はじめに

Emotet感染が急速に広がっています。
弊社にも3月からEmotetに感染したと見られる外部組織からメールが頻繁に届くようになっています。

ユーザー名とパスワードを盗み取るマルウェアとして、Emotetが初めて検知されたのは2014年頃でした。
日本では、2019年10月頃より大流行し、メディアでも取り上げられ知名度が上がりました。
その後一時的に沈静化したのですが、2021年11月に再び活動が確認され、今もなお猛威を奮っています。

マルウェア
悪意のあるを意味する maliciousSoftware を組み合わせた造語。
有害な動作を行うことを目的とした悪意のあるソフトウェア、プログラム、悪質なコードの総称。

Emotetの感染経路

Emotetの主な感染経路はメールです。
そのメールは巧妙な偽装がされており、
受信者が、メールに書かれたリンクをクリックしたり、添付ファイルを開いてしまうことで、Emotetに感染します。
そこから、事務所、会社といった組織のネットワーク内に感染が拡大します。
それだけに留まらず、感染したPCからメールを勝手に送信することで、組織外にも感染を広げようとします。

巧妙な偽装メール

件名や本文が巧妙に偽装されており、例えば以下のようなメールが確認されています。

  • 実際にやりとりしたメールを利用し、それに返信するような文面のメール
  • 請求書の送信や、請求書の修正依頼を装ったメール
  • 賞与のお知らせメール
  • 会議への招待メール
  • 入金額の通知メール
  • 新型コロナウィルスなど時事ニュースを利用したメール

参考:IPA

いずれも添付ファイルの開封やURLリンクのクリックを誘導するものです。

巧妙な偽装メール

Emotetの感染を防ぐために

  • 返信されたメールでも、不自然な点があれば添付ファイルやリンクはクリックしない
  • 見に覚えのないメールの添付ファイルは開かない
  • 見に覚えのないメールのURLはクリックしない
  • 添付ファイルのWord文書やExcelファイルを開いた際に「マクロの有効化」「コンテンツの有効化」をしない
  • OSやアプリ、セキュリティソフトを常に最新版にアップデートする

Emotetに感染すると

感染したPCは、下記のようなデータの情報漏洩の可能性があります。

  • デバイスやブラウザに保存されたパスワード等
  • メールアカウントやパスワード
  • メール本文
  • アドレス帳

また、感染したPCだけではなく、社内や家庭内の接続されたネットワークにも感染が広がってしまいます。

情報漏洩だけではなく、ウィルスメールや迷惑メール送信の踏み台にされてしまったり
ランサムウエアに感染して、遠隔操作される可能性があります。

ランサムウエアに感染したパソコンは操作ができなくなり、感染したパソコン内やネットワーク上のファイルが暗号化され利用できなくなるといった被害が起こります。

ランサムウェア
身代金を意味する RansomSoftware を組み合わせた造語。
暗号化などによってファイルを利用不可能な状態にした上で、そのファイルを元に戻すことと引き換えに金銭(身代金)を要求するマルウェアを指す

ランサムウェアという言葉のとおり、被害者から金銭をゆすり取ることが目的の場合が多く
システムがダウンし、業務が停止、情報流出など社会的信用の失墜など大打撃を与えます。

Emotetへの感染が疑われる場合

すぐに感染の有無をチェック

Emotet専用の感染確認ツール「EmoCheck(エモチェック)」は、JPCERT/CC(ジェーピーサートコーディネーションセンター)から公開されています。どの端末のどこにEmotetが感染・潜伏しているのかを確認し、可能であれば駆除も実行しましょう。
JPCERTCC/EmoCheck

Emotetに感染していた場合

インターネットから遮断

感染を広げないために、感染した端末のネットワークをインターネットから遮断します。
LANケーブルを抜く、Wi-Fiを無効化するなど、物理的に切り離します。

社内での報告

感染が発覚した場合は、社内の規程に従いセキュリティ担当者や上長に報告します。
そして社内全PCのウィルス対策ソフトによるフルスキャンを行います。

メールアカウントなどのパスワードの変更

メールアカウントの認証情報や、WEBブラウザに保存しているアカウント・パスワードが漏洩している可能性があります。
悪用の可能性があるので、すべて変更しましょう。

被害範囲の確認

感染したPCに保存されていたメール情報やメールアドレスを確認します。
前述したとおり、Emotetは盗み取った情報を利用し、ウイルスメールや迷惑メール送信の踏み台にします。
つまり、漏洩した可能性のあるメールやアドレスは、Emotetの被害を受ける恐れのある連絡先です。
連絡先の方に、注意喚起するようにしましょう。

駆除

感染した端末は、ウィルス駆除後に初期化しましょう。

まとめ

今回は、Emotetの脅威と対策について詳しく解説しました。
Emotetを防ぐための対策は、他のウィルス対策にもなりますので、ぜひ実施してください。

感染したPCは、遮断・ウィルス駆除・初期化する必要があることや
遠隔操作で有効な操作ができなくなる可能性があります。
外部ストレージにデータを定期的にバックアップしておくことも大切です。

まだ社内でセキュリティ担当者や連絡窓口、感染時のフローが決まっていない、周知できていない場合は、早急に規定を作成し、社内で周知しておきましょう。

セキュリティエキスパート

執筆者
株式会社カイラステクノロジー
セキュリティエキスパート

セキュリティ重視のシステム「Armana」の開発、法人向けセキュリティコンサルティングを担当しています。
IT・セキュリティ・高度化するセキュリティ脅威に関する知識と、業務効率を考慮した記事をご提供します。

お役立ち情報一覧に戻る