サイバー攻撃が多発している現在、マルウェアの感染は企業にとって常に警戒すべき脅威のひとつです。
近年になり被害が相次ぎ、「最も危険なマルウェア」のひとつとして数えられているのが「Emotet（エモテット）」です。
Emotetとは、どんなマルウェアなのでしょうか？　この記事では、Emotetの概要や被害事例、対策などについて解説します。

※この記事は2022年4月に更新されています。

Emotet（エモテット）とは

Emotet（エモテット）は、なりすましメールから感染していくマルウェアで、2014年頃から被害が確認されています。
その拡散力の高さから、極めて悪質なマルウェアとして世界中で警戒されています。

Emotet（エモテット）の感染が広がった背景

2014年に感染が確認されて以降、Emote（エモテット）は、複数回にわたってアップデートを繰り返しています。
 
当初はオンラインバンキングを標的にした「トロイの木馬」タイプのマルウェアでした。
2015年には、マルウェア検知の機能を回避する機能が実装され、スイス銀行のネットワークに侵入したことが確認されています。
2017年には、アップデートによって他のマルウェアを拡散させる機能が追加され、危険性が一気に増大しました。
 
世界での感染が広がったのは2019年です。
ビジネス関連の件名が付けられ、Wordファイルが添付されたメールが各国の法人に向けて届けられています。
Wordを開いてしまった企業のネットワークが感染する被害が相次ぎました。
同年12月には日本語のメールが確認されるようになり、日本の企業も被害を受けています。
 
2020年9～11月はEmotetによる日本企業の被害が急拡大した時期です。
Emotetを拡散させていたサイバー犯罪組織が制圧され、一旦は落ち着きを見せていますが、現在は最盛期と同程度まで感染件数が増えてきており、依然として危険なマルウェアとして認識されています。

Emotet（エモテット）はどんなマルウェアなのか

Emotet（エモテット）はどんなマルウェアなのでしょうか。
他のマルウェアと比較して特徴的な点について解説します。

強力な拡散能力を持っている

代表的な特徴と言えるのが、強力な拡散能力を有している点です。
多くのマルウェアと同じように、自己増殖する機能を持っています。
さらに、サイバー攻撃者によって設置されているC＆Cサーバーから情報を受け取り、感染後もアップデートを繰り返します。
このことにより、感染後も同じネットワーク内にある端末へ拡散していきます。

セキュリティソフトの検知を回避する

Emotetの感染が広がった理由のひとつが、セキュリティソフトの検知を回避する性能です。
アップデートにより、一般的なビジネスメールに偽装することで、巧妙に侵入してくるケースが目立っています。
組み込まれている不正プログラムが少なく、セキュリティ調査で見つかりにくくなっています。

他のマルウェアと連携する

他のマルウェアと連携する点も大きな特徴です。
ランサムウェアなどと連携し、身代金要求のメッセージを表示するような被害が数多く確認されています。

Emotet（エモテット）によって被害を受けるまでの流れ

Emotet（エモテット）以下のような流れで端末に感染し、実害を与えることが確認されています。

メールアドレスの個人情報の不正入手

不正に情報を取得するマルウェアやEmotetそのものにより、企業や個人のメールアドレス、メールのやり取り、Webサービスのアカウント情報を入手します。
明確にターゲットを定めて、こうした情報を不正入手するケースも少なくありません。

取り引き先を装ったメールの送信

不正に入手したメールアドレスに向け、メールを送信します。
ビジネスメールを装う手口が一般的ですが、代表的な例が取り引き先を装ったメールです。
具体的には、件名欄に「RE：」と付けられたメールが確認されています。
一見すると取り引き先とのやり取りのメールだと判断されるため、警戒されにくい点が特徴です。

添付ファイルによる不正プログラムの侵入

送られたメールには多くの場合、WordやExcelのファイルが添付されています。
受信したユーザーは取り引き先からのメールだと信じているため、疑いを持たず開いてしまうケースは少なくありません。
ファイルを開くとマクロが起動し、PowerShellによってEmotetがダウンロードされてしまいます。

Emotet（エモテット）による被害

Emotet（エモテット）に感染すると、どのような実害が生じるのでしょうか。代表的な被害を紹介します。

機密性のある情報が流出する

C＆Cサーバーから不正に情報を入手する機能がダウンロードされるため、感染した端末で管理している情報が取得されてしまいます。
顧客情報、社員情報、アカウントの認証情報など、機密性のある情報が外部のサーバーに送信されます。

社内ネットワーク内で感染が広がっていく

Emotetには自己増殖を繰り返すワーム機能が搭載されているため、1つの端末の感染から社内ネットワーク全体に広がっていきます。
端末に潜伏しながら、C&Cサーバーからのアップデート情報を常に受け取っているのが特徴です。
端末の脆弱性を突くアップデートが適応されると、社内ネットワークのなかで急激に感染が広がる危険性があります。

