2014年に発見された、プラットフォーム型マルウェア「Emotet（エモテット）」。近年、世界的に感染被害が拡大し、大きな話題となっています。また、日本でも2019年10月ごろから被害報告が急速に増えており、主要な標的国に位置づけられています。

Emotetの感染力は非常に強く、PCを使用する方であれば誰もが明日は我が身。対岸の火事ではいられません。被害に遭わないためにも、事前の対策、感染後の対応を知識として持っておきましょう。

Emotet（エモテット）とは

Emotetとは2014年に初めて確認されたマルウェアの一種です。確認当初は、ネットバンキングの認証情報のハッキングが主でした。しかし、現在ではさまざまなマルウェアの感染拡大を行うインフラプラットフォーム的な役割も果たしており、潮流に合わせて変化を遂げる悪質なマルウェアとして知られています。

そもそもマルウェアとは

マルウェアとは、ウイルスを含む悪質なソフトウェアやコードの総称です。これまでに多くのマルウェアが確認されています。

【代表的なマルウェア】

• トロイの木馬
• ワーム
• キーロガー

悪質ではないものと見せかけてダウンロードを促す「トロイの木馬」や、自身を複製して拡散する「ワーム」、キーボードやパソコンの操作内容を記録して情報を抜き取る「キーロガー」などが、広く知られているマルウェアです。

Emotet（エモテット）による感染被害

Emotetの感染により、さまざまな被害が想定されます。

• 個人情報の流出
• パスワードの悪用
• 身代金の要求
• さらなる拡散のステップにされる

個人情報の流出、およびパスワードの悪用は、感染被害の代表的な例です。また、データや端末をロックして、解除するための身代金を要求されるといった事例も発生しています。

さらに、Emotetは感染した端末を支配下に置き、さらなる感染拡大のステップとして利用する二次被害を誘発することも覚えておきましょう。

Emotet（エモテット）の特徴と感染拡大

Emotetの感染が拡大する理由に、３つの特徴が挙げられます。

• なりすましによる拡散
• 他ウイルスも感染させる
• 感染先でのアップデート

Emotetの主要感染経路は、非常に高度な「なりすましメール」です。さらに、感染したPCから「なりすましメール」を送信、他ウイルスを招き入れて連携攻撃を仕掛けてくるなど、非常にやっかいな性質を持っています。

また、Emotetは感染先PCの状況によってアップデートを行い、感染を発覚しづらくしたり、セキュリティの穴を見つけて攻撃したりするため、感染が拡大しやすいのです。

なりすましによる拡散

なりすましによる拡散は、Emotetの常套手段です。過去にやりとりしたことのある取引先などを装った、なりすましメールに添付されたURLやファイルを開くと感染するという流れです。

巧妙なのは、過去のやりとりを踏襲して「返信」という形でも送信されてくる点です。取引先から「確認してください」などといった文言があれば、添付ファイルを確認するのが一般的でしょう。Emotetは、こうした私たちの常識を逆手にとり、感染を拡大させるのです。

さらにEmotetの怖いところは、感染者を踏み台にしてさらなる感染を引き起こす点にあります。Emotetに感染するとアカウント情報や取引先のメールアドレスなどのあらゆる情報が抜き取られます。抜き取った情報を利用して、新たななりすましメールを取引先や関係先に送信します。

なりすましメールは自動生成されるため、気づいて阻止することはほぼ不可能です。そのため、Emotetは一瞬のうちに組織内や関係各所に感染が広がっていく、感染力の高い悪質なマルウェアなのです。

他ウイルスも感染させる

Emotetは他のマルウェアを作動させるためのプラットフォームのような役割も持っており、攻撃者が管理するC＆Cサーバー（※感染したPCの指令＆制御を行うサーバー）からさまざまなマルウェアをダウンロードして、複数マルウェアと一緒に感染します。

例えば、データを人質に身代金を要求するランサムウェア・Ryukや、搾取した情報を利用して不正アクセスや送金被害を生むTrickBotなどとの同時感染が多数報告されています。

また海外では、EmotetでPCに侵入してTrickBotで情報を搾取、Ryukで暗号化して痕跡を消し去る、マルウェアの連続被害も確認されています。このように、Emotetの侵入を許してしまうと複数マルウェアからの連携攻撃を受けることが考えられ、甚大な被害を生むことになりかねません。

感染先でのアップデート

EmotetはC&Cサーバーと連携し、感染先への対応を変えています。例えば、感染先のPCがマルウェアを解析できるのか/できないのかをC&Cサーバーが判断し、インストールするマルウェアを決定するといった具合です。

また、EmotetはC&Cサーバーと通信して、定期的にバージョンアップを行います。脆弱性の発見や検知機能の回避など、感染先の状況に合わせて変化するため、感染力が衰えにくいのです。

