感染拡大中のマルウェア「Emotet」とは?攻撃の流れ、感染したらどうなるか、被害事例、対策を調査

最終更新日時:2022.06.06 (公開日:2022.05.23)
感染拡大中のマルウェア「Emotet」とは?攻撃の流れ、感染したらどうなるか、被害事例、対策を調査

インターネットの世界には様々なウィルスやマルウェアがありますが、Emotetはマルウェアの一つです。

それまでのマルウェアにはない巧妙性の高さや、知らない間に感染してしまう特徴から、メディアでも広く取り上げられたので記憶にある人も多いかもしれません。

そんなEmotetについて、特徴や感染したらどうすればよいのか、対処方法について等、Emotetについて解説していきましょう。

もくじ
    1. Emotet(エモテット)について
    2. Emotet(エモテット)攻撃の流れ
    3. Emotet(エモテット)に感染したらどうなる?
    4. 日本国内企業のEmotet(エモテット)被害事例
    5. Emotet(エモテット)の感染対策は?
    6. まとめ

Emotet(エモテット)について

まずはじめに、Emotetについて解説していきます。

Emotet(エモテット)とは?

Emotetとは悪意を持つ攻撃者が送信する不正なメールから感染するタイプのマルウェアで、日本国内では2019年11月頃から話題になりました。

2021年1月にユーロポール(欧州刑事警察機構)が行った対策によって一時はEmotetを見かけることもなくなったのですが、2021年11月頃より再び話題となり始めています。

WordやExcelに仕込まれていることが多く、添付ファイルにマクロ実行促進がプログラムされているマクロウィルスです。

ロシアを拠点としたもので、メールの受信者がEmotetだと気付かずに添付ファイルを有効化することでマクロの起動からEmotetに感染してしまいます。

主な感染経路は「なりすましメール」

Emotetの主な感染経路はなりすましメールであり、メール受信者が思わずクリックしてしまう巧妙さを備えているのが特徴です。

例えば「コロナに関する情報」といった身近なテーマに関するもの、あるいは「Re:」とタイトルにあるので返信なのかと思わせるようなもの、過去にメールをやり取りしたことがある相手になりすますなど、マルウェアに警戒している人間をも欺くメールを送信します。

また、当初は添付ファイルのあるメールがEmotetの主な手法でしたが、巧妙化が進み、リンクをクリックすることで外部のサイトから勝手に不正ファイルをダウンロードさせるものも登場しました。

このように、様々な形で変化することから、警戒していても見抜くことが難しい点もEmotetの特徴です

Emotet(エモテット)攻撃の流れ

実際にEmotetがどのような形で攻撃を加えてくるのかについて、流れと共に解説しましょう。

①攻撃者がOfficeファイルを添付した偽装メールを送信

攻撃者は、取引先や顧客等、受信者に近しい存在になりすまし、WordやExcel等のOfficeファイルを添付したメールを送信します。

攻撃の対象がどのような形で選ばれているのかは定かではありませんが、誰に送られても不思議ではありません。

②受信者が不正メールに添付されたファイルを開封

不正メールが送られてきても、メールを閲覧しない、あるいは添付ファイルを開かなければ問題ありません

しかし、送られてくるメールは巧妙です。

メールの件名に「Re:」(返信)や、「Fwd:」「Fw:」(転送)を付けるなど、あるいは本当のメールかのようなタイトル、文言を装ってメールを送ってくるので気を付けていても見分けにくいです。

③Officeファイルを開封すると、閲覧に必要な「コンテンツの有効化」を要求

添付されているファイルを開封すると、「コンテンツの有効化」を要求されます。

ここで有効化を実行することで、添付ファイルに仕組まれているマクロが起動します。

そして、デバイスがEmotetに感染してしまいます。

流れとしてはシンプルです。

しかし、シンプルにして巧妙だからこそ見分けにくく、感染者が後を絶ちません。

Emotetが厄介なのは、巧妙に仕組まれることが多い点にあります。

ありきたりなマルウェアであればすぐに見分けられる人でさえ、Emotetに感染してしまったという例が報告されています。

Emotet(エモテット)に感染したらどうなる?

