Emotet（エモテット）の感染被害が拡大中

2019年10月以降、Emotet（エモテット）と呼ばれるウイルスによる感染被害が拡大しています。大規模なばらまき攻撃が日本国内であり、2020年2月までに、マルウェア「Emotet」に感染した日本国内の企業が大多数に上ることを、JPCERT/CC（JPCERTコーディネーションセンター）が明らかにしました。※1

2020年2月以降、Emotetの活動に大きな動きはありませんでした。しかし、2020年7月頃から活動が再確認されはじめ、国内での感染被害が拡大します。そして2021年1月27日、Europol（欧州刑事警察機構）は、Emotetのボットネットインフラをテイクダウン作戦の標的にしたことを発表しました。テイクダウン作戦は成功し、Emotetの脅威は過ぎ去ったかと思われました。

しかし、2021年11月にEmotetの活動が再確認され、IPA（日本情報処理推進機構）は注意喚起を行っていますが、特に2022年2月の第一週からEmotetへの感染が大幅に拡大したことを確認しています。2022年3月に入り、Emotetに感染した可能性のあるメールアドレス数が2020年9月から11月の感染ピーク時の約5倍以上に急上昇しています。

この記事では、Emotet（エモテット）の定義や危険性とその手口、被害の内容やいますぐできる防止対策までを徹底解説していきます。

Emotet（エモテット）とは？定義・概要

Emotet（エモテット）とは、情報の窃取や他のウイルスへの感染のために悪用されるマルウェアのことです。Emotet（エモテット）への感染は、主に送り先からの返信メールを装う手口が使われる場合があり、添付された文書ファイル（主にWordやExcelファイル）に仕込まれています。あたかもその相手から返信されたメールに見えますが、実際には攻撃メールであり、ファイルを開くとEmotetに感染してしまいます。

過去にメールのやり取りをしたことのある返信先のメールアドレス、実在の氏名、正規のメールの内容等は、Emotetに感染してしまった企業から盗用されたと考えられています。つまり、Emotetへの感染による情報窃取が、Emotetが添付されて送られる新たな攻撃メールを生み出し、さらなるEmotetの感染被害が拡大する可能性へと繋がっています。

Emotet（エモテット）の主な標的

Emotet（エモテット）の標的は個人だけでなく、企業や組織、機関に及びます。例えば、ドイツでの感染被害の例を見てみましょう。

2018年にFuerstenfeldbruck病院はEmotetに感染し、感染を抑えるために450台のコンピューターをシャットダウンしなければなりませんでした。2019年には、ベルリンの高等裁判所がEmotetに感染し、同年の12月にはギーセン大学もEmotetに感染しました。そして、ハノーファー医科大学とフランクフルト・アム・マインの市当局にもEmotetへの感染が広がりました。

世間に公表されることを恐れて感染被害を報告しない企業や組織もあると考えられています。実際にはさらに多くのEmotetへの感染事例があることが予想されます。

Emotet（エモテット）に狙われやすいデバイス

Emotetの実行ファイルはexeファイルの為、感染するのはWindowsのみでMacには感染しないようです。
ただし、今後Macが感染しないとは言い切れません。iPhoneやAndroidのスマホなどを対象としたEmotetが出てくる可能性もあるので十分に注意しましょう。

そして、犯罪者たちがAppleサポートの正規のメールになりすまして、ユーザーを罠に陥れるケースもあります。あたかもMacがEmotetに感染すると注意喚起し、「ここから駆除ツールをダウンロードして、Emotetマルウェアを削除しましょう」などと誘導される場合もあります。現状、そのようなツールをダウンロードする必要はないので、くれぐれも注意しましょう。

Emotet（エモテット）の感染経路と攻撃方法

Emotet（エモテット）は、攻撃者によるメールに添付され、デバイス上で添付されたファイルを開くと感染するウイルスです。攻撃者たちは、感染環境で窃取したメールをあたかも正規の返信、転送メールの形式で「ばらまき」送信します。攻撃メールを受け取る人は、以前にやり取りしたメールの「返信」や「転送」として攻撃メールが送られてくるので、疑いなくメールを開き添付ファイルを開封します。攻撃メールを受け取る人は、Emotetのメールだと知らずにメールを開いてしまうため、感染し、メールアカウント、パスワード、アドレス帳などの情報が奪われてしまいます。

