Emotet（エモテット）とは？ 攻撃手法や想定される被害、対策を紹介

Emotet（エモテット）とは、ファイルを介して感染するマルウェア

Emotet（エモテット）とは、主にスパムメールに添付されたファイルによって感染するマルウェアです。通常のファイルに偽装して端末内に潜伏する「トロイの木馬型」のマルウェアとされています。まずは、Emotetの特徴を見ていきましょう。

ほかのユーザーに感染を広げる

PCなどの端末がEmotetに感染すると、その端末のアドレス帳に保存されたメールアドレスや、送受信していたメールアドレス宛に新たなスパムメールが送られ、さらに感染が広がります。業務で使用している端末に感染した場合には、取引先や顧客に感染を広げるメールがばらまかれてしまう可能性があります。

ほかのマルウェアを感染させる

Emotetは、ほかのマルウェアをダウンロードして実行する機能も持っています。Emotetが感染した端末に、別の新たなマルウェアを感染させて機密情報を流出させるなどし、被害をさらに大きくする可能性があります。Emotetは、さまざまなマルウェアや、情報を盗み出すモジュールを呼び込んで、端末や社内ネットワークを攻撃する特殊なマルウェアといえます。

Emotetの動向

Emotetは、2019年11月末ごろからその存在が知られるようになり、メディアなどでも取り上げられました。被害が相次いだことから大々的な対策が講じられ、2021年1月にはユーロポール（欧州刑事警察機構）が主体となってEmotetを制御するサーバーを押収するなどして、いったんは活動が沈静化しました。

しかし、2021年11月に再び活動が確認され、感染が拡大し始めました。その後も下火になったかと思うと復活を繰り返し、被害を広げ続けています。最近では、2023年3月にも攻撃活動の再開が報告されており、その脅威は現在も続いています。

Emotetの攻撃手法

Emotetの最も一般的な攻撃手法は「メールへの添付」です。不正なコードが埋め込まれたMicrosoft WordやExcelなどのファイルを添付したメールを送り付け、受け取った人が添付ファイルを開いて閲覧しようとすると、端末が感染するというものです。

例えば、添付されているWordの文書を開くと、マクロの有効化を求めるメッセージが表示されます。その指示に応じて有効化すると、Emotetが動作を開始し、端末に感染してしまいます。その後、Emotetは端末内に保存されているメールアカウントやパスワード、メール本文、アドレス帳の情報などを窃取し、過去にメールのやりとりをした人のメールアドレス宛てに新たなメールを送信して感染を広げていきます。また、並行して別のマルウェアのダウンロードも実行します。

Emotetの被害が深刻化した理由

Emotetの感染が広がり、被害が深刻化したのはなぜでしょうか。それには、次のような理由が挙げられます。

Emotet本体の不正なコードが検知されにくいため

マルウェアやウイルスと呼ばれるプログラムには通常、悪質な行為を実行するための不正なコードが内包されています。しかし、Emotetの本体には不正なコードは多く含まれていません。

Emotetは、ユーザーがWordやExcelのマクロの実行を許可する操作をした際に、それを利用して端末内に侵入します。そして、攻撃者が用意したC&C（コマンド＆コントロール）サーバーから、情報窃取などの不正な動作をするモジュールをダウンロードして実行します。その際にも、それらモジュールをストレージにファイルとして保存するのではなく、メモリ上でのみ動作させるなどしてできる限り活動を隠蔽するため、検知されにくいという特徴があります。

この手口は通常のアンチウイルスソフトなどでは検知が難しく、ユーザーも危険性を認識していないことが多いため、感染が拡大するリスクが高いとされています。

不正なメールであることがわかりにくいため

Emotetは、攻撃のためのメールの使い方も巧妙です。日本語で書かれたメールは、一見すると普段送られてくるメールと違いがわかりません。2020年1月ごろには、当時保健所が送信していた新型コロナウイルス感染症に関する案内を装う不正メールなども確認されています。