EMOTET（エモテット）の被害事例

国内での感染事例は、個人情報の流出が主ですが、海外では数千万円の被害を伴う事例もあります。これは、いずれ国内でも起こりうるかも知れません。

【国内の事例】不振メールの添付ファイルを開封して感染した例

まずは、日本の大手通信系企業が、Emotetに感染した事例です。同企業の従業員が不審なメールを受領し、添付ファイルを開封してしまったことにより、従業員のパソコンがEmotetに感染。端末に保存されていたメールアドレス1,343件が流出した可能性が疑われ、同従業員を名乗る不審メールの発信が確認されています。

翌日にはお客様からの問い合わせにより感染が発覚し、注意喚起を促す文章を発表して、感染拡大防止を図っています。

【海外の事例】Emotet感染から身代金を要求された例

アメリカのとある市では、Emotet感染からTrickBotとRyukの連携による攻撃を受け、身代金を要求された事例があります。このケースでも、メールに添付されていたドキュメントを開封したことから感染が始まっています。

同市は、「サーバー」「電話回線」「電子メール」を人質に身代金を要求された結果、50万ドルを支払い、データ復号の鍵を受け取りました。しかし、データが復号できたか否かは明らかにされていません。

EMOTET（エモテット）の感染を確認する方法

感染を早期に確認し被害を未然に防ぐために、下記の対策を講じましょう。

• セキュリティ対策ソフトでスキャン
• メールサーバーログの確認
• ネットワークトラフィックログを確認

セキュリティ対策ソフトでスキャン

Emotetにはさまざまなタイプがあり、最新のセキュリティ対策ソフトでも検知できない可能性があります。日々進化するマルウェアに合わせた感染確認方法を採るために、定期的に定義ファイルのダウンロード→スキャンを行いましょう。

定義ファイルとは、ウイルス対策ソフト開発会社が提供する、最新のウイルス情報データです。定義ファイルのダウンロード後にあらためてスキャンを行うことで、感染を見つけられることもあります。

メールサーバーログの確認

利用しているメールサーバーログで、「なりすましメールの大量送信がないか」「外部宛てメールが異常に増えていないか」「Word形式が添付された送信メールが大量にないか」なども定期的に確認しておきましょう。

ネットワークトラフィックログを確認

Emotetはその特性上、C&Cサーバーと通信を行うため、外部への通信記録を確認することも感染を発見する有効な手段です。ファイアウォールログやプロキシなどで確認しましょう。

EMOTET（エモテット）の感染を防ぐ対策

Emotetの感染自体を防ぐために、下記の対策を講じましょう。

• セキュリティ対策ソフトの使用・最新に保つ
• 不審なメールやファイルは開かない
• Wordマクロの自動実行を無効にする

セキュリティ対策ソフトでスキャン

まず重要になるのは、事前のブロックです。セキュリティ対策ソフトは必ず導入してください。

しかし、導入するだけで安心とはいきません。セキュリティ対策ソフトを定期的に更新していかないと、ウイルスの変化について行けず、目の粗い網のようにすり抜けられてしまいます。継続的な更新を心がけましょう。

不審なメールやファイルは開かない

万が一侵入を許してしまった場合でも、メールやメールに添付されたファイルを開かなければ感染することはありません。「不審に感じた場合は開かない」を徹底しましょう。

しかし、Emotetはなりすましメールの体裁で巧妙に侵入してくるため、リスクを判別しづらい特性があります。判別が付かない場合は送信元に確認を行い、安全性を確保してからメールやファイルを開くようにしましょう。

Wordマクロの自動実行を無効にする

Emotetは、Wordマクロの自動実行が有効となっている環境で感染する可能性が高まります。感染の水際対策として、マクロの自動実行を無効化しておきましょう。

感染してしまった場合の対応・行動

万が一感染した場合は、速やかに下記の対策を講じましょう。

• ネットワークを切る
• パスワードの変更
• 被害の調査

ネットワークを切る

まずはネットワークを遮断します。

• 二次被害の防止
• C&Cサーバーとの連携を絶つ

これは、Emotetによるなりすましメールの送信を防ぎ、他のマルウェアを呼び入れないための対策です。ネットワークを遮断し入り口と出口をふさぎ、Emotetを感染端末に隔離します。

なお、Emotetには無線LANに侵入して拡散する性質も確認されています。LANケーブルを抜くだけでなく、無線の無効化も行いネットワークを遮断しましょう。

パスワードの変更

Emotetに感染すると、端末に保存されている情報を抜かれて悪用される可能性があります。感染が発覚したら各アカウントのパスワードを速やかに変更しましょう。端末へのログインパスワードはもちろん、メールアカウント、ブラウザでログインしたことのあるショッピングサイトやネットバンキングなどのパスワードすべてが対象です。

なお、パスワードの変更は感染した端末とは別の端末で行います。感染した端末から行ってしまうと、変更後のパスワードも抜き取られる可能性があるからです。

被害の調査

続いて、被害の調査を行い、証拠を集めます。デジタルデータは容易にコピーや上書き、削除ができてしまうため、素早く確実に法的効力を持つ証拠を集める必要があるのです。また、感染経路や状況が分かれば、対策を練るのにも役立ちます。

ただし、この調査は難解なものです。迅速な対応が求められる被害調査は、専門機関や専門の業者への相談を視野に入れておきましょう。