2022年11月に活動を再開したEmotetの脅威と対策を解説
昨今、サイバーセキュリティの脅威となっているマルウェアの一種が、Emotet(エモテット)です。一度Emotetに感染してしまうと、情報窃取(端末情報、ソフトウェア情報、メールの送受信等)されるだけでなく、社内の他の端末への感染やスパムメールの送信、他のマルウェアにも感染してしまうなどといった二次被害が大きいため、企業は感染防止策を講じる必要があります。そこで本記事では、Emotetの動向や実際の感染事例、そして対策方法について解説します。
Emotetとは
Emotetは、悪意ある攻撃者が実物の人物を装って不正なメールを送信し、そのファイルを開いてしまうと感染するサイバー攻撃。主に情報窃取や他のウイルスへの媒介を目的としています。
世界でEmotetが初めて確認されたのは2014年。国内では2019年9月頃から攻撃が急増し、11月にメディアが広く報じたことで、知れ渡ることとなりました。
Emotetの手口
Emotetは登場した当初、アカウントIDやパスワードといった認証情報の情報窃取を目的に攻撃が行われていましたが、「ばらまき型メール」による攻撃が拡散されるようになり、多くの法人で感染が報告されています。
ばらまき型メールの手口には、件名・本文が正規のメールを装ったものや業務に関係しそうな内容を装ったもの、またメール受信者の興味・関心を惹く題材を悪用したものなどが確認されています。
他にも、マクロ付きOfficeファイル(Word、Excel、PowerPoint)を添付するもの(クリックするとマクロ付きファイルがダウンロードされ感染する)やメール本文中に不正なURLリンクを記載するものもあります。
Emotetの最近の動向
2020年、Emotetの流行を受け、IPA(独立行政法人情報処理推進機構)の「情報セキュリティ白書2020」においてEmotetの詳細が公開されました。
2021年1月には欧州刑事警察機構(Europol)による大規模な対策が講じられ、Emotetの沈静化が見られましたが、2021年11月以降に再び攻撃が確認されています。
国内では、2022年3月に入りEmotetの感染が急増していましたが、その後7月中旬より一時沈静化。しかし、2022年11月に再び感染確認があったことから、JPCERTコーディネーションセンター(JPCERT/CC)が「Emotetの感染再拡大に関する注意喚起」を行うなど、Emotetの脅威は現在も継続しています。
参考:JPCERTコーディネーションセンター(JPCERT/CC)「マルウェアEmotetの感染再拡大に関する注意喚起」
Emotet(エモテット)に感染すると起こる被害
他のマルウェアにも感染する
Emotetに侵入を許すと、他のマルウェアが次々とダウンロードされて被害が拡大する可能性があります。ダウンロードされたマルウェアの中には、ファイルとしては保存されずデバイスのメモリ上だけで動作するものなど、利用者やシステム管理者にも解析されにくい工夫がされているものもあります。
重要な情報を窃取される
情報を窃取するモジュールもダウンロードされるため、アカウント情報や認証情報、ネットワーク内にある機密情報も含めて外部へ流出し、悪用される恐れがあります。
Emotetに感染して情報の窃取などの不正行為が行われたあと、ダウンロードされたランサムウェアによってデータが暗号化され、デバイスが使用不可になるケースもあります。
最悪の場合、どんな情報が盗まれたのか、何が原因だったのかを調査することができなくなります。
社内のほかの端末にEmotet(エモテット)が伝染する
Emoetは一度侵入するとセキュリティの隙間を探し、ネットワーク内のほかの端末への侵入を行います。Emotetは、端末に潜伏して活動を行いながらも頻繁にアップデートが行われていることも確認されています。組織内で感染が拡大し、さらに頻繁に行われるアップデートによって対策が遅れる恐れもあります。
社外へのEmotet(エモテット)ばらまきの踏み台にされる
窃取された認証情報が悪用され、メールの送受信履歴がある宛先へ、正規のメールを装ってEmotetのばらまき攻撃が行われることもあります。万が一、顧客へばらまき攻撃されることがあれば、注意喚起だけでなく補償の対応などが必要になる可能性もあります。
Emotetによる感染事例
ここでは、実際にEmotet感染を公表した2つの会社の事例をご紹介します。
株式会社NTTデータ関西
