恐ろしいマルウェア「Emotet」について、基本からしっかり学んで対策しましょう!
Emotet(エモテット)って何?
Emotet(エモテット)は、主にメールを通じて感染を広げるマルウェア(悪意のあるソフトウェア)の一種です。2014年頃に初めて登場し、最初はオンラインバンキングの情報を盗む「バンキングトロージャン」として活動していましたが、次第に進化し、他のマルウェアを呼び込む「ダウンローダー」としての機能を持つようになりました。
Emotetは非常に巧妙で、感染力・拡散力が高いことから「世界で最も危険なマルウェア」「最凶のマルウェア」などと呼ばれることもあります。感染すると、個人情報や企業の機密情報が盗まれたり、他のさらに危険なマルウェア(ランサムウェアなど)に感染させられたり、自分が気づかないうちに他の人への攻撃メールを送る「踏み台」にされてしまうなど、深刻な被害を引き起こす可能性があります。
Emotetはどうやって感染するの?
Emotetの主な感染経路はメールです。攻撃者は、非常に巧妙な手口で私たちを騙そうとしてきます。
主な感染手口
- なりすましメール: 取引先、同僚、友人、公的機関など、知っている相手や信頼できる組織からのメールを装います。過去に実際にやり取りしたメールの件名に「Re:」をつけて返信を装ったり、転送を装ったりすることもあります。
- 添付ファイル: WordやExcelなどのOffice文書ファイル(マクロ付き)や、それらをパスワード付きZIPファイルで圧縮したものが添付されています。ファイルを開いて「コンテンツの有効化」ボタンを押してしまうと、マクロが実行されてEmotetがダウンロードされ、感染します。
- 本文中のURLリンク: メール本文に記載されたURLリンクをクリックさせ、不正なファイルをダウンロードさせようとします。
- その他のファイル形式: ショートカットファイル(.lnk)やMicrosoft OneNoteファイル(.one)など、Office文書以外のファイル形式を悪用する手口も確認されています。
特に注意が必要なのは、「正規のメールへの返信を装う」手口です。普段やり取りしている相手からのメールに見えるため、疑うことなく添付ファイルを開いてしまいがちです。
Emotetに感染するとどうなるの?
もしEmotetに感染してしまうと、次のような深刻な被害が発生する可能性があります。
- 情報漏洩:
- メールアカウントのIDやパスワード
- メール本文やアドレス帳(連絡先)
- Webブラウザに保存されたID、パスワード、クレジットカード情報
- 端末内の機密情報や個人情報
- 他のマルウェアへの感染(二次感染): Emotetは他のマルウェアをダウンロードする機能を持っています。特に、データを人質に身代金を要求するランサムウェア(例: Ryuk)や、さらなる情報を盗むマルウェア(例: TrickBot, QakBot, IcedID)に感染させられる危険があります。
- なりすましメールの踏み台: 盗まれたメール情報や連絡先を使って、感染した端末からさらにEmotetの感染を広げるための「なりすましメール」が大量に送信されます。これにより、取引先や友人にまで被害を広げてしまう可能性があります。
- ネットワーク内への感染拡大: Emotetはワームのように自己増殖する機能を持つことがあり、同じネットワークに接続されている他のパソコンにも感染を広げようとします。
Emotetの歴史と現状
Emotetは2014年に登場して以来、進化と活動の休止・再開を繰り返してきました。
| 時期 | 出来事 |
|---|---|
| 2014年 | Emotetが初めて確認される(当初はバンキングトロージャン) |
| 2017年頃 | 他のマルウェアをダウンロードする機能などを追加し、進化 |
| 2019年~2020年 | 世界的に感染が拡大し、日本でも大きな被害が発生 |
| 2021年1月 | 欧州刑事警察機構(Europol)などが中心となり、Emotetのインフラをテイクダウン(無力化) |
| 2021年11月 | 活動再開が確認される |
| 2022年 | 再び活発化し、新たな手口(ショートカットファイル悪用など)も登場。MicrosoftによるOfficeマクロのデフォルト無効化(7月)の影響で一時活動低下。 |
| 2023年3月 | Microsoft OneNote形式(.one)のファイルを悪用する手口や、検知回避のためにファイルサイズを極端に大きくしたWordファイルを添付する手口で活動再開が報告される。 |
| 2023年後半~現在 | 活動は以前ほど活発ではない時期もありますが、攻撃者は常に新たな手法を模索しており、断続的に攻撃キャンペーンが観測されています。依然として警戒が必要です。 |
テイクダウン後も活動を再開し、攻撃手法を変えながら存在し続けているため、油断は禁物です。
Emotetから身を守るには?
