ニュースなどでも目にすることが増えたマルウェア「Emotet（エモテット）」。本ブログでは、その特徴と危険視されている理由を解説します。

Emotet（エモテット）とは

Emotet（エモテット）は、悪意のある攻撃者によって送られる不正なメール（攻撃メール）から感染が拡大しているマルウェアです。

2019年11月末ごろにメディアで取り上げられ、広く知られることになりました。2021年1月、欧州刑事警察機構（Europol）による大規模な対策が成功したため脅威は去ったかと思われましたが、2021年11月に活動再開が確認され、以降、日本国内でのEmotet感染が増加しています。

ソフトバンクにおいても、対策の一環としてパスワード付き圧縮ファイルの利用廃止を決定するなど、警戒を強めています。

Emotet（エモテット）の攻撃手法

配布は主にメールを経路としています。

基本的な攻撃手法は、不正なメールに添付されたファイル（主にWordやExcelファイル）に仕込まれています。添付ファイルには、マクロの実行を促す文面が記載されており、受信者がそれに気づかず「コンテンツの有効化」をクリックすることでマクロが起動しEmotetに感染します。

日本では、この不正なメールが大量に送付される「ばらまき攻撃」が発生しています。

正規のメールに紛れるように送付されるため、受信者は不正なメールであることに気づかないまま感染へと誘導されるケースが多発しています。また、感染の手口も巧妙で多岐に及ぶため、被害が拡大しています。

ニュースになるほど深刻化した理由

本体には不正なコードを含まない

Emotet（エモテット）は、感染したデバイスにほかのマルウェアを侵入させる、プラットフォームの役割も持ちます。

ウイルス対策ソフトに検知されないマクロなど正規の機能を悪用してE端末に侵入することも、一般的なマルウェアよりも感染しやすくなっている原因にもなっています。検知できるツールもありますが、亜種を新たに作られてしまうと検知をすり抜けるケースが多くなるため安心することはできません。

違和感を覚えさせない、ばらまきメールの巧妙さ

2021年11月に行われたばらまき攻撃では、これまでよりも巧妙な工夫がなされ、不正なメールであることが分かりにくくなっていました。

正規でやり取りされているメールの件名に「RE:」をつけた、実際の返信を装った自然なメールに偽装され、不正ファイルが添付されていたのです。

同じ件名でやり取りをしているメールに割り込まれて送られたので、受信者は正規の返信だと思って添付ファイルを開いてしまい、感染しました。

ほかにも、2019年12月には賞与を連絡するメールを装うパターンのものが、2020年1月には新型コロナウイルスに関連した保健所からの案内を装うパターンのものが登場するなど、受信者が違和感を覚えないように細工されたメールも確認されています。

ユーザ自身に不正なファイルをダウンロードさせる

Emotet（エモテット）は、マクロなどを利用してデバイスの利用者に気づかれずに侵入する手口が主流ですが、2021年11月には正規サービスを装ってユーザ自身に不正なファイルをダウンロードさせる手口のものも現れました。

メールの本文中のリンクをクリックするとブラウザ上でPDFファイルを装った画面へ誘導され、閲覧のために必要だと促されてファイルをダウンロードさせるケースです。

添付ファイルのマクロ、リアルなメールの文面、PDF閲覧のために必要なファイルのダウンロードなど、次々と手段を変えていることから気を付けていても見破ることが非常に難しいマルウェアだと言えます。

感染すると起こる被害

ほかのマルウェアにも感染する

Emotet（エモテット）に侵入を許すと、ほかのマルウェアが次々とダウンロードされて被害が拡大します。

ダウンロードされたマルウェアの中には、ファイルとしては保存されずデバイスのメモリ上だけで動作するものなど、利用者やセキュリティ担当者にも解析されにくい工夫がされているものもあります。

重要な情報を盗み取られる

情報を窃取するモジュールもダウンロードされるため、認証情報やネットワーク内にある機密情報も含めて外部へ流出し、悪用される恐れがあります。

Emotet（エモテット）に感染して情報の窃取などの不正行為が行われたあと、ダウンロードされたランサムウェアによってデータが暗号化され、デバイスが使用不可になるケースもあります。最悪の場合、どんな情報が盗まれたのか、何が原因だったのかを調査することができなくなります。

社内のほかの端末に伝染する

Emoet（エモテット）は自己増殖するワーム機能を持っています。

一度侵入するとセキュリティの隙間を探し、ネットワーク内のほかの端末への侵入を行います。Emotetは、端末に潜伏して活動を行いながらも頻繁にアップデートが行われていることも確認されています。

組織内で爆発的に感染が拡大し、さらに頻繁に行われるアップデートによって対策が遅れる恐れもあるのです。

社外へのばらまきの踏み台にされる

盗んだ認証情報が悪用され、メールのやり取り履歴がある宛先へ、正規のメールを装ってEmotet（エモテット）のばらまき攻撃が行われることもあります。

顧客へばらまき攻撃されることがあれば、注意喚起だけでなく補償の対応などが必要になる可能性があります。

今すぐできる対策

Emotet（エモテット）の基本的な攻撃手法が添付ファイルのマクロ起動や不正なリンクからのダウンロードであることを考えると、すぐにできる対策としては以下のようなことが挙げられます。

• 受信したメールのアドレスが不審なドメインになっていないか、送信元を確認する
• 添付ファイルのマクロが自動的に実行されないよう設定を確認する
  （マクロの設定を「警告を表示してすべてのマクロを無効」にする）
• 本文中に挿入されているURLが、不審なリンクになっていないか確認する
• 重要システムやデータのバックアップを取っておく

これらの対策はすぐに実行できますが、常日頃からの確認や不審かどうかの判断を従業員に任せています。

読んでも気づけない巧妙な本文、ちょうどメールのやり取りをしている最中のなりすましメールなど、不審に感じさせない工夫が高度にされていた場合、Emotetの侵入を100%防ぐことは極めて困難です。そのため、今すぐできる対応だけでなく、仕組みを新たに導入することが最も効果的な対策となります。

本当に必要な対策とは

巧妙な手段で侵入してくるEmotet（エモテット）に対しては、どのような対策が有効なのでしょうか？

添付ファイルのマクロを起動しないように社員に教育すればいいのでしょうか？
ウイルス対策ソフトを導入していれば安全なのでしょうか？
添付ではなくファイル共有サービスを使っておけば安全なのでしょうか？

結論としては、どれも安全とは言えません。

その理由は、ダウンロード資料で解説します。

また、実際に届いた攻撃メールや、Emotetに感染しつつも被害を未然に防いだ防衛事例もあわせてご紹介していますので、ぜひダウンロードしてご覧ください。

PPAP対策ソリューション

関連資料

同じカテゴリーの記事をみる