感染再拡大？！Emotet（エモテット）の特徴と対策方法

2022年11月、独立行政法人情報処理推進機構（IPA）やJPCERTなどの機関は、感染力の強いマルウェア「Emotet（エモテット）」の攻撃が再び観測され始めたことを発表しました。Emotetとはいったいどのようなマルウェアで、どのような対策が必要なのでしょうか。本記事では、Emotetの特徴や最新の攻撃手口のほか、感染した場合の対処法などを解説していきます。

マルウェアの1つ「Emotet（エモテット）」とは

Emotet（エモテット）とは、悪意のある攻撃者から送信される不正メール（攻撃メール）に添付されるファイル等を介して感染するマルウェアの一種で、情報の窃取や他のマルウェアへの感染を拡大させる性質を持っています。この不正メールは、実在する組織や人物になりすましていることが多く、なかには、取引先に送信したメールが丸ごと引用され、あたかも取引先から返信されてきたかのように見えるものもあります。

Emotetは感染した端末から次のような情報を窃取します。

• ブラウザなどに保存された情報（IDやパスワードなどの認証情報、クレジットカード情報など）
• メールアカウントとパスワード
• メールアドレスおよびメール本文に含まれる情報

盗んだ情報を悪用してメールをばらまくため、感染被害が連鎖的に拡大しやすいという特徴があります。また、認証情報を使って社内ネットワークに侵入された場合、組織の機密情報が漏えいする可能性もあります。

主な攻撃手法としては、次の2つの手口があります。1つ目は、メールに不正ファイル（WordやExcel等）を添付する方法です。受信者が添付ファイルを開くと、「ファイルを閲覧するためには操作が必要である」と誤認させてマクロ（プログラム）の実行を要求します。その後、受信者が [コンテンツの有効化] をクリックすることで、マクロが起動し、Emotetに感染する仕組みです。

もう一つは、メール本文のURLリンクをクリックさせて不正ファイルをダウンロードさせる手口です。ダウンロードしたファイルには悪意のあるマクロが埋め込まれており、こちらもマクロを実行することで、Emotetに感染します。

2022年11月に再確認されたEmotetに感染させるためのメール攻撃では、単に添付のExcelファイルを開かせて有害なコードを実行させるだけではなく、ExcelファイルをTemplatesフォルダにコピーして開かせるための偽の指示も書かれていました。この指示に従ってファイルを開くと、「マクロを無効化する設定」にしていてもマクロが実行され、Emotetに感染してしまいます。これは、Templatesフォルダは「信頼できる場所」としてデフォルトで設定されているため、安全性が高いファイルと認識され、マクロが実行可能となることに起因しています。

おすすめ記事：マルウェアって何？感染を防ぐための対策と対処法

Emotetに感染しないためにとるべき対策

まず、OSやアプリケーション、セキュリティソフトを常に最新の状態に保つことが大切です。定期的にパッチを適用することで、不具合を検出し自動修復を行います。これはEmotetだけでなく、他のサイバー攻撃を防ぐことにもつながります。

その上でEmotetに感染しないためには、「不審なメールアドレスではないか送信元を確認すること」「身に覚えのないメールの添付ファイルは開かないこと」「メール本文中のURLが不正なリンクではないか確認すること」が大切です。悪意のある攻撃者からのメールは、知人を装う、あるいは自分が送信したメールの返信を装うケースもあり、特に添付ファイル付きのメールやURLリンクがあるメールには注意が必要です。

また、JPCERTではEmotet感染の有無を確認するツール「EmoCheck」を提供しています。こうした信頼できる機関が提供するツールを定期的に利用することも1つの対策となります。

その他にもセキュリティ関連機関が掲げる対策には以下のようなものがあります。

• 組織内へEmotetの注意喚起を実施すること
• WordやExcelでマクロの自動実行を無効化すること
• セキュリティ製品を導入して不正なメールを検知すること
• 身に覚えのない警告ウインドウが表示され、その警告の意味が分からない場合には、操作を中断すること
• 身に覚えのないメールや添付ファイルを開いてしまった時は、すぐにシステム管理部門へ連絡すること

これらはEmotet対策だけでなく、マルウェア対策の基本となります。

おすすめ記事：偽装メールに注意！不審なメールを見分けるポイントを解説

万一、Emotetに感染してしまったら？

万一Emotetの感染が確認された場合には、被害拡大防止の観点より初期対応として次の対処を行うことが推奨されています。

• 感染した端末のネットワークからの隔離（ネットワークからの切断、LANケーブルを抜くなど）
• 感染した端末で利用していたメールアカウントのパスワード変更
• 感染した端末で利用していた各種サービスのパスワード変更（ブラウザに保存されているパスワードなども変更）
• 組織内の全端末のウイルス対策ソフトによるフルスキャン

その後、必要に応じて、ネットワークトラフィックログの監視や調査後に感染した端末の初期化なども行いましょう。

なお、Emotetなどウイルスに感染した場合、関係機関などへの連絡が義務付けられていることがあります。例えば、医療機関ではサイバー攻撃を受けた（疑いを含む）場合、厚生労働省などの所管省庁への連絡等、必要な対応を行うほか、そのための体制を整備する必要があります（参考：医療情報システムの安全管理に関するガイドライン）。

Emotetとランサムウェアの関係

Emotetは情報を窃取するだけでなく、別のマルウェアをダウンロードさせて被害を拡大させるという特徴もあります。そのなかには、ランサムウェア（身代金要求型ウイルス）に感染したケースもあります。

ランサムウェアは、感染したPCに制限をかけ、その制限の解除と引き換えに金銭などを要求するマルウェアです。感染してしまうと業務の停止に追い込まれることも少なくありません。近年では医療機関がランサムウェアに感染し、医療サービスを提供できなくなるといった事例も報告されています。

ランサムウェアへの感染は通常、攻撃者が企業・組織のネットワークへ侵入するところから始まります。企業・組織のネットワークへ侵入して、侵入後の侵害範囲拡大を行います。つまり、いきなりランサムウェアをダウンロードさせるのではなく、まず別のマルウェアに感染させて、認証を突破しネットワークを侵害して、重要な情報が保管されている場所を探し出し、それからダウンロードさせたランサムウェアを起動させるといった流れです。

このため、他のマルウェアを感染させる仕組みを持ったEmotetがランサムウェアをダウンロードさせるために利用されるケースがあります。

ランサムウェアを防ぐには、ハードウェアやソフトウェアの脆弱性をなくすことなど、さまざまな対策が必要となります。またPCやファイルサーバーなど、ロックされる可能性のある情報のバックアップをとっておくことも重要です。しかし、バックアップ装置・媒体は常時接続していると、バックアップファイルも暗号化の対象となってしまうため、バックアップ時のみ接続する、バックアップを複数用意する、定期的にバックアップからのリストアを確認するなどといった対策も必要となります。

まずは、セキュリティに関する基本的な知識を身につけるとともに、日頃からOSやアプリケーション、セキュリティソフトのアップデートを行い、不審なメール（添付ファイル）には十分注意することが大切でしょう。

おすすめ記事：メールセキュリティは大丈夫？日本の現状と最新動向を踏まえた対策

_参考：

• _{IPA「Emotet（エモテット）と呼ばれるウイルスへの感染を狙うメールについて」}
• _{JPCERT「マルウェアEmotetの感染再拡大に関する注意喚起」}