Emotet(エモテット)の攻撃手法や対処法、被害事例を解説
最近、PCのセキュリティを脅かすマルウェアによる被害が増えています。その中でも特にEmotet(エモテット)というマルウェアが問題とされており、2019年後半から広まっています。
Emotet(エモテット)は、非常に感染力と拡散力が強いマルウェアです。具体的な攻撃手法を見てみましょう。また、もし感染してしまった場合の対処法や、企業が取るべき対策についても説明します。
エモテット(Emotet)とは
Emotet(エモテット)は、悪意のある攻撃者が送る不正なメール(攻撃メール)を通じて情報を盗み、他のウイルスを広めるためのマルウェアです。
エモテットが一度侵入すると、他のウイルスにも容易に感染してしまうため、大きな被害が広がる危険性があります。
Emotetとランサムウェアの違い
Emotet(エモテット)は、マルウェアの一種で、主な目的は情報の盗み出しや他のウイルスの拡散です。感染した端末内の情報を収集し、他のマルウェアをダウンロードして広めることができます。つまり、Emotet(エモテット)はデータを盗むための手段として使われることがあります。
一方、ランサムウェアもマルウェアの一種ですが、侵入した端末内のデータを暗号化し、身代金を要求します。つまり、ランサムウェアはデータを人質に取ってお金を要求する悪質な攻撃です。
Emotet(エモテット)とランサムウェアはしばしば一緒に使用されることがありますが、実際には異なるタイプのマルウェアです。Emotet(エモテット)は他のマルウェアを拡散させる役割を果たすことがありますが、ランサムウェアはデータを暗号化して身代金を要求することが特徴です。
Emotet(エモテット)の変遷
Emotet(エモテット)は2014年に初めて現れました。
最初のバージョンでは、不正なメールの添付ファイルやリンクを通じて、銀行口座の情報を盗むためのトロイの木馬として活動していました。
その後、改良されたEmotet(エモテット)の新しいバージョンが現れ、より巧妙な手法で自身の存在を隠したり、痕跡を消したりするようになりました。
2016年から2017年にかけて、Emotet(エモテット)は「ローダー」として機能するように再構築されました。このローダーはEmotet(エモテット)を通じて他のマルウェアをダウンロードし、バンキングマルウェアやランサムウェアなどを感染端末に送り込むことができました。
2019年には日本でもEmotet(エモテット)が広まり、多くのニュースやメディアで取り上げられるようになりました。
2020年にはEmotet(エモテット)の被害が世界的に広がり、TrickBotやQbotなどの他のマルウェアを感染させ、銀行の認証情報を盗むという被害が増えました。
しかし、2021年にはEuropolなどの法執行機関による協力により、Emotet(エモテット)の制御サーバーが押収され、脅威は収束したかに見えました。
しかし、2021年11月にEmotet(エモテット)の活動が再開され、2022年には再び被害が増加しました。IPA(情報処理推進機構)からも注意喚起が行われました。
現在でもEmotet(エモテット)の感染は続いており、2022年の検出数も増え続けています。
Emotet(エモテット)が深刻化した理由
Emotet(エモテット)が深刻な脅威となった理由には以下の要因があります。
不正なコードを含まないEmotet本体
Emotet(エモテット)自体は不正なコードを含んでいません。しかし、Emotetは他のマルウェアを侵入させるためのプラットフォームとして機能します。
ウイルス対策ソフトに検知されにくい手法
Emotet(エモテット)は、ウイルス対策ソフトに検知されにくい手法を利用して感染します。例えば、マクロなどの正規の機能を悪用したり、亜種を作成して検知を回避することがあります。
違和感を覚えさせないばらまきメールの巧妙さ
Emotet(エモテット)がばらまかれるメールは、非常に巧妙に作られており、受信者が不正なメールであることに気づきにくくなっています。例えば、返信を装ったメールや、重要な案内を装ったメールなどが使われます。
ユーザ自身に不正なファイルをダウンロードさせる手法
Emotet(エモテット)は、ユーザが気づかないうちに自ら不正なファイルをダウンロードする手法も使用します。例えば、メールのリンクをクリックすると偽装された画面に誘導され、ファイルをダウンロードさせるといった手法があります。
Emotet(エモテット)は、添付ファイルのマクロやリンクを利用するなど、巧妙な手法を次々と変えて感染を広げるため、対策が難しいマルウェアと言えます。
Emotet(エモテット)の攻撃手法
Emotet(エモテット)は、主に以下の2つの手法を使って攻撃を行います。
なりすましメールによる攻撃手法
Emotet(エモテット)は、なりすましメールを利用した攻撃が主な手法です。
公的機関を装ったメールや、注目のトピックを利用して「重要な連絡」のフレーズを使った偽の内容のメールなどがなりすましメールに該当します。
これらのメール本文には、クリックさせるためのURLが記載されており、ユーザーがクリックするとマルウェアに感染します。
メールの添付ファイルを使った攻撃手法
