1. Emotetとは？

そもそもEmotet（エモテット）はオンラインバンキングに関する情報を盗み出そうとする「バンキング型トロイの木馬」として開発されたマルウェアです。

悪意を持った人間が他人の端末に不正アクセスし、金銭や機密情報を盗み取ることを目的とするもので、その対策の難しさからサイバーセキュリティ上最凶レベルのマルウェアとして認識されています。

Emotetの実態

Emotetは、前述のように金銭や機密情報を盗み出すことを目的としたマルウェアで、近年深刻な被害を巻き起こしています。大きな特徴は、ウイルス対策ソフトから自らの存在を隠し、ワームのように拡散することにあります。

Emotetは通常メールを介して感染し、拡散していきます。本当に実在する相手のようにメールを偽装したり、実在する返信メールに見せかけるなどしているため、だまされてメールを開き、うっかり添付ファイルをクリックしてしまう人が後を絶ちません。そうすると、マルウェアが自動的にダウンロードされてしまい感染が始まります。

（1）MaaSとしての進化

Emotetの脅威に対して、各国もサイバーセキュリティ対策を強化させてきましたが、そのたびに悪意あるサイバー攻撃者たちはEmotetを進化させてきました。ウイルス対策ソフトからの検出を困難にしたり、メールアドレスなどを盗みだし、他のマルウェアを配信する機能が追加されたりと、現在も進化しています。

Emotetは今やMaaS（Malware-as-a-Service : マーズ。マルウェアを配信するサービス）としてサイバー攻撃者間で売買されるようにさえなっているのです。

（2）標的型攻撃

Emotetは、行政、金融、医療などの各機関、防衛、通信、製造など主要企業をメインの攻撃対象として、なりすましメールを送付し感染を狙います（標的型攻撃）。その手口は巧妙で、すでに感染したメールから個人情報などを読み取り、いかにも実在の人間や組織が作成した本物のビジネスメールであると勘違いさせるように工夫しているのです。

このメールには、ウイルスが含まれた危険なリンクやマクロが仕込まれたOfficeファイルが含まれており、ユーザーがリンクをクリックしたり、添付ファイルをダウンロードしたりすると、Emotetに感染。利用者のネットワーク上で一気に拡散し、甚大な被害をもたらします。

Emotet被害のこれまで

Emotetは 2014年に初めて観測され、2017年にはその存在が広く確認されました。国際的に対策が取られたことにより、2021年にいったん感染は鎮火するものの、2021年後半から進化したEmotetが再拡大を始め、2022年には被害が再び深刻化しています。

（1）Emotetの観測と流行

2014年、ドイツとオーストリアの銀行の顧客がEmotetの被害に遭ったことが観測されました。被害は拡大し、2017年にはその存在が広く確認され、2018年にはヨーロッパの行政、医療、教育機関などが被害に遭いました。2020年、日本でも多数の企業や公的機関がEmotetに感染していることが判明し、公表されました。これらは氷山の一角で、公表されていない感染事例が数多くあるのではないかとも言われています。

（2）Emotetのテイクダウン（無効化）

国際的に共同対策が取られたことにより、2021年にEmotetのMaaSはテイクダウン（無効化）されたとユーロポールから発表されました。また、この時Emotetの開発を行っていた悪意ある集団（ハッカー）も取り締まりを受け、事態は解決したかに見えました。しかし、Emotetの開発手法は何らかの手段で、新たな悪意あるハッカーに引き継がれたようです。

（3）Emotetの活動再開

そしてEmotetは2021年11月から再拡大を始めています。あるセキュリティ企業の調査によるとEmotetの2022年3月の検知数は前月に比べ約3倍になったようです。大きな問題は、再拡大している進化型Emotetがさらに巧妙に進化を遂げ、その存在を検知するのが難しくなっていることです。

Emotetは活動再開以降、ボットに感染したコンピューターで構成されたボットネットワークであるTrickbot（トリックボット=バンキング型トロイの木馬）を介して拡散していましたが、現在はスパムメールを自動で作成し、自らを拡散する活動を行っています。

2. Emotetの巧妙な攻撃手口

Emotetの攻撃手口が巧妙で、各国の企業や公的機関がその対応に苦慮していると述べましたが、もう少しその手口を詳しく見ていきましょう。

正規メールの返信を偽装

Emotetは、今までやり取りしたことのある相手からの返信メールを偽装してやって来ます。しかも「今月の請求につきまして」「会合のお知らせ」など、ごく自然なタイトルで送られてきますので、多くの人がだまされてしまい感染するのです。

