Trace Id is missing

Emotet とは? 脅威の内容や対策方法を解説

2022 年 8 月 26 日

2019 年 10 月ごろ、複数企業に相次いで被害をもたらした Emotet (エモテット) が、2021 年 11 月に攻撃活動を再開し、2022 年 2 月から被害状況が急速に拡大しています。
この記事では Emotet の概要と被害事例、そして予防法と対策法を紹介します。

EMOTET と表示されたスマートフォンとノート PC
  1. Emotet とは
  2. Emotet の被害とは
    2-1. Emotet がもたらす被害の内容
    2-2. Emotet の被害事例
  3. どのように Emotet に感染するのか
    3-1. 感染経路と手口
    3-2. Emotet 攻撃メール
  4. Emotet の感染予防と対策
    4-1. Emotet の感染予防
    4-2. Emotet に感染した場合の対策
  5. Microsoft を例に見る Emotet 対策に有効なソリューション
  6. まとめ

1. Emotet とは

Emotet (エモテット) とは、2014 年に初めて発見されたマルウェアの一種です。当時はオンライン バンキングの認証情報を盗み出し不正送金を行うマルウェアでした。また、2017 年ごろからさまざまなマルウェアをダウンロードしデバイスに感染させる媒介機能を持ち、世界で最も危険なマルウェアの 1 つとして進化しました。

その後 2020 年 1 月ごろまで Emotet による被害は拡大し続け、日本国内においても 3,200 以上の組織が感染しました。2020 年 2 月以降はいったん沈静化しましたが、2021 年 11 月に活動の再開が確認され、独立行政法人情報処理推進機構 (IPA) から注意喚起が行われています。

2. Emotet の被害とは

次に、Emotet がもたらす具体的な被害内容と国内で発生した事例を紹介します。

2-1. Emotet がもたらす被害の内容

Emotet に感染するとマルウェアがダウンロードされ、主に以下のような被害をもたらします。

  • 情報漏洩
    感染した端末から連絡先、氏名などの個人情報や ID、パスワードといった認証情報などが盗み出されます。
  • ランサムウェアの感染
    Emotet のマルウェア媒介機能でランサムウェアに感染すると、端末の重要なファイルが暗号化され、攻撃者から復号化 (元の状態に戻す) のための費用を請求されます。
  • 社内端末への Emotet 感染
    Emotet は自己増殖機能を持つので、社内ネットワークを使って他の端末へも感染します。その結果、社内ネットワーク内のすべての端末から情報が漏洩する、あるいはランサムウェアに感染する恐れがあります。
  • 社外への Emotet ばらまきの踏み台
    盗み取られたメール アドレスを利用して、社外の関係先へ Emotet を感染させるためのメールが業務連絡メールなどに偽装され送信されます。関係先に迷惑をかけるだけでなく、自社の信用失墜にもつながります。

2-2. Emotet の被害事例

次に、Emotet の被害事例を簡単に紹介します。

  • 電気通信会社の事例
    2022 年 3 月、Emotet の感染が確認されたパソコンにより、業務受託先の公立大学法人の教職員や取引先などのメール アドレスが流出しました。同社では 2019 年 12 月にも社員のパソコンに保存されていたメール アドレス 1,343 件が流出しています。
  • 住宅メーカーの事例
    2022 年 1 月、某住宅メーカーのグループ会社の一部端末が Emotet に感染し、実在する従業員を名乗るメールが過去に当該従業員とやり取りした相手に対して送信されました。
  • 電力会社の事例
    2019 年 12 月、電力会社社員のパソコンが Emotet に感染し、個人情報である社内外のメール アドレス計 3,418 件と過去のメール本文 125 通が流出しました。
  • 小型家電メーカーの事例
    2022 年 2 月、家電メーカー グループ会社従業員の端末が Emotet に感染し、社内外関係者の個人情報やメール件名などのデータの一部が外部に流出しました。また、同社従業員を装ったメールが複数発信されたため、メールの添付ファイル開封などによる感染を防ぐための注意喚起を行いました。
  • 衣料品メーカーの事例
    2022 年 2 月、衣料品メーカーの一部のパソコンが Emotet に感染し、同社従業員を装ったメールが複数発信されました。前出の家電メーカーの事例と同様に、メールに不審なファイルが添付されていたため、同社ではファイルの開封やメール本文中の URL をクリックしないよう呼びかけました。

3. どのように Emotet に感染するのか

ここでは、Emotet の感染経路と手口、これまで確認されている主な攻撃メールについて紹介します。

3-1. 感染経路と手口

Emotet は、主に「なりすましメール」の添付ファイルを通じて感染を拡大します。Emotet に感染すると、端末に登録されているメール アドレスを介して関係者や取引先にスパム メールが送信され、感染が拡大していくのです。感染した端末は同一ネットワークにある他の端末にも感染を広げるため、被害を甚大なものにしていきます。

