Emotet（エモテット）とは?進化する最恐マルウェアの脅威と対策を詳しく解説

ニュースなどで「Emotet（エモテット）」という名前を聞いたことはないでしょうか。Emotetとは、おもにメールの添付ファイルを介して感染するマルウェアの一種です。実在する組織や人物などを装う「なりすましメール」を利用した巧妙な手口で、近年国内で感染拡大を続けています。

今回は、とある企業のIT部門に所属するセキュリティに精通した中山部長（44歳）と新人セキュリティ担当の石塚さん（24歳）の会話から、Emotetの特徴や脅威、具体的な対策方法について学びましょう。

1. 最恐マルウェア「Emotet」とは?

Emotetは2014年に初めて発見されて以来、活動停止と活動再開を繰り返しているマルウェアです。日本国内でも2019年に流行し、2021年4月以降は感染が激減していましたが、2021年11月頃から活動再開が報告されています。

Emotetはもともとオンラインバンキングのアカウント情報を盗むことを目的としていましたが、現在ではあらゆるマルウェアの感染を手助けするプラットフォームとなっています。日々進化し続けるEmotetの攻撃手法と感染した場合の被害について解説します。

Emotetの攻撃手法

Emotetの攻撃における最大の特徴は、実在の人物や実際のやりとりを偽装して送信する「なりすましメール」です。具体的な攻撃手法について順を追って解説します。

1. 1. 攻撃者がEmotet感染誘導メール（マクロ付きファイル）を送信
2. 2. 受信者がファイルを開封しマクロを有効化することによって端末がEmotetに感染
3. 3. 感染した端末から攻撃者がメール情報を盗む
4. 4. 盗んだ情報をもとに、社内や取引先へ受信者を装いさらに感染誘導メールを送信

Emotet感染による被害

Emotetに感染した場合、具体的には以下のような被害を受ける可能性があります。

個人情報や企業秘密、認証情報などの流出

端末内に保存されている氏名や連絡先などの個人情報や、Webブラウザなどに保存されているIDやパスワードといった認証情報が盗まれます。また、盗んだ認証情報を悪用して社内ネットワークに侵入された場合、企業の機密情報が漏えいすることもあります。

2022年4月に東京労働局の業務委託先で、Emotet感染により1,269件の個人情報が漏えいした可能性があるとの発表がされました。

ランサムウェアなどの強力なマルウェアへの二次感染

2017年からはEmotetが感染端末にランサムウェア（身代金要求型ウイルス）など他のマルウェアを感染させる仕組みが追加されました。海外では、Emotet感染から最終的にランサムウェアが社内ネットワークへ拡散され、被害を受けた事例も確認されています。

Eメール情報流出によるさらなる感染拡大

Emotetは感染端末からメール情報を盗み、盗んだ宛先へメールをばらまくため、社内外問わず感染が拡大し、自身が加害者に加担する形となるケースも多数報告されております。

実際に従業員（仮にA氏とします）のPCがEmotetに感染し、A氏を装った第三者からの不審なメールが送信される事例が多くの企業で確認されています。

図1 Emotetへの感染を狙う攻撃メールの例
出典：「『Emotet（エモテット）』と呼ばれるウイルスへの感染を狙うメールについて」（IPA）

2. Emotetの被害を防ぐための対策

Emotetの感染を防ぐ方法と、万が一感染してしまった場合の対応方法について解説します。

Emotetの予防方法

Emotetの被害を防ぐためには、以下のような対策を実施します。

メールの送信元を確認する

Emotetのばらまきメールを見分けるポイントはメールアドレスです。実在の人物を装ったメールでも、@以降がフリーメールのアドレスになっているなど正規のアドレスとは異なっています。注意深く確認しましょう。

マクロの自動実行を無効化する

Emotetはおもにメールに添付されたMicrosoft Officeファイルなどのマクロを実行することにより感染します。勝手にマクロが起動しないよう、事前にマクロの自動実行の設定を無効化しておきましょう。

Microsoft Office 製品のマクロ自動実行を無効化しておく
出典：「メールの情報を盗み出すマルウエアに注意！」（大阪府警察）

OSやアプリケーションは常に最新の状態にする

Emotetは、SMB（ファイルやプリンターの共有時に用いられる通信プロコトル）の脆弱性を狙うケースも確認されています。OSやアプリケーションには最新のセキュリティパッチが適用されるよう、アップデートは欠かさず行いましょう。

セキュリティ対策ソフトを導入する

一般的なウイルス対策としてセキュリティ対策ソフトを導入することも有効です。万全とはいえませんが、複数のフィルターで不審な挙動を検知することでリスクを減らせます。

Emotetに感染した場合の対応方法

もし、Emotetに感染してしまった場合は以下の対応を行いましょう。

感染した端末をすぐにネットワークから切り離す

感染が判明した端末、感染が疑われる端末はすぐにネットワークから切り離しましょう。これにより、ネットワークに接続されているほかの端末への感染拡大のリスクを減らすことができます。

メールアドレスやパスワードを変更する

盗まれた情報を悪用される可能性があるため、メールアドレスや各種認証情報などを変更しましょう。

感染した端末を初期化する

感染端末からマルウェアを駆除しても、再び使用するとスキャンで検知できなかったウイルスが残っている可能性があります。安全面を考慮して初期化しておきましょう。

被害範囲を調査し迅速に周知する

感染した端末内のメール情報は漏えいしている可能性があり、感染拡大の恐れがあります。該当する取引先や顧客に迅速に注意喚起しましょう。

3. まとめ

Emotetはなりすましを行う巧妙な手口により、非常に感染力・拡散力が高いことが特徴のマルウェアです。Emotetの感染によって、情報流出やさらに強力なマルウェアへの感染、社内外への感染拡大が懸念されます。
Emotetは常に進化し続けているため、対策方法も今後変化していくかもしれません。
最新情報を取り入れながら適切な対策を行い、被害を防ぎましょう。