マルウェアのひとつEmotet(エモテット)とは?その危険性と対策について解説

インターネット上で、マルウェアの手口は年々巧妙化しています。そのため、知らないうちに感染して、大切な情報を抜き取られているということも起きかねません。
そのマルウェアのなかで、近年世界規模で感染拡大しているのがエモテットです。エモテットとはどのようなマルウェアか、知らない人も多いのではないでしょうか。

そこで今回は、エモテットの概要と特徴を紹介します。併せて、その危険性と対策についても解説します。

エモテットとは?特徴について

エモテットとは英語で「Emotet」と表記され、2014年にはじめて確認されたマルウェアの一種です。

当初は、金融データの不正取得を目的とした「バンキング型トロイの木馬」として猛威を振るっていましたが、2017年ごろからその手口が巧妙となり、さまざまなマルウェアを感染・拡散させる「マルウェアの運び屋」へと進化しました。近年では世界規模で急速に感染が拡大し、国内でも被害が続発しています。

エモテットの主な感染ルートは、多くのマルウェアと同様に「なりすましメール」です。なりすましメールに添付された、WordなどのOfficeファイルやURLを開いてマクロ機能を有効化すると、自動的にエモテットがダウンロードされ、感染します。

エモテットは非常に高い感染力と拡散力を持つマルウェアで、感染したパソコンからメールアドレスやログイン情報などを盗み出します。最悪の場合は、ネットワーク全体が感染する危険性があります。

エモテットの手口とはどのようなもの?

エモテットは単調なパターンではなく、さまざまな手口で忍び寄ってくるため、常に警戒が必要です。主なエモテットの手口について、いくつか事象を紹介します。

URLリンクを悪用した攻撃メール

エモテットが流行しはじめた当初は、Wordファイルが添付されたタイプのメールが大半でした。その後、徐々に増えていったのがURLを悪用したメールです。あたかも利用者に関連するかのような件名のメールが配信され、メールの本文にURLが記載されています。

リンクをクリックすると、外部のWebサイトに埋め込まれている不正なファイルが勝手にダウンロードされる仕組みです。

パスワードつきZIPファイルメールを悪用した攻撃メール

セキュリティ対策の一環で、多くの企業では添付ファイルをメールで送信する際に、パスワードつきのZIPファイルとして送付するようになりました。この方法を悪用して、パスワードつきのZIPファイルが添付された攻撃メールが急増したのです。また、添付ファイルが暗号化されているため、受信側のセキュリティ対策ソフトを通り抜け、高い確率でメールが届きます。

ZIPファイルにはエモテットが仕込まれたファイルが圧縮されており、ファイルを開いて「コンテンツの有効化」ボタンをクリックした瞬間、デバイスがエモテットに感染する流れです。

正規のメールへの返信を装った攻撃メール

エモテットの流行当初からの手口として、正規に送付したメールへの返信を装った攻撃メールがあります。

攻撃メールの受信者が、過去にメールのやりとりをしたことのある実在の相手になりすまし、氏名・メールアドレス・メール内容の一部を悪用して攻撃メールを発信します。そして、ほかの攻撃メールと同様に、添付ファイルを開いてコンテンツを有効化した時点で感染する仕組みです。

話題のテーマを取り扱った攻撃メール

エモテットは、クライアントなどから送信されたメールを装うだけでなく、身近なテーマを題材に忍び寄ることもあります。

代表例としては、「新型コロナウイルス」に関連する情報を装った攻撃メールです。実際に、新型コロナウイルスの感染予防を啓発するメールを装ってサイトなどに誘導し、感染した事例があります。

エモテットに感染したかどうか確かめるには

エモテットの手口は巧妙であり、知らないうちに感染している可能性もあります。もし、自分が感染しているかどうかを確認したいなら、次の3つの方法があります。

ウイルス対策ソフト

エモテットに感染しているか確認するには、ウイルス対策ソフトを利用する方法が最適です。

ウイルス対策ソフトは、高い確率でエモテットに感染しているかどうかを検出できます。ただ、エモテットは常に変異しているため、ソフトのパターンファイルを最新の状態に更新したうえで検査することが重要です。

メールサーバーのログチェック

エモテットに感染すると、感染したデバイスから実際にやりとりしている人に向けてメールが配信されます。

メールサーバーのログを確認して、外部に向けてメールが一斉送信されていないか、Wordファイルの添付メールが大量に送信されていないかを確認することで、感染有無を判断できます。

ネットワークトラフィックログのチェック

組織において外部へのトラフィック(通信量)を記録・監視している場合は、特定のデバイスから外部のIP アドレスの複数ポートに対して、通信が発生しているかをチェックすれば感染確認ができます。

もし感染したら……?エモテットの危険性

エモテットへの感染が明らかになった場合、次のような被害の発生が考えられます。

ネットワーク内のほかの端末へ伝染する

エモテットは自己増殖ワーム機能があり、感染したデバイスだけでなく周囲のデバイスにも感染を広めるマルウェアです。

ワームは「自ら複製を作成して感染を広げる」「何かに寄生する必要がなく単独で存在する」という特徴があります。感染デバイスからほかのネットワークを介して拡散すると、続けて、同一Wi-Fiネットワーク内に存在するほかの端末にも感染を広げるのです。