Emotetの感染を防ぐためには、日頃からの対策が非常に重要です。以下の点を心がけましょう。
- 不審なメールや添付ファイルを開かない:
- 身に覚えのないメール、件名や内容がおかしいメールは開かない。
- 知っている相手からのメールでも、添付ファイルやURLリンクがある場合は安易に開かず、本当に相手が送ったものか別の手段(電話など)で確認する。
- パスワード付きZIPファイルが添付されている場合は特に注意する。
- マクロの自動実行を無効にする:
- WordやExcelなどのOfficeアプリケーションの設定で、「警告を表示してすべてのマクロを無効にする」設定にしておく。
- ファイルを開いた際に「コンテンツの有効化」や「マクロを有効にする」といった警告が表示されても、安易にクリックしない。
- OSやソフトウェアを常に最新の状態にする: Windows Updateなどを利用して、OSや利用しているソフトウェア(Office、ブラウザ、Adobe Readerなど)のセキュリティパッチを適用し、脆弱性をなくす。
- セキュリティ対策ソフトを導入し、最新の状態に保つ: ウイルス対策ソフトを導入し、定義ファイルを常に最新の状態にしておく。
- 強力なパスワードを設定し、使い回さない: アカウントのパスワードは複雑なものにし、サービスごとに異なるパスワードを設定する。可能であれば多要素認証(MFA)を利用する。
- 定期的にデータのバックアップを取る: 万が一ランサムウェアなどに感染した場合に備え、重要なデータは定期的にバックアップし、オフライン(ネットワークから切り離した状態)で保管する。
- 組織内での情報共有と注意喚起: 企業や組織では、Emotetの脅威や対策について従業員に周知し、注意を促す。
もし感染してしまったら?
万が一、Emotetへの感染が疑われる場合や、感染してしまった場合は、慌てずに以下の対応を取りましょう。
- ネットワークからの隔離: 被害拡大を防ぐため、感染が疑われるパソコンをすぐにLANケーブルを抜く、Wi-Fiを切るなどしてネットワークから切り離します。
- 関係者への連絡と注意喚起: メール情報を盗まれてなりすましメールを送られている可能性があるため、メールの送受信履歴がある相手やアドレス帳に登録されている連絡先、情報システム部門などに速やかに連絡し、注意を呼びかけます。
- 感染状況の調査: JPCERT/CCなどが提供しているEmotet感染確認ツール(EmoCheckなど)を使って感染の有無を確認します。また、同じネットワーク内の他のパソコンも感染していないか調査します。
- パスワードの変更: 感染したパソコンで利用していたメールアカウントや、Webブラウザに保存していた各種サービスのパスワードを、別の安全な端末からすべて変更します。
- 専門家への相談: 自力での対処が難しい場合や、被害状況が不明な場合は、セキュリティ専門ベンダーや契約しているセキュリティサービスに相談しましょう。
- 端末の初期化(推奨): Emotetや、それによってダウンロードされた他のマルウェアを完全に駆除するためには、感染したパソコンを初期化(工場出荷状態に戻す)することが最も確実な方法とされています。
まとめ
Emotetは非常に巧妙で厄介なマルウェアですが、その手口を知り、基本的な対策をしっかり行うことで、感染リスクを大幅に減らすことができます。
「怪しいメールは開かない」「マクロは安易に有効化しない」「OSやソフトは最新に保つ」といった基本的な対策を徹底し、安全なIT利用を心がけましょう!