3-2. Emotet 攻撃メール

Emotet 攻撃のメールとして、主に以下のようなものが確認されています。

  • 返信メール
    取引先や顧客に送信したメールの返信を装ったメールにファイルを添付して送りつけます。多くの場合、添付ファイルを開くと Microsoft Excel や Microsoft Word の文書ファイルとなっており、悪意のあるマクロが埋め込まれています。
    また、従来はファイルを開くだけでは感染しないとされていましたが、マクロに依存せず、有効化の手順を踏まなくともファイルを実行するだけで感染に至るケースも確認されている (後述) ため、注意が必要です。
返信を装った Emotet 攻撃メール

(画像出典:IPA Web ページ「Emotet(エモテット)」と呼ばれるウイルスへの感染をねらうメールについて)

  • URL リンク付きメール
    取引先や顧客を装ったメールの本文にリンクが記載されており、リンクをクリックするように巧みに誘導します。リンクをクリックすると、上記で紹介した添付ファイルと同様のファイルがダウンロードされます。
URL リンク付きメール

(画像出典:IPA Web ページ「Emotet(エモテット)」と呼ばれるウイルスへの感染をねらうメールについて)

  • パスワード付き ZIP ファイル メール
    添付ファイルをパスワード付き ZIP ファイルで暗号化したものです。ファイルを暗号化しているため、セキュリティ ソフトをすり抜ける可能性が高くなっています。
  • 季節や時事を扱ったメール
    季節や時事を扱ったメールも多く見られ、新型コロナ ウイルス関連情報を扱った偽装メールも発生しています。
季節や時事を扱ったメール

(画像出典:IPA Web ページ「Emotet(エモテット)」と呼ばれるウイルスへの感染をねらうメールについて)

  • ショートカット ファイルを利用したメール
    2022 年 4 月には、ショートカット ファイルを悪用した手口が確認されています。ショートカット ファイルを開くとスクリプト ファイルが生成、実行されて感染するしくみです。
ショートカット ファイルを利用したメール

(画像出典:IPA Web ページ「Emotet(エモテット)」と呼ばれるウイルスへの感染をねらうメールについて)

必要なセキュリティ対策がすべて手に入るサービスは?

Windows を知り尽くしたセキュリティ ツール
Microsoft Defender for Business
Win を守る Defender Windows を知り尽くしたセキュリティ ツール

4. Emotet の感染予防と対策

では次に、Emotet の感染予防と具体的な対策について紹介します。

4-1. Emotet の感染予防

  • 組織内への注意喚起の実施
    Emotet を含む情報セキュリティのガイドラインを作成し、組織内での注意喚起を行います。特にリモート ワークなど社外での業務を行う従業員に関しては、情報システム担当者とのコミュニケーションが不足しがちなので、確実にガイドラインの内容を理解してもらえるようチャットなどで確認しましょう。
  • マクロの自動実行の無効化
    感染源の 1 つとなっている Microsoft Office 製品のファイルに組み込まれたマクロが自動で実行しないように、マクロの自動実行を無効化しておきます。そのうえで疑いがあるファイルのマクロを実行する際は、送信元に電話などで確認するようにします。
  • メール セキュリティ製品の導入
    メール セキュリティ製品を導入することで、添付されている不正ファイルをリアルタイム  スキャンして検出することが可能です。また、マルウェアをはじめとした不正なメールが到達する前に検出し、感染を予防するメール セキュリティ サービスもあります。
  • メールの監査ログの有効化
    メールの監査ログを有効化することで、メール操作の履歴がわかり、Emotet による異常な動作の履歴も確認することができます。
  • 定期的なオフライン バックアップの取得
    Emotet やランサムウェアに感染してしまった時に備えて、定期的にデータのバックアップを取るようにします。その際は、ネットワークから切断されたオフラインのデバイスへバックアップを取ることが必要です。

4-2. Emotet に感染した場合の対策

  • EmoCheck で感染の有無を確認
    感染が疑われる場合は、感染の有無をチェックします。「EmoCheck」という感染確認ツールを JPCERT コーディネーション センターが公開しています。

以下に利用方法を紹介します。

1) JPCERTCC の GitHub ページよりツールをダウンロードします。
端末に応じて、emocheck_v2.3.2_x86.exe (32bit パソコン) または emocheck_v2.3.2_x64.exe (64bit パソコン) をダウンロードします。

EmoCheck で感染の有無を確認
 

2) EmoCheck の実行

ダウンロードしたファイルをダブル クリックして実行します。
次のように「Emotet のプロセスが見つかりました」と表示されていた場合には、Emotet に感染しています。

EmoCheck の実行

(画像出典:JPCERT/CC Eyes Web ページ「マルウェア Emotet への対応FAQ」)

  • 感染端末の隔離
    感染が確認されたら、他の端末に感染が広がらないように LAN ケーブルを抜くか、あるいは Wi-Fi の接続を切断し対象の端末をネットワークから切り離します。
  • メール アカウントなどのパスワード変更
    メール経由で外部に感染を拡大する Emotet の動きを止めるために、メール アカウントやパスワードを変更します。
  • ネットワーク内の端末の調査
    他の端末に感染している恐れがあるので、ネットワーク内のすべての端末をウイルス対策ソフトでフル スキャンします。
  • 関係者 (アドレス帳など) への注意喚起
    感染していた端末内に保存されていたメール情報や登録されている連絡先メール アドレスを確認し、関係者に注意喚起を行います。
    メール アドレスなどの連絡先情報の漏洩が確認された場合は、「改正個人情報保護法」に基づき、個人情報保護委員会への報告を行う必要があります。