2022年7月、株式会社NTTデータ関西は同社が自治体向けに提供している電子申請サービスのヘルプデスク業務に使用しているパソコンがEmotetに感染し、サービス利用者のメールアドレス計2,312件が流出した可能性があることを明らかにしました。2022年5月に担当者が申請者を装った不審メールの添付ファイルを実行したことで感染しましたが、ウイルス対策ソフトで検知されなかったため、見落とされてしまったということです。その後、不審メールの申告があったことから、同社はアンチウイルスソフトによるマルウェアの無害化とフォレンジック調査を実施しています。
厚岸漁業協同組合
2022年8月、漁業組合が運営する直販店のネットショップ専用パソコンがEmotetに感染し、約5万件のメールアドレスが外部流出した可能性があると明らかにしました。
2022年6月14日、直販店ユーザーから「不審なメールが届いている」と連絡を受けたことから、調査のために組合内の全端末にウイルススキャンを実施したところ、感染の疑いのある端末が見つかりました。その後、感染が疑われる端末を隔離し、初期化のうえでログ調査を実施したところ、ログからも感染の疑いがある事実が判明しており、該当端末からメール情報が抜き出された可能性があると判断しました。
なお、組合は今後の対策として、ファイアウォールのセキュリティ機能(不審なファイルを独立した仮想空間内で確認できるサンドボックス機能の追加など)を実施すると発表しました。
参考:CyberSecurity.com 個人情報漏洩事件・被害事例一覧
Emotetへの対策
このように、Emotetへの感染は社内のみならず社外へも甚大な影響を及ぼすケースが予想されます。では、企業が行うことができる具体的な対策にはどのようなものがあるのでしょうか。
不審なメールや添付ファイルは開かない
まず、Emotetの最も基本的な予防策は、不審なメールとそれに添付されているファイルは決して開かないというものです。定期的に不審なドメインからのメールが届いていないか、チェックすることも大切です。また、メール本文中に記載された不審なURLもクリックしないようにしましょう。
Office製品のマクロの自動実行を無効化する
前述の通り、最新のEmotetの手口はマクロ付きファイルが感染経路となるケースが多いため、WordやExcelなどのOfficeファイルの自動実行を無効化しておくことも有効策の一つです。無効化を徹底するためには、担当部署が一括で処理することをおすすめします。
セキュリティソフトを導入する
Emotetに有効なセキュリティソフトを導入することも重要です。メール受信時にマルウェアを検知し、ブロックできるソフトや、ウイルスに感染しても攻撃を防止するソフトなどがあります。
OSを常に最新版にアップデートする
Emotetに限らず、サイバー攻撃はパソコンの脆弱性を狙って攻撃を仕掛けてきます。そのため、OSを自動的に最新の状態にしておくことも有効策となります。
社内周知と共有
不審なメールはいつ社内の誰に届くか予知できないものです。また、テレワークを行う企業であれば社用パソコンを社外へ持ち出す機会も少なくないでしょう。こうしたEmotetを含めたマルウェアに関する情報について全従業員へ周知徹底し、注意喚起しておく必要があります。
しかしながら、上記の対策では100%感染を防止することはできません。なりすましメールの手口は日々巧妙に進化しており、仕事をしながら完全になりすましメールの真偽を精査するのは非常に難易度が高いと言えます。
もしも感染してしまった場合の対策
感染した端末のネットワークを遮断する
Emotetに感染もしくはその疑いがある場合、ネットワークから遮断して感染拡大を防ぐことが何より重要です。ネットワークを遮断した後、社内の報告フローに従い、上長や管理者へ報告・連絡・相談を行いましょう。
感染したアカウントのメールアドレスとパスワードの変更
アカウント情報やメールの認証情報などを盗まれている可能性があるため、メールアドレスとパスワードの変更もしくは感染が疑われるアカウントを削除し、新たに作成することが求められます。
感染した端末を初期化する
つまり、感染・被害を拡大させないためには、一刻も早いスピーディな対応が求められます。そのためには、予め社内で担当部署をたて、感染した場合の連絡経路や対応リストを作成および全社員へ周知しておくと良いでしょう。
また、上記感染事例にもあるように、事故発覚後は必要に応じて、社外への注意喚起や情報公開も必要です。感染予防と感染拡大防止の2つの観点から対策を準備しておく必要があります。
Emotetを含むセキュリティ対策には専門家の助言が有効です。必要に応じて利用することをおすすめします。