さらに攻撃者は、メール本文内のURLリンクからダウンロードされるWordなどの文書ファイルに悪意あるマクロを埋め込み、受信者が「コンテンツの有効化」または「編集を有効化する」をクリックするように誘導します。この場合、ファイルを開くだけではEmotetに感染しませんが、「コンテンツの有効化」をクリックするとマクロが有効化してEmotetに感染してしまいます。

攻撃メールにパスワード付きのZIPファイルを添付してEmotetに感染させようとする手口も確認されています。パスワード付きのZIPファイルは暗号化されているために、メール配信上のセキュリティシステムをすり抜ける場合があります。メール受信者は、悪意あるマクロが仕込まれた文書ファイルとは知らずにパスワード付きのZIPファイルを開封し、Emotetに感染してしまうのです。

Emotet（エモテット）の危険性と巧妙な手口

Emotet（エモテット）による攻撃は巧妙化しています。攻撃者たちはどのようにEmotetへの感染を広げようとするのでしょうか。攻撃者たちの巧妙な3つの手口を見てみましょう。

一つ目の巧妙な手口は、「巧みなばらまきメール」にあります。Emotetへの感染経路の一つに、攻撃メールに添付されたMicrosoftのWordファイルやExcelファイルに悪意あるマクロを仕込ませ、デバイスにEmotetを侵入させる手口があります。正規にやり取りされているメールの返信メールを装うことで、巧妙にも大規模なばらまき攻撃が行われています。ばらまきメールには、いくつかのバリエーションが確認されていますが、いずれも巧妙な手口で不信感を抱かせにくい工夫がされています。

二つ目の巧妙な手口は、「Emotet本体に不正コードを多く含めない」ことです。攻撃者たちは、情報窃取などに対して不正な動作をするモジュールを、デバイス上にファイルとして保存せずに、デバイスのメモリ上で動作できるようなファイルレスな仕組みを取り入れています。そうすることで、巧妙にもセキュリティ調査者からEmotetを解析されにくくすることが可能となっています。

三つ目の巧妙な手口は、「正規のサービスを装いメール受信者にウイルスファイルをダウンロードさせる」ことです。攻撃メールに示されているURLリンクをメール受信者がクリックすると、巧妙にもPDFファイルが存在するかのような画面に誘導されます。メール受信者は、自らの手でウイルスファイルをダウンロードすることによってEmotetに感染します。偽のウェブサイトを見破るのは難しいため、メール受信者はむやみに操作しないことが重要です。

Emotet（エモテット）による感染被害と被害事例

被害の内容

Emotet（エモテット）に感染すると起こる被害を4つ見てみましょう。

• 他のマルウェアに感染
• 重要な情報の窃取
• 組織内の感染源
• 組織外の感染源

他のマルウェアに感染

Emotetに感染してしまうと、他のマルウェアもダウンロードされてしまい、感染が拡大する恐れがあります。ダウンロードされてしまうマルウェアの中には、巧妙にもデバイスのメモリ上だけで動作するものがあります。ファイルとしては保存されない工夫がされているため、利用者に解析されにくく、被害が拡大する可能性があります。

重要な情報の窃取

そして、重要な情報を盗み取られてしまう危険があります。Emotetに感染してしまうと、情報を窃取するモジュールもダウンロードされてしまいます。そうなると、認証情報やネットワーク内にある機密情報も外部へ流出し悪用されてしまう可能性があります。Emotetに感染して情報の窃取などが行われたあと、ダウンロードされたランサムウェアによってデータが暗号化されてしまい、デバイスが使用不可になってしまう場合があります。巧妙にも、どんな情報を窃取されてしまったのか、また何が原因だったのかを調査できないというケースもあるので危険です。

組織内の感染源

さらに、他の端末にEmotetが伝染する可能性があります。これは、Emotetに自己増殖するワーム機能が備わっているからです。Emotetは一度侵入に成功するとセキュリティの隙間を探し、ネットワーク内の他の端末への侵入を行います。Emotetは頻繁にアップデートも行い、端末に潜伏して活動します。頻繁にアップデートが行われることから、Emotetへの対策が取れないことが現状です。

