2022.07.21

セキュリティ対策

Emotet(エモテット)とは?攻撃手法や対策について解説

昨今、PCの安全性を脅かすマルウェアによる被害が相次いでいます。中でもその一種とされる「Emotet(エモテット)」は、感染力と拡散力が非常に強く2019年後半から猛威を振るっている状況です。

Emotet(エモテット)とは、具体的にどのような手口を用いて攻撃を仕掛けてくるのでしょうか。今回は、Emotet(エモテット)の特徴や攻撃手法に加え、感染した場合の対処法や、企業が講じておくべき対策について解説していきます。

Emotet(エモテット)とは

Emotet(以下、エモテット)とは、悪意のある攻撃者から送信される不正メール(攻撃メール)により、情報の窃取と他のウイルスの媒介を目的とするマルウェアの一種です。
一度エモテットが侵入したら、他のウイルスにも次々と感染してしまうため、甚大な被害に発展するリスクも高いとされています。

初めてエモテットが検出されたのは2014年ですが、2019年に流行が拡大しメディアで取り上げられたことにより、広く認知されることになりました。
また2021年1月には、欧州刑事警察機構(Europol)が講じたテイクダウン作戦により、一度消滅したかと思われましたが、同年11月にはエモテットの活動再開が確認され、それ以降現在もなお感染は拡大し続けています。

Emotet(エモテット)の攻撃手法

Emotet(エモテット)は、おもに以下の2つの手法により攻撃を仕掛けてきます。

なりすましメールを用いた攻撃手法

図:エモテットへの感染を狙う攻撃メールの例
画像引用:IPA情報処理推進機構より

エモテットは、なりすましメールを用いた手口が主流です。
公的機関を装い、話題のテーマを用いた“重要連絡”と偽った内容であったり、携帯会社を装い、重要連絡と偽って連絡するケースなどがなりすましメールに該当します。
なお、このようななりすましメールの本文にURLを記載し、クリックさせることでマルウェアへの感染へと誘導します。

メールの添付ファイルを用いた攻撃手法

図:添付ファイルを開いた時の画面の例
画像引用:IPA情報処理推進機構より

エモテットは、メールに添付されたWordやExcelといったファイルに仕込まれるケースも多くあります。添付ファイルには“マクロの実行”を誘導するような文面が書かれており、メールを受信したユーザーが、被害に気付かずにコンテンツの有効化をクリックすると、マクロが実行されエモテットに感染する流れとなります。

とくにエモテットの多くは、日常のメールのやり取りに紛れるように送付されるため、メール受信者はその手口に気付かず、いつの間にか感染へと誘導されます。
加えて、攻撃の手口も巧妙かつ多岐にわたるため、その被害も近年では急増している状況です。

Emotet(エモテット)感染の被害について

社内でエモテットに感染した場合、具体的にどのような被害を受けるのでしょうか。

他のマルウェアに感染するリスクが高まる

エモテットに感染すると、社内の機密情報などの大切な情報が漏えいするリスクが高まりますが、さらに他のマルウェアに感染するといった二次被害も懸念されます。

もしエモテットがネットワーク内部に侵入すると、そこからマルウェアを配信するためのインフラを構築していきます。その結果、エモテット自身で勝手にマルウェアをダウンロードしたり、攻撃者の仲間が構築したインフラを利用し、マルウェアを仕込むことで次々に感染を引き起こす事態へと発展していきます。

感染メールを送信する踏み台にされる

エモテットへの感染は、情報漏えいや他のマルウェアに感染するといった被害のみならず、第三者への攻撃のために、不正メールを他のユーザーへ送信する踏み台にされるリスクも高まります。
攻撃者は、連絡先を窃取したあと正規のやり取りを装って第三者へ感染メールを送信します。そうなると、被害者どころか加害者となってしまうため、企業の信用を失いかねません。
とくに企業の場合は、エモテットに感染した際、感染調査を徹底した上で、被害を受ける可能性が考えられる関係者へ注意喚起を促す必要があると言えます。

社内のネットワークに感染が広まる

エモテットが社内のPCに感染した場合、そこを起点として社内ネットワークに感染が拡大していきます。エモテットの特性として、自己複製機能を持ち合わせていることから、メールを介して侵入したあとは、その他のPCにも次々と感染を繰り広げていきます。
仮にエモテットを発見し駆除したとしても、潜伏していたウイルスが再び感染を広げていくといったことも少なくありません。
このように感染を広めていくエモテットを完全に取り去る方法としては、端末の初期化が必要となるケースもあります。