いったん自身のネットワーク内にあるエモテットを駆除しても、同じネットワークから再度侵入を受けて、感染が止められない可能性があります。

ランサムウェアへの感染

エモテットに感染すると、ランサムウェアがダウンロードされ、デバイス内のデータを暗号化されます。そのため、どのような情報が漏えいしたのか、把握できなくなります。

ランサムウェアは、Ransom(身代金)とSoftware(ソフトウェア)を合体させた造語であり、マルウェアの一種です。このランサムウェアの被害を受けるとデバイス自体が利用できなくなり、復旧作業を行う間、業務がストップしてしまいます。

重要な情報が抜き取られる

エモテットに感染すると、情報を抜き取るためのモジュールがダウンロードされます。これにより、サーバーやインターネットサイトなどで使用する認証情報など、さまざまな機密情報が外部に流出します。

サーバーデータの喪失

エモテットに感染すると、ランサムウェアがダウンロードされてサーバーのデータが喪失する恐れがあります。

情報資産を失うだけではなく、プロジェクトの遅延なども想定されるため、多くの組織ではセキュリティリスクを鑑みて、サーバーのバックアップや分散化などを図っています。そのように対処したとしても、サーバーが使用できなくなると大きな被害を受けることは間違いありません。

エモテットに感染した場合の対処方法

続いて、エモテットに感染した場合の対処方法を紹介します。

感染した端末をネットワークから隔離

感染したデバイスは、直ちにネットワークから隔離し、それ以上の使用を中止してください。

企業で使用しているデバイスが感染している場合は、ネットワークを隔離しなければなりません。LANケーブルを抜いたり、Wi-Fi通信を遮断したりして、感染拡大を防ぎます。

被害範囲を調査する

エモテットは、同一ネットワーク内のデバイスをターゲットとして感染を拡大させます。そのため、どれだけ感染が広がっているかの調査を行うことが大切です。
同時に、外部へのメールが配信されていないか、確認してください。

感染端末で使用していたメールアドレス、パスワードの変更

エモテットに感染すると、情報が漏洩している可能性が高いため、感染デバイスでサイトにアクセスする際に使用したメールアドレスやパスワードは変更しましょう。
こうして、不正アクセスによる被害を最小限に抑えることも重要です。

社内デバイスのウイルススキャン

エモテットは、同じネットワークを使っているデバイスにも感染するため、社内すべてのデバイスでウイルススキャンを行い、ウイルスを駆除しましょう。

駆除してもあんしんはできません。なぜ感染したのかをしっかり検証し、原因究明に努めることも重要です。ほかの感染した事例を組織内で周知し、再発防止を図ります。

ウイルスメールの注意喚起

もし、顧客情報の漏洩や、ほかの企業にエモテットが添付されたメールの配信が疑われる場合は、早急に取引のある会社すべてにウイルスメールの注意喚起を行いましょう。
報告が遅れると信頼が失墜する恐れもあるため、適切かつ早急な判断が必要です。

エモテットに感染しないための対策

このように、エモテットは非常に危険性の高いウイルスですが、エモテットに感染しないためには、どのような対策を講じればよいのでしょうか。
ここでは、エモテットの対策方法を4つ紹介します。

定期的に組織内へ注意喚起の実施

組織内のネットワークやセキュリティの担当者が、エモテットの対策をするだけでは不十分です。いつどのようにして感染するかわからない状況下で、ネットワークを使用するすべての人に対して、エモテットの危険性や手口などを伝え、定期的に注意喚起する必要があります。

OSの更新プログラムをすぐに適用する

エモテットに限らず、マルウェアなどは常に相手のセキュリティホールなどをターゲットにして侵入と感染を繰り返します。安全性を担保するために、WindowsなどのOSの更新プログラムはすぐに適用してください。

セキュリティ対策ソフトで保護する

セキュリティ対策ソフトは、すでにエモテットに感染している場合の検出だけでなく、感染しないためにも役立ちます。

たとえば、メールに記載されているURLからサイトにアクセスして、不正ファイルのダウンロードを試みても、ブロックできます。また、メールに添付されている悪意のあるファイルの検出も可能です。

常に最新のパターンファイルを適用したセキュリティ対策ソフトを使用すれば、エモテットから保護できるでしょう。

マクロ付ファイルの自動実行無効化

エモテットは、マクロ付Wordファイルを介して感染するパターンが大半です。Wordファイルの設定は、通常マクロが付いていると警告メッセージを表示する設定となっており、マクロ利用可否を判断できます。

マクロを自動設定されない「無効化」に設定を変更しておけば、添付ファイルを開いたとしてもすぐには感染することはありません。

まとめ

マルウェアの一種であるエモテットは、すでに国内外で大きな被害をもたらしており、手口が巧妙化しているため、常に警戒が必要です。エモテットの危険性や感染した場合の対応法などを、しっかりと理解しておくべきでしょう。

エモテットに感染した場合は、「定期的に組織内へ注意喚起の実施」「OSの更新プログラムの迅速な適用」「セキュリティ対策ソフトでの保護」などの対応策が考えられます。
インターネット上で被害に遭った、不安があり悩んでいる、といった際はドコモの「ネットトラブルあんしんサポート」をぜひご活用ください。

コールセンターにお電話いただければ専門スタッフがお悩みをお聞きして、ネットトラブルの解決を全面的にサポートします。ぜひ一度ご相談ください。