Emotetとは?なりすましメールによるウィルス感染対策をわかりやすく解説

公開日:
2022.04.07
 / 
最終更新日:
2022.05.25

この記事では、2022年2月から3月にかけて日本で感染確認が急増しているマルウエア「Emotet(エモテット)」について、その概要やリスク、感染時の対処について具体的に紹介しています。

Emotetに関する最新の情報も含め、分かりやすくご説明していきます。

Emotet(エモテット)とは?

概要

Emotet(エモテット)は、2014年にその存在が確認されたマルウエア(悪意のあるソフトウェア。ウィルスやトロイの木馬、ワーム等もこのひとつ)です。

2020年に大流行したのちに、一旦2021年初旬に収束したとみられたものが、2021年末に再度感染拡大の兆しをみせ、日本国内のコンピューターセキュリティインシデントに対する技術的な窓口として対策検討や助言を行うJPCERTコーディネーションセンター (JPCERT/CC)によると 、2022年3月以降Emotetに感染し悪用の可能性のあるメールアドレス数は、2020年の感染ピーク時の約5倍以上となっているとされています。

特徴

Emotetが有する特徴として下記が挙げられます。

  1. 「感染と拡散」を目的としている事
  2. 攻撃力の高いあらゆるマルウエアを呼び込む感染母体となりえる事
  3. C&Cサーバ(※)とやり取りをし、感染先に合わせて攻撃を最適化/アップデートする事

(※)C&Cサーバとは、サイバー攻撃者がマルウエアに指令を出したり、窃取した情報を受け取るためのネットワークを制御したりする”指令サーバー”のことを指します。

Emotetは、主にメールに添付されたマクロ付きのExcelファイルやWordファイル、または、パスワード付Zip ファイル(PPAP)のファイル開封およびマクロ有効化の操作を実行することで感染する事が確認されています。

その他、メール本文内のURLリンクをクリックして悪意のあるファイルのダウンロードやアプリケーションのインストールを装うケースもあるとされています。
Emotet自体はマルウエアであり、の感染経路として代表的な方法が「なりすましメール」、「不審なメール」または「迷惑メール」と呼ばれるものです。一見なりすましメールと気づかずに、うっかり本人からのメールとして確認をしてしまうような巧妙なメール文やタイトルが直近の被害でより顕著になっています。

Emotetの攻撃手法となりすましメール

Emotetの攻撃手法を具体的に見てみましょう。

Emotetの攻撃手法

➀メールへのOfficeファイル添付を介した感染

前述のとおり、メールに添付されたOfficeファイルのマクロ(Visual Basic for Application (VBA)) を実行する事で、自動的にマルウエア・Emotetがダウンロードされ感染するとされています。アンチウィルス製品のチェックをすり抜け、実在する企業や担当者名を名乗り、あたかも正式なビジネスメールや通知と見せかけて標的にリーチし、感染した添付ファイルやURLのクリックによるマルウエアダウンロードを促すといった、非常に悪質な手法です。

➁窃取したメールアカウントを利用しなりすましメールでさらなる感染および攻撃拡大と攻撃力の高いマルウエアの呼び込み

Emotetに感染した端末から窃取した情報(メールアカウントやシステムアカウント等)をもとに、特にネットワークへのアクセス権取得を皮切りに、総当たり攻撃でアカウントのパスワードを特定する動きをし、さらに感染拡大と攻撃を継続していきます。
Emotet単体としては不正なコードをあまり含まないとされていますが、その特徴として強い感染力と拡散性があげられ、より攻撃力の高いマルウエアへの感染を呼び込む感染母体として働きます。

➂感染先のセキュリティ解析に最適化し、感染力と拡散力をアップデート

Emotet単体としては不正なコードをあまり含まない一方で、「感染と拡散」に特化している点が非常に厄介とされています。C&Cサーバとやり取りをし、感染先のセキュリティ解析に対し最適化/アップデートを行いながら、さらなるマルウエアへの感染を継続していきます。

なりすましメールの具体例

Emotetによる攻撃をねらったなりすましメールは、過去の被害報告時から自然な日本語を使った内容となっており、メールのタイトル含め、一見すると関係者との正式なやり取りの延長に見え、非常に巧妙化且つ高度化していることが見て取れます。

IPAで確認しているEmotetの攻撃メールの例

IPAで確認しているEmotetの攻撃メールの例(2022年2月)

<引用>独立行政法人情報処理推進機構(IPA)

 

なお、Eomtetの感染経路は今後もさらに変化していく可能性が考えられるため、上記の文面は確認されているなりすましメールの一例に過ぎない事を忘れてはなりません。

Emotetに感染するとどうなるか

Emotetに感染すると、下記のような被害を受ける可能性があります。

  • 個人情報やメールアカウント、パスワード、業務データ等の流出とその悪用
  • 端末やブラウザに保存されたユーザ名・IDやパスワードなどの認証情報の流出とその悪用
  • 窃取された情報によって構内ネットワーク(LAN)を通じて感染が拡大
  • Emotetに感染したのちに別のマルウエアをダウンロードし結果としてランサムウェアに感染。データやシステム暗号化や破壊とそれらの復元を引き換えとした金銭要求
  • Eメール情報の窃取(Eメールのやり取りや、メールアドレス帳)と、それをもとにさらにマルウエア拡散と攻撃拡大
  • 被害状況の把握と、関係各所や取引先各所への説明や対策依頼および注意喚起など、対処に掛かる人的コストの発生