社外へと感染させてしまう

端末に感染したEmotetは、端末内で管理しているメールアドレスの情報をさらに取得します。
また、感染端末を踏み台にした、社外にEmotetを拡散するメールを送信するケースがあります。
取り引き先や顧客に感染を広げてしまった場合は、責任を追及されることも考えられるでしょう。

ほかのマルウェアに感染してしまう

Emoteの特徴的な点は、ほかのマルウェアのプラットフォームとしても機能することです。
Emotetの感染によって、ほかのマルウェアへの感染が引き起こされてしまうケースがあります。
これまで、以下のようなマルウェアの二次感染が確認されています。

• TrickBot（情報を不正摂取するマルウェア）
• Ryuk（ランサムウェア）
• Qbot（トロイの木馬）

国内でのEmotet（エモテット）被害の事例

国内でも、Emotetによる大きな被害が確認されています。
 
2019年5月には、多摩北部医療センターの被害が報道されました。
センターの業務用端末に不正なプログラムが添付されたメールが届いています。
職員がそのファイルを開いてしまい、端末はEmotetに感染。
幸い、個人情報の流出は免れましたが、その際に不正取得されたメールアドレスにEmotetのなりすましメールが届いているようです。
 
2019年11月には、首都大学東京で、大規模なメール情報流出事件が起きた可能性があると発表されました。
雑誌社を装うメールを開き、Emotetに感染したことが原因だと考えられています。

Emotet（エモテット）の被害を防ぐための対策

Emoteto（エモテット）の拡散は現在も警戒されています。
被害を防ぐためには、ユーザー側による徹底した対策が必要です。
以下では、Emotetの被害を防ぐための具体的な対策を解説します。

マクロの自動実行機能をオフにする

多くの場合は、EmotetはWordやExcelのマクロ機能によってダウンロードさせることで端末に侵入します。
そのため、ユーザーが意図していないマクロの実行を無効化しておくと安心です。
各ソフトウェアのオプションから、「警告を表示してすべてのマクロを無効にする」を選択すると、マクロの自動実行機能がオフになります。

OSを更新して脆弱性を解消する

Emotetに限らず、マルウェアの感染を防ぐためにはOSの脆弱性を解消することが大切です。
アップデートプログラムを適応せずに放置すると、解消されて脆弱性を狙ったサイバー攻撃の標的にされてしまいます。
OSのアップデートプログラムが配布され次第、速やかに更新を行いましょう。
Windows10の場合、「更新とセキュリティ」からアップデート状況を確認できます。

PowerShellを無効にする

マクロが有効化された状態でEmotetの添付ファイルを開いてしまった時に備え、PowerShellを無効化しておくことをおすすめします。
PowerShellとは、Windowsに実装されているコマンドラインインターフェースです。
Emotetは、マクロからコマンドプロンプトが実行され、その後PowerShellが起動することでダウンロードされます。
マクロが意図せずして有効化されているケースがあるため、念のためPowerShellの実行をブロックしておくとさらに安心できます。

UTMの導入

Emotetの被害を防ぐには、UTMの導入が有効だと考えられています。
UTMとは、複数のセキュリティを統合したハードウェアのことです。
ファイアウォール、Webフィルタリング、アンチスパムなどのセキュリティ機能を1台で実現できます。
UTMはメールの添付ファイルに対してスキャンを実施するため、Emotetのなりすましメールによる被害を防ぐことができます。
ただし、UTMで検知できるのは暗号化されていないZIPのみであり、パスワード付きZIPに関してはスキャンをすり抜けてしまいます。
UTMを導入していたとしても、ZIPファイルには警戒が必要です。

まとめ

Emotet（エモテット）は進化を続けており、その驚異は現在進行系で増大しています。
この記事ではこれまでの感染拡大の経緯や現状の被害についてお伝えしましたが、今後さらに悪質なマルウェアになる可能性は否定できません。
常にEmotetに関する情報にアップデートしておきましょう。
 
スターティアでは、Emotetに対抗できる社内ネットワークのセキュリティ対策のサービスを提供しています。
 
ご興味をお持ちの方はぜひご相談ください。
 

おすすめ資料ランキング

2022.03.04

サイバー犯罪の概況とセキュリティ対策　2022年度版（全24P）

続きを読む

2022.03.03

ヒューマンエラーを防止する方法9選（全21P）

続きを読む

2022.02.16

知らなかったじゃすまない “改正”個人情報保護法 対策ブック（全45P）

続きを読む

2022.01.26

電子帳簿保存法改正対策ブック（全37P）

続きを読む

【著者・監修者企業】

スターティア株式会社

弊社はパソコン周り、オフィス環境、法律の改正、コスト削減など、ビジネスに関わるお困りごとの解決策を提供する当サイト「ビジ助channel」を運営しています。

資格

一般建設業 東京都知事許可（電気通信工事業）：(般-4)第148417号
古物商 東京都公安委員会許可（事務機器商）：第304361804342号
労働者派遣事業 厚生労働省許可：派13-316331
小売電気事業者 経済産業省登録：A0689
電気通信事業者 総務省届出：A-29-16266
媒介等業務受託者 総務省届出：C1905391

関連SNS

• 
• 
• 
•