また、知人とメールをやりとりしている途中のスレッドに割り込む形で、突然不正メールが送られてくるケースもあります。それまでやりとりしていたメールの件名に「RE:」をつけた、返信を装ったメールが送信されてきます。この場合、信頼してメールのやりとりをしている相手から、添付ファイル付きのメールが送られてきたように見えるため、ユーザーの警戒心はどうしても緩くなってしまいます。相手に気づかれないような巧妙な手口で攻撃用のメールを送るという点で、極めて悪質なマルウェアです。

不正なファイルをユーザー自身にダウンロードさせるため

Emotetは、メールの添付ファイルを使う方法だけでなく、不正なファイルをユーザー自身にダウンロードさせて感染させるという手口を用いることもあります。

この手口は、メールに記載されたURLをクリックすることで、悪質なWebサイトに誘導するというものです。2021年11月に報告されたケースでは、本文中のURLをクリックすると正規のWebサイトを装った偽のWebサイトにアクセスし、PDFファイルを閲覧するために必要なリンクに見せかけたボタンを押すと、不正なファイルをダウンロードさせられるというものでした。

また、添付ファイルを使った手口にも変化が見られます。最近では、メールに添付されたZIPファイル内に、500MBを超える容量の大きなWordファイルが含まれる例が報告されました。500MBのようにサイズの大きなファイルが添付されると、アンチウイルスソフトがPCのメモリを大量に消費してしまい、アンチウイルスソフトが正常に動作できなくなる可能性があります。これは、アンチウイルスソフトの検知回避を狙ったものであるでしょう。

さらに、Microsoft OneNote形式のファイル（拡張子が.one）を使った手口も確認されています。この手口では、添付されたOneNote形式のファイルを開いてファイル内に書かれた偽の指示に従って操作すると、Emotetに感染してしまいます。

このように、Emotetは端末を感染させるために、さまざまな形態へと変化し続けています。感染の手法が日々巧妙に変化している点も、このマルウェアの被害が深刻化している要因といえます。

Emotet感染で想定される被害

Emotetが端末に侵入すると、どのような被害が想定されるのか、もう少し詳しく見ていきましょう。具体的には、次のような被害が起きる可能性があります。

ほかのマルウェアに感染するリスクが高まる

Emotetに感染したときに最も問題となるのは、ほかのマルウェアに感染するリスクが一気に高まることです。Emotetは、「ドロッパー」と呼ばれる役割を担います。これは、バックグラウンドでC&Cサーバーと通信して、さらに悪質な別のマルウェアをダウンロードして実行するというものです。情報を盗み出すためのスパイウェアや、システムを遠隔操作するためのトロイの木馬などに感染させられ、機密情報などを盗み出される恐れがあります。

特に脅威となるのは、Emotetとランサムウェアの組み合わせです。ランサムウェアは、感染させたPC内のファイルを暗号化して使用不可能にし、その後、暗号化解除と引き替えに「身代金」を要求するという悪質なマルウェアです。

近年のランサムウェアでは、企業に対して「盗み出した重要情報を漏洩させる」と脅迫を行うこともあります。このような二重脅迫を仕掛けてくるパターンに遭遇すると、被害は深刻です。被害を受けた組織は、「身代金を支払わなければ情報を公開する」と脅かされますが、その前に情報の一部がすでに流出させられていたというケースもあり、身代金を払ったとしても情報が漏洩しない保証はないのが現状です。

重要情報が流出する

端末がEmotetに感染すると、メールアカウントやパスワード、メール本文、アドレス帳、各種Webサイトの認証情報などが窃取され、これらの情報が流出する可能性があります。また、ブラウザに保存していたクレジットカード情報が盗まれるケースも報告されています。加えて、上記でご紹介したようにEmotetがダウンロードして実行したマルウェアによって、抜き取られた企業の機密情報が流出する可能性も考えられるでしょう。

組織内で爆発的に感染が拡大する

Emotetは、社内ネットワークを利用してほかのPCに感染を広げる機能も持っています。一度組織内の端末に侵入すると、自己増殖するワーム機能を使ってネットワーク内のほかの端末へと感染を広げていきます。