Excel・Wordファイルのマクロ

代表的な手口のひとつで、偽装メールに添付した「請求書」「ご案内」などのMicrosoft WordやMicrosoft Excelのファイルに悪意あるマクロが仕込まれています。誤ってクリックしたとしても警告が発せられますが、いつもの相手だからとうっかりマクロを有効化するとEmotetに感染してしまいます。

パスワード付きZIPファイル

マクロを仕込んだファイルを、パスワード付きZIPファイルに圧縮して、偽装メールに添付して送りつける手口です。ZIPファイルにすることで、起業のウイルス対策ツールのチェックを通過しやすくします。現在、多くの企業でパスワード付きZIPファイルの使用をとりやめる動きが出ていることの一因です。

新型コロナウイルス関連情報を使った本文

Emotetの攻撃者は、日本や世界のトレンド・生活者意識をよく分析し、クリックされやすいタイトルや文面で攻撃メールを送付してきます。2020年には「新型コロナウイルス」に関する情報を装ったメールがばら撒かれていることが発覚しました。

なお、添付されていたファイルは悪意のあるマクロが仕込まれたWord文書ファイルでした。メールの内容にもあまり不自然さは感じられず、Emotetの攻撃手口がかなり洗練されてきていることに注意が必要です。

通信の難読化

2021年のテイクダウン以前は、Emotetのボットネットワーク等の通信は暗号化されていなかったため、不審な通信内容を検知することが可能でした。2021年11月以降の進化型Emotetの活動においては、HTTPSなどの暗号化通信を利用することによって、通信内容からEmotetの検出が難しくなっています。

3. Emotetによる被害

Emotetが危険で、しかも対策しづらいやっかいなマルウェアであることを理解いただけたでしょうか？　ここからは、実際に感染したらどうなるのか、感染被害の例について見てみましょう。

マルウェア感染の二次被害

Emotetに感染すると、他のマルウェアなどと連携してさらなる二次被害が起きる可能性が高くなります。ここでは代表的なものを見てきましょう。

（1）TrickBot

Emotetは別のマルウェアTrickBot（トリックボット）というマルウェアとも頻繁に連携しており、お互いをコンピューターにダウンロードします。TrickBotは銀行の口座情報、認証情報を盗み取り、販売者に不正送金を行うトロイの木馬で、不正アクセスや不正送金といった事象が頻発しています。これは一般の生活者にとっても脅威となるマルウェアです。

（2）Ryuk

Ryukは、標的型攻撃ランサムウェア（身代金要求型不正プログラム）です。主な感染経路としてEmotetを経由することが多く、公的機関、金融機関、企業などを狙い、感染したシステムをリモートで暗号化してロックしてしまい、身代金を強請り取ろうとするものです。

（3）TrickBot、Ryukとの連携

Emotetは、このTrickBot、Ryukと連携した攻撃を行ってくることがあります。EmotetによってTrickBotを不正にダウンロードさせ、機密情報を盗み出します。そして攻撃者はそのシステムを保有する機関や企業の規模感を確認し、今度はRyukを感染システムに展開してロックし、標的のデータを人質に身代金を要求する卑劣な手口です。

機密情報の流出

前述のようにEmotetは感染過程で、送受信履歴やアドレス帳などメール関連の情報、感染したPCのIDやパスワードなどの重要な認証情報などを窃取します。それらは次の攻撃や連携するマルウェアでの金銭搾取や身代金要求などに利用され、さらに被害が拡大することになってしまいます。

他の端末への感染

Emotetは自己増殖ワーム（自分自身で複製し他コンピューターへ感染を広げる）の側面を持ちます。いったん社内のネットワークに侵入すると、セキュリティの脆弱なところを探し、ネットワークに接続されているデバイスに感染が拡大します。

Emotetの攻撃の踏み台

Emotetは盗んだメールアドレスや認証情報を悪用して、取引先などに「あなたの出したメール」のように装って、さらにマルウェアをばら撒こうと試みることもあります。つまり、自分のPCが「踏み台」にされるわけです。こうなると、自社の信用失墜の可能性も出てきます。

