セールスセンター2022.11.29
Emotet(エモテット)とは?進化する最恐マルウェアの脅威と対策を詳しく解説
ニュースなどで「Emotet(エモテット)」という名前を聞いたことはないでしょうか。Emotetとは、おもにメールの添付ファイルを介して感染するマルウェアの一種です。実在する組織や人物などを装う「なりすましメール」を利用した巧妙な手口で、近年国内で感染拡大を続けています。
今回は、とある企業のIT部門に所属するセキュリティに精通した中山部長(44歳)と新人セキュリティ担当の石塚さん(24歳)の会話から、Emotetの特徴や脅威、具体的な対策方法について学びましょう。
1. 最恐マルウェア「Emotet」とは?
先日、社内のセキュリティ対策室から「Emotet」というマルウェアへの注意喚起がありましたよね。これってそんなに恐ろしいマルウェアなんですか?
Emotetはおもにメールに添付されているWordやExcelなどのファイルを開封後、マクロを有効化することによって感染してしまうマルウェアだよ。最恐マルウェアと呼ばれるほど被害が大きいから注意しなくちゃいけないね。
最恐マルウェア!? でも、見覚えのないメールは開かずに削除すれば大丈夫ってことですよね。
それが、Emotetは実在する組織や人物になりすましたり、実際にやりとりしたメールの内容を用いたりして本物を装うんだ。手口が巧妙なところがEmotetの恐ろしさだね。
そんなことができるんですか!? 急に怖くなってきました…。
正しく対処するために、まずはEmotetの攻撃手法や感染した場合の被害について理解しておこう。
Emotetは2014年に初めて発見されて以来、活動停止と活動再開を繰り返しているマルウェアです。日本国内でも2019年に流行し、2021年4月以降は感染が激減していましたが、2021年11月頃から活動再開が報告されています。
Emotetはもともとオンラインバンキングのアカウント情報を盗むことを目的としていましたが、現在ではあらゆるマルウェアの感染を手助けするプラットフォームとなっています。日々進化し続けるEmotetの攻撃手法と感染した場合の被害について解説します。
Emotetの攻撃手法
Emotetの攻撃における最大の特徴は、実在の人物や実際のやりとりを偽装して送信する「なりすましメール」です。具体的な攻撃手法について順を追って解説します。
- 1. 攻撃者がEmotet感染誘導メール(マクロ付きファイル)を送信
- 2. 受信者がファイルを開封しマクロを有効化することによって端末がEmotetに感染
- 3. 感染した端末から攻撃者がメール情報を盗む
- 4. 盗んだ情報をもとに、社内や取引先へ受信者を装いさらに感染誘導メールを送信
Emotet感染による被害
Emotetに感染した場合、具体的には以下のような被害を受ける可能性があります。
個人情報や企業秘密、認証情報などの流出
端末内に保存されている氏名や連絡先などの個人情報や、Webブラウザなどに保存されているIDやパスワードといった認証情報が盗まれます。また、盗んだ認証情報を悪用して社内ネットワークに侵入された場合、企業の機密情報が漏えいすることもあります。
2022年4月に東京労働局の業務委託先で、Emotet感染により1,269件の個人情報が漏えいした可能性があるとの発表がされました。
ランサムウェアなどの強力なマルウェアへの二次感染
2017年からはEmotetが感染端末にランサムウェア(身代金要求型ウイルス)など他のマルウェアを感染させる仕組みが追加されました。海外では、Emotet感染から最終的にランサムウェアが社内ネットワークへ拡散され、被害を受けた事例も確認されています。
Eメール情報流出によるさらなる感染拡大
Emotetは感染端末からメール情報を盗み、盗んだ宛先へメールをばらまくため、社内外問わず感染が拡大し、自身が加害者に加担する形となるケースも多数報告されております。
実際に従業員(仮にA氏とします)のPCがEmotetに感染し、A氏を装った第三者からの不審なメールが送信される事例が多くの企業で確認されています。
図1 Emotetへの感染を狙う攻撃メールの例
出典:「『Emotet(エモテット)』と呼ばれるウイルスへの感染を狙うメールについて」(IPA)
Emotetの恐ろしさがよくわかりました…。巧妙ななりすましによって被害がどんどん拡大してしまうんですね。これって防ぐ方法はないのでしょうか?
感染拡大を防ぐためには、一人ひとりが注意してきちんと対策を行うことが重要だね。Emotetの具体的な対策方法を紹介するよ。
2. Emotetの被害を防ぐための対策
Emotetの感染を防ぐ方法と、万が一感染してしまった場合の対応方法について解説します。
Emotetの予防方法
Emotetの被害を防ぐためには、以下のような対策を実施します。
メールの送信元を確認する
Emotetのばらまきメールを見分けるポイントはメールアドレスです。実在の人物を装ったメールでも、@以降がフリーメールのアドレスになっているなど正規のアドレスとは異なっています。注意深く確認しましょう。
マクロの自動実行を無効化する
Emotetはおもにメールに添付されたMicrosoft Officeファイルなどのマクロを実行することにより感染します。勝手にマクロが起動しないよう、事前にマクロの自動実行の設定を無効化しておきましょう。
Microsoft Office 製品のマクロ自動実行を無効化しておく
出典:「メールの情報を盗み出すマルウエアに注意!」(大阪府警察)
OSやアプリケーションは常に最新の状態にする
Emotetは、SMB(ファイルやプリンターの共有時に用いられる通信プロコトル)の脆弱性を狙うケースも確認されています。OSやアプリケーションには最新のセキュリティパッチが適用されるよう、アップデートは欠かさず行いましょう。
セキュリティ対策ソフトを導入する
一般的なウイルス対策としてセキュリティ対策ソフトを導入することも有効です。万全とはいえませんが、複数のフィルターで不審な挙動を検知することでリスクを減らせます。
Emotetに感染した場合の対応方法
もし、Emotetに感染してしまった場合は以下の対応を行いましょう。
感染した端末をすぐにネットワークから切り離す
感染が判明した端末、感染が疑われる端末はすぐにネットワークから切り離しましょう。これにより、ネットワークに接続されているほかの端末への感染拡大のリスクを減らすことができます。
メールアドレスやパスワードを変更する
盗まれた情報を悪用される可能性があるため、メールアドレスや各種認証情報などを変更しましょう。
感染した端末を初期化する
感染端末からマルウェアを駆除しても、再び使用するとスキャンで検知できなかったウイルスが残っている可能性があります。安全面を考慮して初期化しておきましょう。
被害範囲を調査し迅速に周知する
感染した端末内のメール情報は漏えいしている可能性があり、感染拡大の恐れがあります。該当する取引先や顧客に迅速に注意喚起しましょう。
3. まとめ
Emotetはなりすましを行う巧妙な手口により、非常に感染力・拡散力が高いことが特徴のマルウェアです。Emotetの感染によって、情報流出やさらに強力なマルウェアへの感染、社内外への感染拡大が懸念されます。
Emotetは常に進化し続けているため、対策方法も今後変化していくかもしれません。
最新情報を取り入れながら適切な対策を行い、被害を防ぎましょう。
安心と安全を提供する Symantec