5. Microsoft を例に見る Emotet 対策に有効なソリューション

次に、Microsoft 365 などの Microsoft のソリューションで行える Emotet 対策を紹介します。

製品選定のポイント

Emotet などマルウェアの脅威から自社の端末を守るには、セキュリティ製品を導入することが有効です。

一般的なウイルス対策ソフトでも既知のマルウェアであれば保護できますが、次々と巧妙化した手段で攻撃してくる未知の脅威からは保護しきれません。さらに、未知の脅威を検出するセキュリティ ツールであっても、それをすり抜ける可能性も否定できないことを念頭に置いておきましょう。

またセキュリティを強固にすればするほど、業務効率が下がったりコストがかさんだりすることもあります。自社が必要なセキュリティ強度を見極めたうえで製品を選定しましょう。

Microsoft では、以下に紹介するソリューションで Emotet などのマルウェアの脅威から保護します。

Exchange Online

Exchange Online

(画像出典:Microsoft Exchage Online Web サイト)

Exchange Online は Microsoft が提供する法人向けのクラウド型のメール サービスです。
Exchange Online Protection というメール フィルタリング サービスを実装しており、Emotet などのマルウェアの疑いがあるメールに対応します。
1 ユーザーあたりメール ボックスの容量が 50 GB あり、月額 430 円 (税別) から利用できます。

Microsoft Defender for Office 365

Microsoft Defender for Office 365

(画像出典: Microsoft Defender for Office 365 Web サイト)

Microsoft Defender for Office 365 は、ビジネス メール詐欺、資格情報フィッシング、ランサムウェア、高度なマルウェアなどから堅牢なフィルタリング スタックを利用してボリューム型や標的型の多様な攻撃を防ぎます。

Exchange Online Protection は既知の脅威に対応しますが、Microsoft Defender for Office 365 は AI により未知の脅威にも対応します。1 ユーザーあたり月額 220 円 (税別) から利用できます。

Microsoft Defender for Business

Microsoft Defender for Business

(画像出典: Microsoft Defender for Business Web サイト)

Microsoft Defender for Business は、大企業向けのセキュリティ対策と同等の機能を使うことができる、クラウド型のセキュリティ サービスです。Windows を知り尽くした同社が、従業員 300 人以下の企業専用に設計しています。

マルウェアなどの攻撃から得た膨大に蓄積された情報とセキュリティ エキスパートの専門知識、そして、AI によりクラウドで 1 日あたり 24 兆件処理されるセキュリティ シグナルの分析を組合せ、独自の視点で最新の脅威や将来の脅威から保護するために必要なセキュリティを判断しています。使いやすいウィザードでセットアップでき、推奨されるセキュリティ ポリシーが最初からアクティブ化されるため、簡単に端末を保護することができます。1 ユーザーあたり月額 330 円 (税別) から利用できます。

また、Word、Excel などの Office 製品や Microsoft Teams、Microsoft Power Automate などの業務効率化アプリがパッケージングされた Microsoft 365 Business Premium の一部として購入することも可能です。1 ユーザーあたり月額 2,390 円 (税別) から利用できます。

従業員が 300 名を超える企業には、Microsoft Defender for Endpoint が用意されています。こちらは、Microsoft 365 のエンタープライズ エディションに含まれています。1 ユーザーあたり月額 3,910 円 (税別、Microsoft 365 E3) から利用できます。

6. まとめ

Emotet への感染は日ごろから注意することで、ある程度防ぐことも可能ですが、万が一感染すると自社のみならず社外や関係者にも多大な迷惑をかけることになりかねません。
日々巧妙化する手口に十全に対応するためには、Microsoft Defender などのセキュリティ製品を導入することをおすすめします。

リモートワーク・ハイブリッドワークに適した環境設置のために

リモートワーク・テレワーク・在宅勤務環境を安全・快適に実現するためには、「セキュリティの確保」「Web 会議のためのデバイス選択」「グループワークのためのアプリケーション」など検討する課題も多く、またこれらを潤沢な資金で準備するのではなくコスト削減につなげることが大切です。

これらの達成のための Microsoft 365、Excel の使い方や、リモートワーク・ハイブリッドワーク環境を充実させるために以下の記事が参考になります。

必要なセキュリティ対策がすべて手に入るサービスは?

Win を守る Defender Windows を知り尽くしたセキュリティ ツール

Win を守る Defender

Windows を知り尽くしたセキュリティ ツール
Microsoft Defender for Business

ご購入検討の問い合わせ先

電話アイコン

お電話で購入相談

受付時間: 9:00 - 17:30 (土日祝日、弊社指定休業日を除く)

0120-167-400
封筒アイコン

Web フォームで購入相談

フォームを開く

本情報の内容 (添付文書、リンク先などを含む) は、作成日時点でのものであり、予告なく変更される場合があります。

トップに戻る