2023-08-24 09:00:42

Emotetのなりすましメールの実際の文例を解説。危険性や見分け方は？

ビジネスメールは、日頃の業務に欠かせない重要なツールの一つです。
ところが、こうして社内外のやり取りでメールが頻繁に利用されている状況を悪用し、ウイルスに感染させる手口が存在します。
本記事では、メールを巧妙に使って感染させる「Emotet」についてお伝えします。

Emotetとは？

Emotet（エモテット）とは、攻撃メールに添付された不正な添付ファイルなどから感染するウイルスの一種です。

受信者が不正な添付ファイルを開封したり、メール本文中の不正なURLをクリックしたりすることで、感染が広がります。
これらの手段で受信者のコンピューターをEmotetに感染させて、メールやアカウントの情報を窃取したり、ほかのマルウェアへ二次的に感染させたりすることが攻撃者の目的です。
Emotetの大きな特徴の一つとして、正規の送信者になりすました巧妙な攻撃メールで、受信者を欺く点が挙げられます。

たとえば、受信者が過去にメールでやり取りをした実在の人物を装う手口がよく用いられます。
攻撃メールの文面に、過去に実在の人物とやり取りした内容が含まれるといった形で、巧妙な手口により受信者の勘違いを誘うのが注意点です。

企業を狙った被害事例では、実在の同僚や取引先の人物を装い、業務に関連する内容の攻撃メールが用いられることも珍しくありません。
こうしたEmotetの手口を見抜くためにも、攻撃メールの特徴や正規のメールの見分け方などを押さえておくことが大切です。

Emotetによる攻撃メールの特徴

過去に確認されたEmotetの攻撃メールの事例では、受信者の業務に関連する内容や、時事ニュースに関連する内容のメールが送信されました。
企業の場合、以下のような内容を装った攻撃メールに注意が必要です。

【業務に関連する攻撃メールの例】

取引先からの請求書の送付
経理関係書類の修正依頼
給与や賞与の振込通知
会議の出席確認
社会保険料に関する通知

また、2020年以降は、新型コロナウイルス感染症に関連する内容の攻撃メールも多く見られるようになりました。
ビジネスシーンに影響を与える時事ニュースが、なりすましに悪用される可能性もあるのです。
さらには、Emotetが正規のメールに対する返信を装うケースも存在します。

たとえば、取引先へメールで見積書を送信した後日、「お世話になっております。先日お送りいただいたお見積もりの金額についてですが……」といった返信の形式で攻撃メールが届く可能性も考えられるでしょう。
Emotet対策では、あらゆるパターンの攻撃メールを想定し、なりすましを早期に見分けることが大切です。

Emotetの実際のメール例

Emotetの攻撃メールでは、具体的にどのような文面が送られてくるのでしょうか。
ここでは、ビジネスシーンで発生している、Emotetのなりすまし攻撃メールの文例を紹介します。

【例1】不正な添付ファイルが含まれる攻撃メール

件名：請求書修正の件
いつもお世話になっております。
先日お送りいただいた請求書に1点修正が必要です。
発行日を追記してください。
ご修正を宜しくお願い致します。
添付ファイル：請求書.docx

【例2】不正なURLが含まれる攻撃メール

件名：会議の出欠確認について
関係者各位
お世話になっております。
会議の出欠確認について、以下のURLからご登録ください。
https://〇〇〇〇〇〇〇〇〇〇〇〇
お忙しい中恐縮ですが、ご回答をお願い致します。

Emotetのなりすましメールの見分け方

Emotetのなりすましメールを見分けるには、日頃から受信したメールを注意深く確認する習慣をつけるのが望ましいといえます。
なりすましメールでは、正規の送信者のアドレスに似せて偽装した、不審なアカウントから攻撃メールが送られるケースが多く見られます。

そのため、まずはメール送信元のアドレスをよく確認して、間違いなく正規の送信者であることをチェックしましょう。

また、メールにMicrosoft WordやExcelなどのソフトで作成されたファイルが添付されている場合、文書ファイルにマクロが設定されていないかをご確認ください。
マクロが設定されている場合、開封した文書ファイルで「コンテンツの有効化」を行うことで不正なマクロが実行され、ウイルスに感染するおそれがあります。

Emotetの攻撃メールの中には、これらの見分け方のみでは判断が難しいケースも数多く存在します。
なりすましの手口は年々巧妙化し、メールを受信した社員が異変に気づきにくい攻撃メールも増えてきている状況です。

一人ひとりがなりすましメールに注意するのはもちろん、サイバー攻撃に備えて企業のセキュリティ対策を強化することが重要だといえます。

Emotetの最新動向

サイバーセキュリティの脅威として、Emotetは現在も進化を続けています。
ここでは、Emotetの最新動向を把握し、適切な対策を講じるための情報をお伝えします。

