザーに記録・保存したID・パスワード情報
- Webブラウザーに記録・保存したクレジットカード情報
Emotetを介して端末内の情報を盗み取られることで、社内ネットワークへ不正にログインされるおそれもあります。その結果、社内の様々な重要情報が外部へ流出し、悪用される可能性もあるでしょう。
ほかの不正プログラムに感染
一度感染すると、Emotetが媒介役となりほかの不正プログラムにも次々と感染しやすくなることも、Emotetの厄介な特徴です。
例えば、身代金要求型ウイルスのランサムウェアを勝手にダウンロードし、実行されるケースがあります。ランサムウェアに感染するとその端末内のファイルやデータが暗号化され、被害者のシステムへのアクセスが制限されてしまいます。この制限を解除するために、攻撃元は被害者に身代金の支払いを要求するのです。
ほかに、インターネットバンキングの情報を盗み取ることを目的とした、ウイルスに感染したという被害例もあります。
いずれの不正プログラムにしても、感染すると端末の使用者とその組織には深刻な被害がもたらされることとなるのです。
社内への感染拡大
Emotetは、自己増殖によって感染を拡大できる「ワーム機能」を持っており、一度ネットワーク内に侵入すると、そのネットワーク内のほかの端末への侵入も試みます。同じネットワークを使用する社内の端末にも、感染拡大する可能性が高いのです。
さらに、Emotetは、端末に潜伏し活動しながら、アップデートも頻繁に行います。OSやソフトウェアに脆弱性が発見された場合、Emotetのアップデートによって組織内で一気に感染が拡大してしまうおそれもあるでしょう。
取引先や顧客を巻き込むリスク
Emotetは、盗み取ったメールアドレスなどの情報を悪用し、取引先や顧客に対して、Emotetの感染を目的としたメールを送信することもあります。
もし、自社のEmotet感染から派生して、取引先や顧客への感染が発覚した場合、感染元の組織は取引停止やブランドイメージの毀損、損害賠償請求などのリスクも負わなければなりません。
Emotet(エモテット)の巧妙ななりすましメール
Emotet(エモテット)の攻撃の特徴として、巧妙ななりすましメールが挙げられます。具体的にどのような被害例があるのか把握しておくことは、Emotet対策につながります。
2021年12月には、取引先と数か月前にやりとりしたメールの返信の形でExcelファイル付きのメールが届き、少し変だと思ったものの、取引先に問い合わせるのはためらわれたため、まずはファイルの内容を確認しようとしたところ、Emotetに感染したという被害例がありました。別の取引先から、この被害者からの不審なメールが届いたという連絡があり、感染に気付いたといいます。
Emotetの攻撃メールは、やりとりしていたメールの件名に「Re:」をつけて実際の返信メールを装うなど、なりすましの手口が巧妙です。
2020年12月には、クリスマスカードを装ったWordファイルを添付した攻撃メールや、「12月賞与支給」という件名でボーナスの支給額を知らせるかのような攻撃メールも確認されました。
また、新型コロナウイルス感染症を題材に保健所からのメールを装うなど、時期や時事に合わせた関心事に便乗する傾向もあり、ひと目見ただけでは攻撃メールかどうか判別しにくいという特徴があります。
添付ファイルのマクロ実行を促す手口
Emotetの攻撃手法として多いのは、なりすましメールに添付されたマクロ付きのWordやExcelファイル、またはパスワード付きのZipファイルを開くことでウイルスに感染するというものです。WordやExcelファイルに悪意のあるマクロ(プログラム)が埋め込まれており、ファイルを開いてマクロを実行するとEmotetに感染してしまいます。
Microsoft Officeの標準設定では、安全のためにマクロの自動実行が止められているため、設定を変更していなければ、ファイルをダウンロードするだけでEmotetに感染することはありません。「コンテンツの有効化」というボタンをクリックしてマクロの実行を許可することにより、Emotetに感染します。
先に「編集を有効にする」というボタンを表示して、ボタンをクリックしないと文書が閲覧できないかのような印象を持たせ、その後「コンテンツの有効化」を表示し、どちらもクリックしないといけないかのように見せることで、マクロを実行させようとする手口も見られます。
少しでもあやしいと思ったら、「編集を有効にする」「コンテンツの有効化」というボタンはクリックしないことが大切です。
また、添付ファイルをダウンロードしてマクロを実行する以外にも、次のような方法でEmotetに感染することがあります。
- マクロを実行しなくても感染するケース
-
- メール本文にあるリンクをクリックした先で、WordやExcelファイルをダウンロードすると感染する
- メール内のリンクをクリックするとPDFの閲覧を促す画面に飛び、閲覧しようとするとウイルスファイルが勝手にダウンロードされる
- メールにパスワード付きZipファイルとして添付されたショートカットファイルを開くと感染する
2023年3月最新の攻撃手法
2023年3月には、メールに添付されたZipファイル内に500MBを超えるWordファイルが含まれている攻撃メールが確認されました。これは、容量を大きくすることによって、ダウンロード時のセキュリティソフトによる検知回避を狙った手口と考えられます。
このように、過去の事例では見られない新しい攻撃手法が生まれる可能性は、今後も十分に考えられます。
効果的なEmotet(エモテット)の感染対策
パソコンやツールの使い方を見直したり、対策ソフトやサービスを活用したりすることで、Emotet(エモテット)の感染対策ができます。ここでは、Emotet対策としてできることについて見ていきましょう。
感染の確認ツールで常時チェック
Emotetに感染しているかどうかは、抜き取られた情報を悪用されて初めて気付くことが多く、そのときには被害が拡大している可能性があります。感染してしまった場合にすぐ対処できるよう、感染の有無を定期的にチェックすることが大切です。