組織外の感染源

他の企業に対して、Emotetへの感染の踏み台にされてしまう危険もあります。Emotetによって窃取された情報の中にメールのやりとり履歴があると、それを悪用され、正規のメールを装って取引先などに攻撃メールをばらまかれてしまいます。そうなると、Emotetへの感染の注意喚起だけではなく補償への対応も必要になる可能性があるので危険です。

実際にあったEmotet（エモテット）の被害事例

では、実際にあった幾つかの被害事例を見ていきましょう。

2019年11月に、公立大学法人・首都大学東京の教員のコンピューターがEmotetに感染し、被害がもたらされました。大学側によると、2019年10月18日、同教員を騙る不審メールが大学内の他の教員へ送信されました。2019年10月21日、受信した教員のコンピューターがウイルス感染していたことが発覚し調査をしたところ、教員が所有していたメールソフト内のメールアドレスやメール本文の漏えいの可能性が確認されました。アカウント内の1万8,843件のメールの情報が流出した可能性があります。※2

2019年の11月にはさらに、大手小売業者を騙る第三者からの不信なメールが確認されました。この企業がリリースした偽メールの文面がEmotetで観測されたものと同じであったため、Emotetに感染したことがわかりました。

2020年8月には、カナダのケベック州の司法省でEmotetへの感染が確認されました。8月11日から12日の間にEmotetによる攻撃を受け、メールの受信トレイから情報が漏えいしてしまいました。その結果、司法省とメールでやり取りしていた市民のデータや過去の従業員のアカウントを含めた約300人の個人情報が盗まれたようです。

2018年2月には、米国ペンシルバニア州アレンタウン市でEmotetへの感染が確認されています。Emotetは行政のコンピューターに感染し、ログイン情報を窃取しながら感染を拡大しました。最終的に、ネットワーク上の他のデバイスにもマルウェアがダウンロードされてしまい、被害額は約100万ドル（約1億円）にも上りました。

今すぐできる！Emotet（エモテット）の感染チェックと対策

攻撃者たちのEmotet（エモテット）を用いた基本的な攻撃方法が、添付ファイルのマクロ起動や不正なURLリンクのダウンロードという点を考慮すると、今すぐできる対策としては以下のようなものです。

• 受信メールの送信元の確認
• マクロを無効設定
• 添付されているURLの確認
• 重要なデータのバックアップ
• ツールを使った感染確認

まず、受信したメールの送信元のアドレスを確認することです。心当たりのないドメインや不審なドメインになっていれば注意が必要です。

次に、Microsoft Officeのマクロ設定を「警告を表示してすべてのマクロを無効にする」にすることも大切です。そうすることで、添付ファイルのマクロが自動的に実行されないようにすることが可能です。

そして、メールの本文中に挿入されているURLが不審なリンクになっていないかも確認しましょう。重要なシステムや重要なデータのバックアップも取っておくことも大切です。

Emotetに感染してしまったと思ったらすぐに感染の有無チェックをすることも重要です。広く使われているチェックツールとしては、警視庁も紹介しているEmotet専用の感染確認ツール「Emocheck（エモチェック）」です。感染の疑いが出たら、まずはこのチェックツールを使用することをおすすめします。

▼Emotet(エモテット)感染を疑ったら（警視庁HP）
https://www.keishicho.metro.tokyo.lg.jp/kurashi/cyber/joho/emotet.html

しかし、攻撃者たちのEmotetへの感染手口が巧妙であることを考えると、Emotetの侵入を完全に防ぐことは極めて困難です。そのため、今すぐにできる対策や感染チェックに加え、新たな仕組みを導入することがさらなる効果的な対策となります。

万が一Emotetに感染していた場合の駆除方法

仮に、Emotetに感染していることがわかった場合、以下の手順によりEmotetを無効化してください。※Mac OS, Linux, iOS,Android　などWindowsOS以外の感染報告は2022年3月時点では存在していません。

Emotet無効化の手順

• Windowsでタスクマネージャーを起動。「詳細」タブから実行結果に表示されている「プロセスID」を選択し、『タスクの終了』をクリック
• 実行結果に表示されている「イメージパス」のうちフォルダ部分をエクスプローラーで開く。表示された「***.exe」を削除

上記の作業が完了したら、もう1度EmoCheckを実行。Emotetが検知されないかどうか確認してください。
もし、EmoCheckで感染したかどうかの確認が実施できない場合は、次の対応策の実施検討をおすすめします。