2023年にEmotetの攻撃再開を確認

国内におけるEmotetの被害は、一時的に大きな流行を見せた後、しばらく攻撃が確認されない時期が続いていました。
しかし、2023年3月に国内でEmotetの攻撃再開が確認され、現在は引き続き注意が必要な状況が続いています。
最新の手口では、従来のEmotetの手口とは異なる点も多く見られています。

新たな感染手法の登場

2023年3月の攻撃再開以降、Emotetに新たな感染手法が確認されました。
従来と異なるのは、Microsoft OneNote形式（.one）の添付ファイルを悪用した手口です。
受信者がOneNote形式のファイルを開封し、ファイル内の指示に従って操作すると、不正なファイルが実行されてEmotetに感染する仕組みとなっています。

セキュリティ対策の強化

企業は最新のEmotetの手口に備えて、セキュリティ対策を強化することが重要です。

業務で使用するOSやソフトウェアはこまめに更新を行い、常に最新の状態に保ちましょう。

また、不審な添付ファイルを開封してしまった、不審なURLをクリックしてしまった場合は、速やかに情報セキュリティ担当者へ報告を行うなど、社内体制を整備する必要があります。

さらに、社内にウイルス対策ソフトを導入し、受信したメールや添付ファイルのスキャン、URLの安全性チェックなどを実施する対策も効果的です。

Emotetへの感染リスクを最小限に抑えるために、現状のセキュリティ対策の見直しをご検討ください。

Emotetの被害事例

Emotetによる被害は、企業や個人のほか、公的機関でも発生しています。
ここでは、ケース別にEmotetの被害事例をご紹介します。

企業における被害事例

国内の大手企業では、Emotetのなりすましメールが届いた事例が多く見受けられます。
多くの事例で従業員を装った攻撃メールが届いていることから、たとえ社内の人物から届いたと見られるメールであっても、十分に注意が必要です。

また、被害に遭った企業の中には、社内のコンピューターがEmotetに感染してしまったケースも少なくありません。
感染したPCからメール情報が窃取されるほか、取引先や関係会社などの外部へ攻撃メールが送信されるといった二次的な被害も発生しています。

社外へEmotetの被害を広めないためにも、セキュリティ対策の強化が求められています。

個人における被害事例

Emotetによる被害で、個人のコンピューターが狙われた事例も存在します。

個人をターゲットにするケースでは、特にEmotet感染によってクレジットカード情報を窃取する手口に注意が必要です。

最新の手口では、Webブラウザ経由でクレジットカード情報が盗まれ、クレジットカード番号・名義人の氏名・有効期限などの情報が外部へ送信されるおそれがあります。
その後はクレジットカードの不正利用など、金銭的な被害にもつながりかねません。

教育機関における被害事例

企業に限らず、大学などの教育機関でもEmotetによる被害が確認されています。
教育機関では、教員や事務職員をはじめとした多数の人が組織に関わっていることから、組織内部の人物になりすました不審なメールに注意が必要です。

実際の教育機関における被害事例でも、教職員を装った人物から攻撃メールが届いています。
学校内で複数の端末がEmotetに感染してしまった事例も少なくありません。

被害を最小限に抑えるために、学校組織でもEmotet対策を講じることが重要です。

Emotetに感染したときの対処法

万が一、社内の端末がEmotetに感染してしまった場合は、迅速かつ適切に対処する必要があります。
また、Emotetの感染を防ぐために、日頃からウイルス対策ソフトでセキュリティ強化に取り組むことも大切です。
最後に、Emotetに感染したときの対処法をお伝えします。

感染が疑われる端末をネットワークから遮断する

不審なメールの添付ファイルを開封してしまった場合や、URLをクリックしてしまった場合は、Emotet感染が疑われる端末を即座にネットワークから遮断します。
PCの本体からネットワークケーブルを抜いたり、無線LANの接続を切ったりして、感染が疑われる端末を隔離しましょう。

組織内の感染状況を確認する

社内の端末がEmotetに感染したと疑われるときは、同じネットワーク内のすべての端末の感染状況を確認します。
感染が疑われる端末以外にも、被害が広まっている可能性が考えられるためです。

その後はウイルス対策ソフトを利用して、コンピューターの検査を実施しましょう。
組織内にウイルスが検出される端末が無いかを確認します。

もしもウイルスが検出されたら、ウイルス対策ソフトで駆除した後、感染した端末の初期化を行ってください。

被害状況を通知する

社内でEmotetによる被害が発覚したら、組織内・取引先・関係会社などへ向けて速やかに被害を通知し、関係者へ警告することが重要です。
自社から攻撃メールが送信されてしまった場合は、二次被害・三次被害につながり感染が拡大するおそれがあります。
関係者が不審なメールを速やかに削除し、感染拡大を防止するために、積極的な情報発信を行いましょう。