こういったリスクへの対策や被害を受けた際の対処はどのようにすべきか、基本的なポイントを次で押さえましょう。

Emotetへの対策と対処

以下では、個人や組織がEmotet感染対策として徹底すべき事項および、感染後の初動としてポイントの紹介と、リスク回避のために有効な対策についてまとめています。またこれは、Emotetだけで無く、一般的なウィルス対策としても推奨されています。

個人的な対策と対処

悪意のあるメールおよびその添付ファイルやURLより感染が確認されているEmotetの被害を防ぐ最も基本的な方法は、まずは個人としての対策となります。対象のメールに対してむやみに操作をしないということです。具体的に確認しておきましょう。

  1. 実在する人物や組織からのメールであっても、身に覚えのない添付ファイルや、メール本文中のURLリンクはクリックしない
  2. 実際に過去やり取りしたメールの延長に見える場合も、メール本文に不自然な点がある場合はEmotetを疑い、添付ファイルやURLに対して操作をしない
  3. OSやアプリケーション、セキュリティソフトを最新に保つ
  4. 不審なメールに添付されたWord文書やExcelファイルクリック時に警告が表示された場合、「マクロを有効にする」「コンテンツの有効化」といったボタンはクリックしない
  5. メールや文書ファイルの閲覧中、身に覚えのない警告ウインドウが表示された際、その警告の意味が分からない場合は、操作を中断する。
  6. 不審なメールを受信した際や、感染疑いのある添付ファイル等をクリックした際は、即座にシステム管理部門等へ連絡をする。
  7. 上記対処に加え、パソコン等の端末はネットワークを切断する。(ネットワークを経由した感染拡大を防ぐ)

<参考>独立行政法人情報処理推進機構(IPA)

組織的な対策と対処

Emotet の感染を予防し、感染の被害を最小化するためにJPCERT/CCでは以下のような日常的な対策を呼びかけています。

  • 組織内への注意喚起の実施
  • Word マクロの自動実行の無効化  (※ Microsoft Office Word のセキュリティセンターのマクロの設定で、「警告を表示してすべてのマクロを無効にする」を選択してください。)
  • メールセキュリティ製品の導入によるマルウエア付きメールの検知
  • メールの監査ログの有効化
  • OS に定期的にパッチを適用 (SMBの脆弱性をついた感染拡大に対する対策)
  • 定期的なオフラインバックアップの取得(標的型ランサムウエア攻撃に対する対策)

<引用>JPCERT/CC マルウエア Emotet の感染に関する注意喚起

また、自組織内のウィルス対策ソフト等でEmotet感染を検知した場合や、自組織のメールアドレスになりすましたメールの受信があった旨を外部組織から連絡を受けた場合、および自組織のメールサーバ等でなりすましメールが大量に送信されている事が確認された場合には、初動として以下を実施し、まずは感染拡大を防ぐことが求められます。

  • 感染端末の特定と、ネットワークからの隔離
  • 感染端末が利用していたメールアカウントのパスワード変更

更に「フォレンジック調査」と呼ばれる、電子機器のログ調査や分不正アクセス、データ改ざん等の調査を行う事で、被害範囲と影響範囲の把握をし、今後の対策をしていく事も必要です。

自組織内の全端末のウィルススキャンや、感染端末自体のアカウントパスワード変更、アカウントの初期化などを必要に応じて行い、感染の拡大防止のために、自社のホームページなどで対外的な通知と注意喚起を行いましょう。

<参考>JPCERT/CC マルウエアEmotetへの対応FAQ
Q4. Emotet の感染を確認した場合どのように対処すればよいですか?

Emotet感染確認の方法

なお、Emotet感染確認をする方法として、自組織内のウィルス対策ソフト(セキュリティベンダ各社が提供しているもの)や、JPCERT/CCより無料公開されている「EmoCheck」というツールがあります。

Emotetの感染を調べたい端末上でツール実行すると、Eomtet感染時は「Emotetのプロセスが見つかりました」、感染していない場合には「Emotetは検知されませんでした」と結果を表示する仕組みになっています。

感染を確認した際は、タスクマネージャーを開き、Emocheckの画面上に表示された「プロセス名:certreq.exe」などのプロセスを強制終了し、さらに同じくEmocheckの画面上に提示された「イメージパス:(フォルダの場所)」にある実行ファイルを削除することで、Emotetを端末から駆除する流れとなります。

<参考>JPCERT/CC 2. Emotet の感染有無を確認するためにはどうすればよいですか?