Emotet(エモテット)は、WordやExcelなどのファイルが添付されたメールも利用します。添付ファイルには、「マクロを有効化するように」といった文言が記載されており、ユーザーが気づかずにマクロを実行すると、エモテットに感染してしまいます。
特にエEmotet(エモテット)の多くは、普段のメールのやり取りと見分けがつかないように送られてくるため、受信者は攻撃の手口に気づかず、感染してしまいます。
さらに、Emotet(エモテット)の攻撃手法は巧妙かつ多様化しているため、被害も近年急増している状況です。
Emotet(エモテット)に感染した場合の被害
Emotet(エモテット)に感染すると、具体的にどのような被害が起こるのでしょうか。
他のウイルスに感染するリスクが高まる
Emotet(エモテット)に感染すると、社内の重要な情報が漏えいする危険性が高まるだけでなく、他のウイルスに感染するリスクも増えます。
Emotet(エモテット)がネットワークに侵入すると、新たなマルウェアを配信するための基盤を築きます。その結果、Emotet(エモテット)自体が別のマルウェアをダウンロードするか、攻撃者の仲間が構築した基盤を利用して、次々に感染を広げることが可能になります。
感染メールを送信する手段にされる
Emotet(エモテット)への感染は、情報漏えいや他のウイルスへの感染だけでなく、攻撃者が他の人に対して不正なメールを送る手段にされるリスクもあります。
攻撃者は、連絡先を盗み出した後、正規のやり取りを装って第三者に感染メールを送信します。その結果、被害者ではなく加害者となり、企業の信頼を失う可能性があります。
特に企業では、Emotet(エモテット)に感染した場合は、感染の調査を徹底し、被害を受ける可能性がある関係者に注意を喚起する必要があります。
重要な情報が盗まれる可能性がある
Emotet(エモテット)に感染すると、悪意のあるモジュールがダウンロードされ、認証情報や機密情報などの重要な情報が外部に流出し、悪用されるリスクがあります。
また、Emotet(エモテット)に感染した後、ダウンロードされたランサムウェアによってデータが暗号化され、デバイスが使用できなくなる場合もあります。最悪の場合、どの情報が盗まれたのかや、なぜ感染したのかを調査することが困難になる可能性もあります。
社内ネットワークへの感染が広がる
Emotet(エモテット)が社内のコンピュータに感染すると、それを起点にして社内ネットワークに感染が広がります。エモテットは自己複製機能を持っており、メールを通じて侵入した後、他のコンピュータに次々と感染を広げます。
エEmotet(エモテット)を発見して駆除しても、潜伏していたウイルスが再び感染を広げることもあります。
このような感染を完全に取り除くためには、端末の初期化が必要な場合もあります。
以上が、Emotet(エモテット)に感染した場合の主な被害です。
Emotet(エモテット)の被害事例
米ペンシルバニア州アレンタウン市の事例
2018年2月に、米国のアレンタウン市でEmotet(エモテット)に感染した事例が報告されました。この感染では、約100万ドル(約1億円)もの被害が発生しました。Emotet(エモテット)は市のコンピュータに侵入し、ログイン情報を盗みながら他のマルウェアをダウンロードしていきました。
首都大学東京の事例
日本でもEmotet(エモテット)の感染事例が報告されています。2019年11月に首都大学東京で感染が確認され、1万8千件を超えるメール情報が流出した可能性があります。この感染は、大学教員を狙った標的型のフィッシングメールに添付されたファイルを開いたことが原因です。
カナダ・ケベック州司法省の感染例
カナダのケベック州司法省もEmotet(エモテット)の攻撃を受けました。2020年8月に発生したこの感染では、Emotet(エモテット)による不正侵入が行われ、司法省の受信トレイが閲覧される状態になりました。その結果、約300人分の個人情報が流出しました。
亀屋吉長の顧客情報流出
亀屋吉長株式会社は2020年9月にEmotet(エモテット)に感染し、最大で1万8,000名の顧客情報が流出しました。感染は、社員の1台のPCで発生しました。社員を装った別のメールに添付されたWordファイルを開くことで感染が広まりました。
日本管財株式会社の不審メール配信
2020年9月、日本管財株式会社でもEmotet(エモテット)の感染事例が発生しました。この感染では、約6,400件の不審なメールが同社を通じて配信されました。不審メールは社員名義で送信され、不正な添付ファイルが含まれていました。感染は1台のPCでしたが、約6,400件ものメールが送信される大きな被害となりました。
以上がEmotet(エモテット)に関連する実際の被害事例です。
Emotet(エモテット)に感染した場合の対処法
もしEmotet(エモテット)に感染したら、以下の5つの対処法を実行しましょう。
感染した端末をネットワークから切り離す
感染した端末は、他の端末に感染を広げる可能性があるため、即座にネットワークから切り離しましょう。これにより、Emotet(エモテット)の拡散を防ぐことができます。
メールアカウントのパスワード変更を行う
Emotet(エモテット)に感染すると、メールアカウント情報やパスワードが盗まれるリスクがあります。感染した端末で使用しているメールアカウントのパスワードを変更しましょう。また、Webブラウザに保存されている認証情報も変更しましょう。