ちなみに病院やクリニックなどの医療機関では、診断や検査・請求に使用するシステムの都合上、どうしてもWindowsOSを使わなければいけないケースがあります。
患者さんの治療に関する個人情報など、重要な情報を扱う場面が多く、感染時のリスクも高いため、特に注意を払う必要があるでしょう。

必要なEmotet（エモテット）への効果的な対応策

巧妙な手口で侵入してくるEmotet（エモテット）に対して、どんな必要な対策を取ることが可能なのでしょうか。幾つかの対策を見ていきますが、ポイントとなるのは、どれか1つだけの対策を実行すればいいというのではなく、すべての対策を取ることを意識することが大切です。

• セキュリティ対策ソフトの導入
• セキュリティパッチの適用
• Power Shellのブロック
• （標的型攻撃メール）セキュリティサービスの導入

セキュリティ対策ソフトの導入

まず、セキュリティ対策ソフトで保護する方法があります。現代において、セキュリティ対策ソフトを導入していないコンピューターは、武器を持たずに戦場に出向くようなものです。現在Emotetに限らず、マルウェア感染の被害に遭ってしまうコンピューターは、セキュリティ対策ソフトで保護されていないことが確認されています。ネットワークに接続する可能性のあるコンピューターは、セキュリティ対策ソフトで安全に保護しましょう。

セキュリティパッチの適用

そして、セキュリティパッチを適用することも大切です。セキュリティパッチとは、公開されたソフトウェアで発見された問題点や脆弱性に対して不具合を解決するためのプログラムのことです。セキュリティパッチを適用しなかったことで、Emotetに限らず他のマルウェアにも感染してしまったという事例は多くあります。マルウェアの多くは、システムの脆弱性を狙って被害をもたらすので、脆弱性を解決せずにそのままにしておくことは非常に危険です。WindowsなどのOSにセキュリティパッチを適用し、即座に対応していくことが重要です。

Power Shellのブロック

Power Shellをあらかじめブロックしておくことも対策の一つです。Emotetの実行には「Power Shell」といういわゆるスクリプト言語が利用されています。そのため設定においてPower Shellをブロックしておくことが可能です。実行ポリシーでブロックすると、マルウェアによって変更されてしまう恐れがあるため、管理者権限でPower Shell自体の起動をブロックすることをおすすめします。

（標的型攻撃メール）セキュリティサービスの導入

Emotetへの主な感染経路は、メールの添付ファイルです。標的型攻撃メールによる感染事例が確認されています。ですから、標的型攻撃メール対策ソリューションを導入することは効果的です。標的型攻撃メール対策ソリューションは、添付ファイルの解析を行ったり、フィッシングサイトのURLチェックを行ったりすることが可能です。

まとめ

Emotet（エモテット）は、サイバーセキュリティの歴史上最も危険なマルウェアの1つであると言えます。非常に感染力が強く、拡散力も有しており、強力なマルウェアの侵入を手助けします。Emotetへの主な感染手口はメールの添付ファイルであり、多くの企業のシステムがEmotetに感染し、情報窃取の被害に遭っており、最近では病院やクリニック、歯科医院などの医療機関でも被害が相次いでいます。病院やクリニックなどの医療機関が被害を受けると、取引先はもとより場合によっては患者さんの個人情報など多方面に被害が及びます。まずは被害に遭う前の感染前対策が求められます。

感染前対策を行い感染しないことが一番ですが、感染してしまったならば、拡大しないように冷静に対処することが重要です。今一度、不審なメールの添付ファイルは開かない、不審なURLをクリックしない、ということを確認・徹底しましょう。残念なことに、Emotetへの感染を完全に防ぐためのソリューションはありません。しかし、Emotetへの感染リスクを低減することは可能です。この記事でご紹介した対策を実行することでEmotetに感染しないように気を付けていきましょう。

無料相談受付中

お使いのコンピューターやシステムがEmotet（エモテット）に感染しないために、まずは感染前の事前対策が必須です。株式会社ITreatでは医療機関向けのセキュリティ対策無料相談を受け付けております。PC機器の購入から設定、院内ネットワークのご相談、日ごろからのマルウェア感染を防ぐ基本的な対策方法や、マルウェア感染が発生してしまった場合の対応方法まで幅広く実施しております。お気軽にご相談ください。