ほかのマルウェアを呼び込む機能と同時にこのような活動が行われると、ネットワークにつながる多くの端末がさまざまなマルウェアに感染し、やがてシステム全体が完全に乗っ取られてしまうことにもなりかねません。マルウェアを一つひとつ除去し、正常な状態に戻すことも困難です。

Emotetの感染を防ぐには？

Emotetの感染を防ぐには、従業員一人ひとりが次に挙げる対策を心掛け、実行することが求められます。

Emotetへの対策

• 受信したメールアドレスが不審なドメインではないことを確認する
• 添付ファイルのマクロが自動的に実行されないように設定しておく
• 本文中に挿入されているURLが不審なリンクではないかをチェックする
• 重要なデータやシステムのバックアップを取っておく

特に、添付ファイル付きのメールや、本文中にURLが記載されたメールを受信した際は、そのメールが不正なものでないかを疑うように習慣づけておくことが大切です。

また、WordやExcelなどのOfficeファイルはマクロの実行を無効化できるため、あらかじめその設定をしておきます。無効化した上でマクロを含むWordやExcelファイルを開くと「セキュリティの警告」が表示されますが、そこで「コンテンツの有効化」をクリックしてしまうと、マクロが実行されるので注意が必要です。

さらに、重要なデータやシステムのバックアップは、端末と切り離したストレージやクラウドに保存し、定期的にバックアップを取っておけば、バックアップからデータやシステムを復元できるため、ランサムウェアによる被害の拡大を抑えることができます。

Emotet感染が疑われた際の対応

何らかの理由でEmotetの感染が疑われるときは、まず専用ツールを使って感染の有無をチェックすることになります。一般社団法人JPCERTコーディネーションセンターのWebサイトでは、Emotet専用の感染確認ツール「EmoCheck（エモチェック）」が公開されています。

また、自分ですぐにできる具体的な対応策として、有事に備えて、次の3点は事前に押さえておくことをお勧めします。

感染したPCのネットワークを切断する

感染時にまずやるべきことは、感染した端末をネットワークから切り離すことです。Wi-Fiに接続している場合は切断し、有線LANで接続している場合はLANケーブルを端末から外します。

感染したPCで使用していたメールのパスワードを変更する

感染した端末で使用していたメールアカウントのパスワードも、ただちに変更してください。その際、感染したPCを使って変更をすると、新しいパスワードも盗み見られる可能性があるため、別のPCを使ってパスワードを変更してください。

警察に通報・相談する

すでにEmotetに感染していて、不正メールをばらまかれた形跡がある場合や、情報が窃取され流出してしまっているという場合は、警察に通報し相談してください。

都道府県警察本部のサイバー犯罪相談窓口一覧

Emotet対策には、エンドポイントセキュリティを実現できるツールが有効

ここまで見てきたように、Emotetは非常に巧妙な手口を用いて、従来のセキュリティ対策を回避し侵入してきます。そのため、組織のネットワーク環境を外部の脅威から守るために、外部とのネットワークの境界にファイアウォールやアンチウイルスソフトなどを設けるこれまでの「境界型セキュリティ」では、対処しきれないケースも多いのが実情です。そこで注目されているのが、PCなどの端末そのものを強固に守る「エンドポイントセキュリティ」という技術です。

クライアント運用管理ソフトウェア「SKYSEA Client View」は、エンドポイントセキュリティを実現するためのさまざまな機能を搭載しています。ネットワークの末端に接続されている組織内のエンドポイント（端末）を全数把握し、OSやソフトウェアのアップデートを迅速に漏れなく行うことで、各エンドポイントのセキュリティを強化できます。

さらに、エンドポイントを常時監視し、不審な挙動を検知する他社のEDR製品とも連携。パターンファイルに依存しないふるまい検知で、未知のマルウェアを素早く発見・隔離します。検知と同時に、ほかのPCが同じマルウェアに感染していないかを自動で調査することもできます ^※。Emotetをはじめとする悪質なマルウェアから端末やシステムを守り、情報漏洩のリスクを回避するためにも、「SKYSEA Client View」の導入をぜひご検討ください。

※「EDRプラスパック」オプションの購入が必要です。