最近では、Emotet(エモテット)の驚異があらためて拡散されつつあります。Emotet(エモテット)とは、マルウェアの一種で、最初はオンラインバンキングのパスワードやIDを詐取する目的で運用されていました。
主な手口はなりすましメールによるものです。一旦消滅したかに見えましたが、2021年の11月からあらためて活動の再開が確認されています。今回はEmotetの攻撃手法や防止策について解説します。

Emotet（エモテット）とは

Emotet(エモテット)とは、情報の詐取とウイルス拡散を狙った攻撃メールから拡散されるマルウェアの一種です。
Emotet(エモテット)が初めて検出されたのは、2014年頃です。2019年には流行が拡大しメディアで取り上げられることで、広く存在が知れ渡ることとなりました。
2021年に欧州刑事警察機構が行った一掃作戦によって消滅したかに思われましたが、11月には活動再開が確認されており、現在に至るまで各所で拡大し続けています。

マルウェアの中でのEmotet（エモテット）の位置づけ

Emotet(エモテット)の大きな特徴は、他のウイルスを媒介する役割を担っている点です。ウイルスのハブとしての役割を持っており、一度Emotet(エモテット)に侵入されてしまうと、次々に他のウイルスにも感染が広がってしまいます。
感染経路はメールに添付されたファイルの開封によるものです。コンテンツを有効化するとEmotet(エモテット)に感染します。
実際の取引先を装った返信メールを送ってくるため、送られてきた外部メールをその都度精査する習慣がないと、簡単に感染してしまうでしょう。

なりすまし/不正なメールによるEmotet(エモテット)攻撃手法

Emotet(エモテット)の拡散に用いられる主な手法を3点紹介します。

攻撃手法①　なりすましメール

Emotet(エモテット)拡散には、なりすましメールがよく使われます。手口は古典的でありながらも、年々巧妙化されています。
例えば、社会情勢のトレンドとなっているテーマを用いた「重要連絡」や、携帯電話会社、物流会社を装うもの、企業をターゲットとする場合は、実在する取引先など、ターゲットに合わせて件名を巧みに作り込みます。
なりすましメールの本文にはURLが記載されており、クリックすると不正なファイルのダウンロードがスタートする仕掛けです。

攻撃手法②　添付ファイル

Emotet(エモテット)の拡散には、メールに添付されたWordやExcelなどのファイルにトラップが仕込まれるケースもあります。
添付ファイルには、マクロの実行を促すような文面が書かれており、ファイルのポップアップに出てくるコンテンツの有効をクリックした時点でマクロが実行され、Emotet(エモテット)に感染します。
なりすましメールとのあわせ技で、日常業務に紛れ込んで送られてくるため、情報セキュリティのリテラシーが低いと高確率で感染してしまうでしょう。

攻撃手法③　ショートカットファイル

なりすましメールとExcelやWordのような添付ファイルの他に、ショートカットファイルを使った攻撃手法も確認されています。ファイルをクリックすると、スクリプトファイルが生成、実行され感染に至ります。
あらゆるバリエーションの罠が網羅されるようになっているため仕事上、頻繁に外部メールを使う立場の人は、特に注意が必要です。

Emotet（エモテット）の被害事例

Emotet(エモテット)の被害は、着実に広がっています。どのような被害が及んだのか、4つの事例を元にご紹介します。

被害事例①

2022年の5月に、乳製品関連企業の従業員のパソコンがEmotet(エモテット)に感染していることが判明しました。Emotet(エモテット)を媒介として侵入したウイルスによって、メールサーバーからアドレスなどの情報が盗まれています。取引先を装った無関係なメールが、一斉に送信される被害を受けました。
社内外の関係者やメールアドレス、件名などの機密情報が漏えいしています。

被害事例②

2022年6月に、地方創生事業の関連企業の一部のパソコンがEmotet(エモテット)に感染しました。Emotet(エモテット)によって、従業員を装った第三者からの不審メールが複数の人に拡散される被害が発生しています。
関係者へは謝罪とともに、メールを開かないように依頼しました。Emotet(エモテット)は、感染に成功した企業を起点として、信用のある取引先などにさらに拡散される危険性があります。

被害事例③

2022年6月に、国立大学の教職員のパソコンがEmotet(エモテット)に感染しました。ウイルス感染後に、各関係者へ不審なメールが送信されています。
国立大学は謝罪とともに、該当のメールアドレスから送られたメールを開かないよう、注意を促しました。
前出の地方創生事業の関連企業と同様に、ウイルスの侵入に成功した組織を起点として、関係のある別の組織にもウイルス感染を拡大しようという試みです。
ウイルス感染の速度は速いため、気がついた時点ですぐに対応しなければなりません。

被害事例④

2022年3月に、県立大学の受託業務に使用していたパソコンがEmotet(エモテット)に感染しました。過去のメール送受信情報から、大手ITサービス企業の社員、愛知大学の職員、受託業務に関する取引先のメールアドレスが流出しています。
早速流出したメールアドレスを使ったなりすましメールが発信され、多くの関係者を混乱させました。
詐取されたメールアドレスは、あらたなEmotet(エモテット)のなりすましメールに使われるほか、不正ログインの手がかりとして使われることもあります。

Emotet（エモテット）の脅威を回避するための防止策

Emotet(エモテット)に感染してしまうと、ありとあらゆるウイルスの侵入を許してしまい、原状復帰までに多額の費用と時間を要してしまいます。
Emotet(エモテット)の最も有効な回避方法は事前対策です。
以下、3つの有効な防止策を紹介します。

防止策①　マイクロソフトOffice製品のマクロ自動実行の無効化

Emotet(エモテット)は、ファイルコンテンツの有効化が感染経路の一つです。したがって、勝手に有効化しないように自動実行を無効化することを推奨します。無効化しておくと、最終判断を人間に委ねることができるため、不用意な感染を回避できます。
小さな対策のように思えますが、細かい設定はとても重要です。

防止策②　定期的にバックアップをとる

データのバックアップをとっておくと、万が一メールやファイルを開いてしまった時でも、躊躇なく端末のコンセントを抜いて、ウイルス感染を止めることができます。
電源を切ったあとは、LANケーブルを抜いてネットワークを遮断しましょう。再起動時の挙動を確認した上で、その後の対応を考えます。
データのバックアップをとっていないと、パソコンを遮断する対応が一足遅れてしまう可能性があります。
ネットワークを躊躇なく遮断できるよう、日頃からこまめにデータのバックアップを取っておくようにしましょう。

防止策③　OSを最新のバージョンへアップデートしておく

Emotet(エモテット)は感染拡大のために脆弱性を突く場合があります。したがって、OSを常に最新の状態に保っておくと、感染のリスクを抑えられます。 OSのアップデートは作業をとめる必要があるため、つい後回しになりがちですが、アップデートは極力優先するようにしましょう。

まとめ

消滅したかに見えたEmotet(エモテット)ですが、最近ではあらたな驚異を拡散し続けています。手口の巧妙さから、人間の判断に頼る感染防止対策は、容易ではないでしょう。 セキュアエッジテクノロジーでは、様々なマルウェアに対抗できる環境を構築し、継続的な運用支援を提供しています。 情報システム担当者さまの負担が大きく、思うような業務効率が得られないとお考えの方は、ぜひご相談ください。