Emotet(エモテット)に感染した場合の対処法

万が一、Emotet(エモテット)に感染した場合は、どのような対応を行うと良いのでしょうか。ここでは、5つの対処法をご紹介します。

感染した端末をネットワークから切り離す

端末内に侵入したエモテットは、同じネットワーク内で増殖し、他の端末に伝染が広がる恐れがあります。他の端末へ被害が拡大しないためにも、感染が疑われる端末を発見したら、直ちにその端末をネットワークから切り離しましょう。そうすることで少なからずエモテットの増殖を軽減することができます。

端末内のメールアカウントのパスワード変更を行う

エモテットに感染した場合、使用しているメールアカウント情報やパスワードなどが盗まれるリスクや、仮にエモテットを除去できたとしても悪用されるリスクが残ります。

まずは証拠保全のために、端末内のメールやアドレス帳に含まれるメールアドレスを確認しましょう。その後確認が終えたら、感染した端末が普段使用していたOutlookなどのメールアカウントのパスワード変更や、Webブラウザに保存されていた認証情報を変更しましょう。

同じネットワーク内の他端末を調査する

エモテットは、組織を横断して感染を拡大していく特性があります。
そのため、エモテットに感染した端末だけでなく、感染端末と同じネットワークに所属しているその他の端末も併せて調査を行うようにしましょう。

別のマルウェアに感染していないかチェックする

冒頭でもお伝えしたとおり、エモテットの特性の一つとして、その他のマルウェアに感染させる機能を持ち合わせています。
そのため、感染した端末がエモテット以外のマルウェアに感染していないかを調査することも大切です。万が一、他のマルウェアに感染していた際は、さらなる調査やその後の対応が必要となります。

関係者へ注意喚起を促す

エモテットへの被害を受ける可能性のある関係者へ注意喚起を促すことも重要です。
エモテットに感染すると、調査で確認した対象のメールやアドレス帳に含まれていたメールアドレスは攻撃者に窃取されているリスクがあります。そのため、いち早くプレスリリースなどを活用し案内するようにしましょう。

Emotet(エモテット)の感染を予防するための対策

Emotet(エモテット)に感染してしまうと甚大な被害が予想されます。そのためまずは感染を予防するための対策を講じることが必要です。ここでは、有効な方法をいくつかご紹介します。

OSを常に最新の状態に更新する

一般的にマルウェアは、古いOSの脆弱性を狙って攻撃することが多いため、OSの最新の状態に更新することや、セキュリティソフトによる保護が有効と言えます。
とくにサイバー攻撃は、エモテットに限らずキュリティの脆弱性をついてきます。そのため、まずはOSのセキュリティパッチや、セキュリティソフトのパターンファイルを最新の状態に保つだけでもエモテットの感染を予防する対策となります。

マクロの自動実行を無効化する

エモテットへの感染は、おもにメールに添付されたOfficeファイルのマクロ実行によるものがほとんどです。そのため、まずはWordやExcelといったOfficeファイルのマクロ自動実行を無効化しておくことが、感染を予防するための方法の一つと言えます。

従業員への周知

エモテットの感染を予防するためには、メールの受信者が添付された不正ファイルを開かないことが最も大切です。そのためには、従業員にエモテットの攻撃手法や感染した際の対処法を周知し、情報セキュリティに対する関心やリテラシーを上げていくことが重要です。

エンドポイントセキュリティを導入する

PCへウイルス対策ソフトをインストールすることももちろん大切ですが、それに加えて、エモテットの脅威を検知し端末の被害を未然に防止する「EPP」や、感染後の被害を最小限に抑える「EDR」といったエンドポイントセキュリティを導入することも重要です。

エンドポイントセキュリティについては、以下の記事で詳しく解説しています!
≫エンドポイントセキュリティ、EDRって?重要性やマルウェアへの対策ポイントとは

まとめ

今回は、マルウェアの中でも脅威的な存在であるエモテットについて詳しく解説しました。エモテットは、近年さらに進化を続け、感染拡大の勢いが収まらないマルウェアです。システム面のセキュリティ対策とともに、社内の従業員がメールを受信した際にウイルスファイルを開かない意識を持つことが大切です。メールで感染するウイルスはエモテットだけではないため、日頃から不審なメールには十分注意するようにしましょう。