世界的に猛威を振るっているEmotetですが、では実際にEmotetに感染したらどのような状態になるのかについても把握しておきましょう。

個人情報の流出

Emotetに感染すると、様々な情報を抜き取られてしまいます。

そのため、業務データの流出も懸念されたり、ユーザー名やパスワードといった認証情報を悪用されたりする恐れもあります

もし会社のPCが感染してしまったとしたら、従業員の情報だけではなくクライアント情報等も流出することになります。

つまり、従業員個人が抱えている情報量が大きければ大きいほど、それだけ会社としての被害が拡大してしまいます。

ファイル共有(SMB)の脆弱性を悪用し拡散

Windowsのファイルに共有されているプロトコル、SMBの脆弱性を悪用されるリスクもあります。

SMBはOSを問わずに利用できるよう一般的なファイル共有ができる仕組みとなっているのですが、SMBのこのような特徴を悪用し、感染を拡大させてしまいます。

ちなみにSMB悪用による感染拡大はEmotetだけではなく、その他のマルウェアでも確認されています。

盗み取られたデータで脅される可能性

近年は会社にとって重要な情報を盗み出し、その情報をネタにして企業を脅すといった事件も起きています。

つまり、盗み取られた情報が更なるリスクを招く可能性もあります

重要なデータやシステムが暗号化破壊されることにより業務に影響

PCの大切なデータやシステムの暗号化・破壊も確認されています。

PCを含め、コンピューターは様々なシステムによって成り立っていますが、それらが勝手に暗号化されたり、破壊されてしまえば正常に作動しません。

業務に支障をきたすことになります。

直接的な損失をもたらすこともあれば、業務が行えなくなることで他社・顧客からの信頼の低下を招くリスクもあります。

想定していない被害が及ぶリスクを抱えることになります。

Eメール情報(過去のEメールやアドレス帳)の窃取

Eメール情報の窃取も被害の一つです。

具体的なEメール情報とは、例えば過去のEメールのやり取りやアドレス帳の情報です。

これまでのやり取りやアドレス帳の情報が漏洩してしまった場合、更なる二次被害も懸念されます。

アドレス帳に登録している人にEmotetが送信されるリスクが高まるためです。

また、Eメールの内容まで窃取されているので、相手がEmotetだと見抜きにくいメールを送信されてしまうリスクもあります。

Eメールによる更なる拡散

Emotetに感染することで更なる拡散も懸念されます。

デバイスのメールソフトから情報を盗むだけではなく、情報として保管されている他社・他人のメールアドレスにEmotetを添付したメールを送信します。

もちろん、自分が知らない中で勝手に送信されてしまいます。

さらにはメールを送信されたクライアントがEmotetだとは気付かずに添付ファイルを開いてしまうと、クライアントまでEmotetに感染してしまいます。

被害を増やすだけではなく、Emotetを感染させてしまうことによる信用問題にかかわってくることもあります。

日本国内企業のEmotet(エモテット)被害事例

Emotetは世界的なマルウェアです。

その被害は国外だけではなく、日本でも発見されています。

そこで、日本国内ではどのような被害が出ているのか、いくつか具体的事例を紹介しましょう。

大手電力会社:メールアドレス3418件、メール125件流出

ある大手電力会社では、Emotetに感染したPCからメールアドレス3,418件、メール125件の流出が確認されています。

こちらはセキュリティ機器のアラートによって被害に気付いたとのことですが、外部との通信に関しては暗号化されていたので内容を把握できなかったとのことです。

大手通信会社:メールアドレス1343件が流出

ある大手通信会社では、2022年3月に感染したPCのメールアドレス1343件の流出が確認されています。

こちらは受信した不審メールの添付ファイルから感染してしまったとのことです。

建設メーカー:同社の一部端末が感染し、不審メールを送信

ある建設メーカーでは、社内の一部端末がEmotetに感染してしまったことで、不審メールを送信してしまったことが確認されており、同社では注意喚起と共に謝罪も行っています。

Emotet(エモテット)の感染対策は?

Emotetは厄介なものであることが分かっていただけたのではないでしょうか。

では、Emotetに感染しないためには何が大切なのか、いくつかのポイントをまとめてみました。

添付ファイル(主にWordファイル)を開く前に、送信元を確認する

Emotetは添付ファイルから感染します。

添付ファイルさえ開かなければ感染しないので、メールに添付ファイルがある場合、送信元を確認しておきましょう。

また、送信元だけでは識別できない場合、添付ファイルを送信したのかを確認してみるのも良いでしょう。

偽装メールの可能性を考え、安易に添付ファイルを開くことのないよう気をつけましょう。

添付ファイルのマクロが自動的に実行されないよう設定を確認する

Emotetは、基本的にマクロタイプのマルウェアです。

そのため、マクロを自動的に実行されないよう設定しておくことも有効です

いくらマクロでも、自動で実行されなければ感染しません。

日常的にマクロを使用する人にとっては少々面倒に感じるかもしれませんが、これだけでもEmotetの感染対策として期待できます。

OSのセキュリティパッチは最新のものを適用する

OSのセキュリティパッチは常に最新のものにしておきましょう。

古いセキュリティパッチでは、Emotetを防ぐことはできません。そもそも、新しいものであっても突破されてしまう可能性もあるのです。

セキュリティパッチを常に最新のものにすることはセキュリティ対策の基本であり、Emotetだけではなく、その他のウィルスやマルウェアから身を守ることになります。

感染拡大を防ぐ

万が一Emotetに感染してしまった場合、あるいは怪しい添付ファイルを開いてしまった場合、すぐに端末をネットワークから切り離し、かつ然るべき部署に報告しましょう。

Emotetに感染したことを咎められると躊躇する人もいるかもしれませんが、感染を報告せずに更なる感染拡大を招く方が会社にとっては損失です。

どれだけ注意しても感染してしまうほど、Emotetは巧妙です。

すぐに報告して被害を最小限に食い止めることも大切なので、何かおかしいと思ったらすぐに上司なり担当部署に報告しましょう。

重要システムやデータのバックアップを取っておく

重要なシステムやデータは常にバックアップを取る癖をつけておきましょう。

Emotetにいつ感染するかは分かりません。

自分だけは大丈夫だと思っても、Emotetに感染することもあります。

Emotetに感染すると、システムを暗号化・破壊されてしまい、正常に動作しなくなるケースも確認されています。

繰り返しになりますがEmotetは巧妙です。

そのため、感染しないよう留意することも大切ですが、感染してしまった時のことも考えておきましょう。

まとめ

Emotetの特徴や、感染したらどのようなリスクがあるのかなどを解説しました。

Emotetは沈静化した時期もありましたが、2021年11月から2022年にかけて再び活発化しています。

ふとしたきっかけてEmotetに感染する可能性もあります。

何気なく開いてしまった添付ファイルが実はEmotetだったというケースもあるので、Emotetの特徴を把握し、感染しないよう心がけましょう。

また、心がけることはもちろん、感染してしまった場合にも素早い対処が必要だと覚えておきましょう。

執筆者:Qbook編集部

ライター

バルテス株式会社 Qbook編集部。 ソフトウェアテストや品質向上に関する記事を執筆しています。