4. Emotetの感染予防策

ここまで読まれてきた方は、「恐るべき厄介なマルウェアだと分かったがどうすればいい？」と思い至ったのではないでしょうか？　まずは感染予防策から考えてみましょう。

エンドポイントセキュリティの導入

Emotetに感染する入口となるのは、ほとんどが社員各々の使用するPCやサーバー、場合によっては自社ネットワークにつながった複合機やスマートフォンなど末端（エンドポイント）のデバイスです。このエンドポイントにあたるデバイスすべてと、ネットワーク全体を一括して監視できるエンドポイントセキュリティの強化がひとつの予防策です。

セキュリティパッチの定期的な実行

サイバーセキュリティの基本の「き」ではありますが、Microsoftなどが行うWindows updateには必ず対応し、PCを更新して、セキュリティパッチを当てることです。サポートの切れた旧OSを使い続けることは、Emotetなどの悪質なマルウェアにドアを開けて無対抗待機しているたいへん危険な状態といえます。

マクロ機能の無効化

あらかじめ悪意を持ったマクロが、自動的に有効化されないようにしておくことも対策のひとつです。Emotetが仕込まれるのはMicrosoft WordやExcelなどのOfficeソフトが多いので、それらの「マクロの自動実行」を無効化しておくと、万一Emotetが仕込まれたWordやExcelのファイルを開いても、実行されにくい設定ができます。

しかしそれでもうっかりマクロを有効化する可能性は残りますので、PowerShell（Windows10に標準搭載された機能）の実行を制御することも有効です。ただし、これらの対策が業務に影響を及ぼさないか、システム責任者との協議が必要でしょう。

メール・ファイル無害化ソフトの導入

メールによるEmotetの攻撃を防止するため、メールのフィルタリングソフトを導入します。単なる迷惑メール検知ではなく、AIなどによって未知の脅威もすばやく検知し、攻撃メールが自社ネットワークに届く前に排除できることが肝心です。

送られてきたメールについて「HTMLメールをテキストメールに変換・無害化」してくれたり、「メール本文内のURLリンクの削除・無効化・無害化」「添付ファイルを削除・形式変換・無害化」してくれたりする無害化ソフトや外部からの受信したファイルを隔離してくれるような隔離ソフトを導入することもひとつの手段です。ただ、こちらも業務に差しさわりがないよう、事前にシステム責任者と方法を詰めておかなくてはなりません。

最新情報の収集・発信

前述のように、Emotetは常に進化し、形態を変えている厄介なマルウェアです。最新の情報をIPA（独立行政法人情報処理推進機構）やJPCERT/CCなどのWebサイトから常に入手し、社内などに発信・共有して、個人個人への意識づけを継続的に行っていくことが、感染防止につながります。

5. Emotetに感染した場合の対策

注意していたにもかかわらず、Emotetに感染してしまった場合は、どうすればよいのでしょうか？　あってはいけないことですが、万一のために対策を考えておき、社内で共有しておけば、冷静な対応ができるはずです。

EmoCheckによる感染のチェック

取引先から「貴社から不審なメールが来ました！」などと連絡をもらった場合、最悪Emotetへの感染を頭に入れておいた方が良いでしょう。しかし、あわてずに、まずはほんとうに自社のPCやネットワークがEmotetに感染しているかどうか確認すべきです。

そのために便利なのがJPCERT/CC（一般社団法人JPCERTコーディネーションセンター）が提供する「EmoCheck」というEmotet感染確認ツールです。EmoCheckは「GITHUB」にて無料公開されており、誰でもダウンロードして利用できます。

ネットワークからの遮断

万一感染が確認されたら、感染したPCをネットワークから遮断し、隔離した上で、証拠として保全しておきます。それからPCに保存されていたメール、およびアドレス帳に含まれていたメールアドレスの確認を注意深く行います。

これらは漏えいした可能性が高いからです。Emotetは組織内に感染を広げるマルウェアですので、感染PCが接続していたネットワーク内の全端末を調査します。

パスワードの変更

感染したPCが利用していたメールアカウントなどのパスワードを変更します。もし、ブラウザにクレジットカード情報を保存していたような場合、クレジットカードの利用を停止します。あとは、流出した可能性のある関係者全員に注意喚起の連絡を行いましょう。不特定多数になる可能性がある場合は、報道発表などで広く告知する必要もあります。

6. Emotetとは？　まとめ

今回の記事ではEmotetの恐ろしさと、感染しないための方策、万一感染した時の対処法も見てきました。Emotetに感染した場合、信用ダウン、事業活動のストップなど会社に与えるダメージが大きくなってしまいます。対策の困難なマルウェアですが、関係者への注意喚起から始め、万一の時に備えた行動計画、有効なソリューション導入などできるだけの対策を取ることが求められます。