同じネットワーク内の他の端末を調査する
Emotet(エモテット)はネットワークを横断して感染を広げる傾向があるため、感染した端末だけでなく、同じネットワーク内の他の端末も調査しましょう。
別のマルウェアに感染していないかチェックする
Emotet(エモテット)は他のマルウェアに感染する能力も持っているため、感染した端末が他のマルウェアに感染していないかもチェックしましょう。必要に応じてさらなる調査や対策を行います。
関係者に注意喚起を行う
Emotet(エモテット)に感染した場合、関係者にも注意喚起を行うことが重要です。感染した端末のメールやアドレス帳に含まれていたメールアドレスは攻撃者に盗まれる可能性があるため、関係者に早急に通知しましょう。
以上が、Emotet(エモテット)に感染した場合の対処法です。
Emotet(エモテット)の感染を予防するための対策
Emotet(エモテット)に感染しないようにするためには、以下の対策が有効です。
OSを常に最新の状態に更新する
Emotet(エモテット)を含むマルウェアは、古いOSの脆弱性を狙って攻撃することが多いです。ですから、OSを最新の状態に保つことやセキュリティソフトを利用することが重要です。これにより、エモテットの感染リスクを軽減できます。
マクロの自動実行を無効化する
Emotet(エモテット)への感染は、主にメールに添付されたOfficeファイルのマクロを実行することによって起こります。そのため、WordやExcelなどのOfficeファイルでマクロの自動実行を無効にしておくことが重要です。これにより、感染を予防することができます。
従業員への啓発と情報共有
Emotet(エモテット)の感染を予防するためには、従業員が不正な添付ファイルを開かないようにすることが重要です。そのためには、従業員にEmotet(エモテット)の攻撃手法や感染時の対処方法について教育し、情報セキュリティに対する意識を高めることが必要です。
エンドポイントセキュリティを導入する
ウイルス対策ソフトウェアをインストールするだけでなく、Emotet(エモテット)を検知し端末の被害を未然に防ぐ「EPP」や、感染後の被害を最小限に抑える「EDR」といったエンドポイントセキュリティの導入も検討しましょう。これにより、Emotet(エモテット)の侵入や拡散を防ぐことができます。
以上が、Emotet(エモテット)に感染を予防するための対策です。
Emotet(エモテット)に感染した場合の対応
Emotet(エモテット)に感染したら、以下の対策を取りましょう。
感染端末を隔離し証拠を保全する
感染端末から情報が漏れている可能性がありますので、まずは感染した端末をネットワークから切り離し、証拠となる情報を保持しておきましょう。メールやアドレス帳に含まれるメールアドレスを確認します。
感染端末の使用していたアカウントのパスワード変更
感染した端末が使用していたメールアカウントやWebブラウザに保存されていた認証情報などのパスワードを変更しましょう。
同じネットワークに接続されている他の端末も調査する
Emotet(エモテット)はネットワーク内で感染を広げる能力があるため、感染した端末だけでなく、同じネットワークに接続されている他の端末も調査する必要があります。
他のマルウェアの感染有無を確認する
Emotet(エモテット)は他のマルウェアに感染させる能力も持っているため、Emotet(エモテット)以外のマルウェアにも感染していないか確認しましょう。もし他のマルウェアに感染していた場合は、追加の調査や対策が必要です。
関係者に注意喚起を行う
調査で確認した対象のメールやアドレス帳に含まれるメールアドレスは盗まれている可能性が高いです。関係者に対して注意喚起を行いましょう。また、JPCERT/CC(日本電子情報技術産業協会)からもEmotet(エモテット)への対応方法についての情報が提供されていますので、参考にすると良いでしょう。
以上がEmotet(エモテット)に感染した場合の対応策です。
まとめ
Emotet(エモテット)についての記事では、Emotet(エモテット)の概要や攻撃手法、被害事例、感染時の対処法、予防策などについて詳しく紹介しました。
Emotet(エモテット)は巧妙な手法を用いて感染を広げ、他のマルウェアをダウンロードすることで被害を拡大させる恐れがあります。被害事例では、市政府や大学、企業などさまざまな組織で多額の損害や情報漏えいが発生していることが明らかになりました。
感染した場合の対処法としては、感染端末の隔離やパスワード変更、他の端末の調査、関係者への注意喚起などが重要です。また、予防策としてはOSの更新、マクロの無効化、従業員の啓発、エンドポイントセキュリティの導入などが効果的です。
Emotet(エモテット)は持ちつ持たれつの関係にあるランサムウェアとは異なる存在であり、注意が必要です。情報セキュリティにおいては常に最新の脅威に対処し、対策を強化することが重要です。
Emotet(エモテット)の脅威は根絶されることなく進化し続けていますが、適切な対策を講じることで被害を最小限に抑えることが可能です。セキュリティ意識の高い組織や個人は、Emotetなどのサイバー攻撃から自らを守るための対策を積極的に行うべきです。