一般社団法人JPCERTコーディネーションセンターが無料で公開・配布しているEmotet専用の感染チェックツール「EmoCheck」を活用すれば、端末のどこにEmotetが感染・潜伏しているのかを診断することができます。こうしたツールを使って、感染の有無をチェックしましょう。
管理ソフトを導入している場合、ソフトによっては、管理者が従業員の使用する端末の感染状況を「EmoCheck」で一括チェックできる機能もあります。診断結果が「感染」だった場合は、管理者にメールで通知されます。「EmoCheck」を管理者ツールから従業員の各端末に配付して実行できるため、導入作業の手間も軽減できます。
マクロ自動実行機能を無効化する
Emotetに感染する主な原因は、メールの添付ファイルを開封して「コンテンツの有効化」をクリックし、マクロ実行してしまうことです。Microsoft Officeの標準設定では、マクロ実行前に警告を表示するようになっています。もし、警告もなくファイルを開くだけでマクロを自動実行するように設定を変更している端末がある場合は、感染リスクが高くなるので「警告を表示してすべてのマクロを無効化する」設定に変更しておく必要があります。
また、警告を表示して従業員に判断を委ねるのではなく、すべてのマクロを無効化しておく設定も可能です。
組織内で対策ルールを整備する
組織内でEmotet対策をルール化し、注意喚起することも大切です。具体的なルールの内容としては、次のようなものがあります。
- Emotet対策のルールの例
-
- 不審なメールはもちろん、自分への返信に見えるメールでも、不自然な点があれば添付ファイルは開封しない、もしくは本文中のURLをクリック・タップしない
- メールや添付ファイルの閲覧中に、身に覚えのない、または意味がわからない警告ウインドウが表示されたら操作を中断する
- メールの添付ファイルを開封してマクロやセキュリティに関する警告が表示された場合は、マクロを有効にしたり、警告を無視したりする操作をしない
- 身に覚えのないメールや添付ファイルを開封してしまったら、速やかにシステム管理部門などへ連絡する
ウイルス対策ソフトを導入する
ウイルス対策ソフトを導入することで、詐欺メールや迷惑メールを検出することができます。ソフトによっては、添付された不正ファイルもリアルタイムでスキャンして、検出する機能を備えたものもあります。
ウイルス対策ソフトは基本的に従来のパターンに基づいて検出を行うため、新たにアップデートされたウイルスには対応しきれない可能性もある点には注意が必要です。
メールセキュリティサービスを利用する
メールセキュリティサービスを利用することで、不正プログラムの感染を目的としたメールを検出し、感染を防止することができます。
迷惑メールフィルターをはじめ、未知のウイルスに対応するための解析機能を搭載したセキュリティサービスもあります。また、Microsoft 365やGoogle Workspaceなどのクラウドメールにもセキュリティ機能を適用できるサービスがあるため、自社のメールサービスに応じて選ぶといいでしょう。
OSやソフトウェアを最新の状態に保つ
OSやソフトウェアは、時間の経過と共に脆弱性が発見されることがあります。脆弱性はプログラムの不具合や設計ミスが原因で起こるもので、発見されると修正プログラムが各メーカーから配布されます。
こうした脆弱性が発見され、修正プログラムをインストールしていない状態で、潜伏していたEmotetのアップデートが行われると、爆発的に感染が拡大してしまうおそれがあるのです。
OSやソフトウェアの脆弱性を残しておくと、Emotetに限らず様々な不正プログラムによる攻撃を受けるリスクが高くなります。更新通知が来たら速やかにアップデートし、常に最新の状態に保つことが大切です。
Emotet(エモテット)に感染してしまったらどうする?
Emotet(エモテット)は急速に感染拡大する特徴があるため、感染してしまった場合には、早急に下記のような対処が必要です。
- Emotetに感染した場合の対処法
-
- 感染した端末を社内のネットワークから遮断する
- 感染した端末のメールアカウントのパスワードとメールアドレスを変更し、外部への感染拡大を防ぐ
- ほかのマルウェアにも感染していないか、社内ネットワークのすべての端末をウイルス対策ソフトでフルスキャンする
- ウイルススキャンで発見できなかったバックドア(攻撃者が再びシステムに侵入するために設置する不正プログラム)対策のため、感染した端末を初期化する
- 取引先や顧客など社外に向けてEmotetの感染と被害状況を通知し、注意喚起することで感染拡大を防ぐ
管理ソフトによっては、管理者が遠隔地の各パソコンを強制的にネットワークから遮断することができます。
テレワーク(在宅勤務)などで遠隔地にあるパソコンにEmotet感染の疑いがある場合、即時に遮断することで被害の拡大を防ぐことができるため、このような遠隔操作機能を備えた管理ソフトの導入を検討することもお勧めします。
Emotet(エモテット)対策は必須! 対策ツールで感染を防ごう
Emotet(エモテット)に感染した場合のリスクは大きく、企業にとってEmotet対策は必須です。しかし、攻撃手法は巧妙で、1つの対策で完全に防げるものではありません。ウイルス対策ソフトの導入だけでなく、従業員の感染予防知識の醸成や、適切なパソコン・スマートフォンの端末管理など、多面的な対策を講じておくことが大切です。
インターコムが提供する「MaLion」シリーズは、Emotetの感染有無確認ツールである「EmoCheck」の結果を管理者が即座に確認でき、感染の疑いがある端末を遠隔操作でネットワークから遮断できるなど、Emotet対策に役立ちます。Emotet対策だけでなくほかのマルウェアの被害を受けないためにも、「MaLion」シリーズの導入をご検討ください。