<参考>Emocheck使い方の手引き:警視庁

Emotetの被害事例

Emotetに感染疑いのある端末

実際にEmotetの被害を受けた組織や法人ではどのような被害が出ているのでしょうか。実際に公式サイト等で注意喚起をしている法人や団体の例を見てみましょう。

また、まとめている情報は直近のごく一部のものであり、日々被害事例は増加していることを申し添えます。

公表日 発信元 概要
2022年
3月7日
西日本電信電話株式会社 同社が愛知県公立大学法人から受託している業務に使用しているパソコンがEmotetに感染し、過去メール送受信用法が流出、これらを装った第三者からの不審メールが送信された。
https://www.ntt-west.co.jp/newscms/attention/11977/20220307_info.pdf
2022年
3月15日
沖縄県 沖縄県病院事業局のパソコンがEmotetに感染し、職員を名乗る不審なメール(なりすましメール)が複数の関係者へ発信された。
https://www.pref.okinawa.jp/site/byoinjigyo/kenritsubyoin/notice22_1.html
2022年
3月16日
日本医学放射線学会 学会事務局の1台のパソコンがEmotetに感染。約36,000通のなりすましメールが発信された。
http://www.radiology.jp/member_info/news_member/20220316_01.html
2022年
3月16日
株式会社 旅行新聞新社 社用のパソコン1台がマルウエア「Emotet」に感染。社員を名乗った不審メールが社外に送信された。
http://www.ryoko-net.co.jp/?p=104245
2022年
3月17日
JPEA代行申請センター 従業員のパソコンがEmotetに感染し、当該パソコンに保有されているメールアドレスを含むメール情報が窃取されたことにより、3月15日以降に同社を装う第三者からの不審なメールが複数の方へ発信されていた。
http://jp-ac-info.jp/info20220317/
2022年
3月18日
アクシス出版株式会社 社用パソコンがEmotetに感染し、お客様の個人情報がパソコン端末から一部抜き取られ、その結果、弊社の名前を騙った不審なメールが送信された。
https://axis-publication.com/oshirase/2022_03_emotet/
2022年
3月28日
国立大学法人電気通信大学 職員ならびに学生の利用していたパソコンがEmotetに感染。窃取された認証情報を悪用されメールサーバーがEmotetマルウェアメールの送信に利用された。
https://www.uec.ac.jp/news/announcement/2022/20220328_4308.html

 

Emotet等のマルウエア対策としてのメールセキュリティ

すでに述べたように、Emotetの大半はメールの添付ファイルやURLのクリックやマクロ有効化をきっかけとして感染する事から、メールセキュリティ対策が非常に重要となることはいうまでもありません。

また、個人としての対処対策と、組織的な対処対策の両輪でその感染リスクや感染後の被害最小化を行って行く必要があります。

メールセキュリティの強化においては、

  • フィルタリング:メール受信時のリスクを抑制
  • 無害化:メールの危険性を排除した状態で受信
  • 人的ミスの抑制(誤送信防止など)メール送信時のリスクを抑制

といった対応とそれに応じたセキュリティ製品やサービスの活用をしていくことが求められます。

Emotetは実在する個人や組織になりすましてメールをばらまくことから、添付ファイルのあるメールの受信には非常にナーバスにならざるを得ないこともあり、日本で慣習化している「パスワードつきZip 圧縮ファイルのメール添付」(いわゆる”PPAP”)は、ウィルス検知をすり抜けるなどのリスクから、一部の企業では受信拒否(メールそのものまたは、添付ファイルを自動削除)をするといった対応が進められています。

PPAP問題については、以下の記事で詳しく解説と代替案をご提示しています。

まとめ

この記事ではEmotet(エモテット)と呼ばれる一種のマルウエアの特徴や対策について解説をさせて頂きました。日々、どこかしらの企業や団体が「なりすましメール送信のお詫びと注意喚起」を公式WEBサイトで発信する異例な状況が見受けられ、その驚異的な感染スピードによる被害報告は後を絶ちません。

テレワークが一般的になった今日では、受信メールに関する違和感や顕在化したリスクについて、即座に確認したり対応を仰いだりといった動きが取りづらい状況もある中で、個人および組織としての対策対処は、本記事でもご紹介したような点を含めより一層の対策強化や従業員等への周知およびセキュリティ教育が必要となります。記事をご覧いただいた方が、Emotetに関する知識を深め、適切な対処と対策を進める一助となれば幸いです。

なお本記事は、クラウドストレージ専業ベンダのファイルフォース株式会社にて作成されています。同社が提供するクラウドストレージ「Fileforce®」は、ファイルアップロード時の自動ウィルスチェックや、バージョンファイルからデータの復旧をする事で、悪意のある感染ファイルの拡散を防止し、また感染したファイルデータの復旧を支援します。

詳しい機能紹介やデモに関するお問合せは、是非お気軽にお寄せください。

 



Fileforceのさらに詳しい資料は資料ダウンロードページからお求めいただけます。 ITインフラで企業を強くするクラウドストレージ
30日間無償トライアルで操作性を体感しませんか?

建設業向けクラウドストレージ