ニュースなどでも目にすることが増えたコンピューターウィルス「Emotet（エモテット）」。本ブログでは、Emotetの特徴と危険視されている理由を解説します。

Emotet（エモテット）とは

Emotetは、悪意のある攻撃者によって送られる不正なメール（攻撃メール）から感染が拡大しているマルウェアです。
2019年11月末ごろにメディアで取り上げられ、広く知られることになりました。2021年1月、欧州刑事警察機構（Europol）による大規模な対策が成功したためEmotetの脅威は去ったかと思われましたが、2021年11月に活動再開が確認。以降、日本国内の組織のEmotet感染が増加しています。

Emotet（エモテット）の攻撃手法

Emotetの配布は主にメールを経路としています。
基本的な攻撃手法は、不正なメールに添付されたファイル（主にWordやExcelファイル）に仕込まれています。添付ファイルには、マクロの実行を促す文面が記載されており、受信者がそれに気づかず「コンテンツの有効化」をクリックすることでマクロが起動しEmotetに感染します。

日本では、この不正なメールが大量に送付される「ばらまき攻撃」が発生しています。
正規のメールに紛れるように送付されるため、受信者は不正なメールであることに気づかないまま感染へと誘導されるケースが多発しています。また、感染させるための手口も巧妙で多岐に及ぶため、被害が拡大しています。

ニュースになるほどEmotet（エモテット）が深刻化した理由

Emotet本体には不正なコードを含まない

Emotetは、感染したデバイスにほかのマルウェアを侵入させる、プラットフォームの役割も持ちます。

Emotet自体には不正なコードが含まれていないためウイルス対策ソフトに検知されづらいことも、一般的なマルウェアよりも感染しやすくなっている原因にもなっています。検知できるツールもありますが、亜種を新たに作られてしまうとすり抜けるケースが多くなるため安心することはできません。

ばらまきメールの巧妙さ

2021年11月に行われたばらまき攻撃では、これまでよりも巧妙な工夫がなされ、不正なメールであることが分かりにくくなっていました。
正規でやり取りされているメールの件名に「RE:」をつけた、実際の返信を装った自然なメールに偽装され、不正ファイルが添付されていたのです。
同じ件名でやり取りをしているメールに割り込まれて送られたので、受信者は正規の返信だと思って添付ファイルを開いてしまい、Emotetに感染しました。

ほかにも、2019年12月には賞与を連絡するメールを装うパターンのものが、2020年1月には新型コロナウイルスに関連した保健所からの案内を装うパターンがなど、受信者が違和感を覚えないように時期を考慮した工夫がなされたメールも確認されています。

ユーザ自身に不正なファイルをダウンロードさせる

Emotetは、マクロなどを利用してデバイスの利用者に気づかれずに侵入する手口が主流ですが、2021年11月には正規サービスを装ってユーザ自身に不正なファイルをダウンロードさせる手口のものも現れました。
メールの本文中のリンクをクリックするとブラウザ上でPDFファイルを装った画面へ誘導され、閲覧のために必要だと促されてファイルをダウンロードさせるケースです。

添付ファイルのマクロ、リアルなメールの文面、PDF閲覧のために必要なファイルのダウンローなど、次々と手段を変えていることから気を付けていても見破ることが非常に難しいマルウェアだと言えます。

Emotet（エモテット）に感染すると起こる被害

ほかのマルウェアにも感染する

Emotetに侵入を許すと、ほかのマルウェアが次々とダウンロードされて被害が拡大します。
ダウンロードされたマルウェアの中には、ファイルとしては保存されずデバイスのメモリ上だけで動作するものなど、利用者やセキュリティ担当者にも解析されにくい工夫がされているものもあります。

重要な情報を盗み取られる

情報を窃取するプログラムもダウンロードされるため、認証情報やネットワーク内にある機密情報も含めて外部へ流出し、悪用される恐れがあります。

Emotetに感染して情報の窃取などの不正行為が行われたあと、ダウンロードされたランサムウェアによってデータが暗号化され、デバイスが使用不可になるケースもあります。最悪の場合、どんな情報が盗まれたのか、何が原因だったのかを調査することができなくなります。

社内のほかの端末にEmotetが伝染する

Emoetは自己増殖する特徴を持っています。
一度侵入するとセキュリティの隙間を探し、ネットワーク内のほかの端末への侵入を行います。Emotetは、端末に潜伏して活動を行いながらも頻繁にアップデートが行われていることが確認されています。
組織内で爆発的に感染が拡大し、さらに頻繁に行われるアップデートによって対策が遅れる恐れもあります。

社外へのEmotetばらまきの踏み台にされる

盗んだ認証情報が悪用され、メールのやり取り履歴がある宛先へ、正規のメールを装ってEmotetのばらまき攻撃が行われることもあります。 顧客へばらまき攻撃されることがあれば、注意喚起だけでなく補償の対応などが必要になる可能性があります。

よく挙げられるEmotet（エモテット）対策も安全ではない

巧妙な手段で侵入してくるEmotet（エモテット）に対しては、どのような対策が有効なのでしょうか？

添付ファイルのマクロを起動しないように社員に教育すればいいのでしょうか？
ウイルス対策ソフトを導入していれば安全なのでしょうか？
添付ではなくファイル共有サービスを使っておけば安全なのでしょうか？
結論としては、どれも安全とは言えません。
その理由は、ダウンロード資料で解説します。

また、実際に届いたEmotetの攻撃メールや、Emotetに感染しつつも被害を未然に防いだ防衛事例も合わせてご紹介していますので、ぜひダウンロードしてご覧ください。

ビジネスブログ「Future Stride」‐ソフトバンク株式会社 著作物を一部変更,
「マルウェア「Emotet（エモテット）」の脅威を分かりやすく解説 より, 2022年3月25日掲載,
https://www.softbank.jp/biz/blog/business/articles/202202/emotet/