Emotetの概要

最初にEmotetが発見されたのは2014年頃です。この頃のEmotetは、「バンキングトロジャン」と呼ばれる金融取引の情報窃取を狙ったマルウェアでした。バンキングトロジャンは、インターネットバンキングのログイン情報を窃取し、攻撃対象の資産を狙った攻撃を行います。

広く拡散したEmotetは、単体で攻撃を行うマルウェアとしてだけでなく、他の様々なマルウェアを感染・拡散させるプラットフォームとしての機能を持つようになりました。

何度もアップデートを繰り返し、より高度な脅威へと進化していったのがEmotetの大きな特徴です。

Emotetの感染経路

Emotetはメールの添付ファイルから感染する

今日のEmotetは、メールの添付ファイルから感染する手口が一般的です。

Emotetを用いた攻撃では、攻撃者は正規のメールを装って、攻撃対象にOfficeファイルを添付したメールを送ります。このOfficeファイルには不正なマクロが埋め込まれており、これを実行してしまうとマクロによって外部サーバからEmotetがダウンロードされ、コンピュータに感染します。

Emotetは標的型メール攻撃

Emotetを用いた攻撃の大きな特徴は、メールを受け取った人が正規のメールだと思い込んでしまうような、巧妙な偽装が施されている「標的型メール攻撃」であるという点です。

一般的なフィッシングメールは、大手クレジットカード会社やショッピングサイトの名前を騙り、攻撃対象に個人情報の入力を迫ります。この場合、文面や宛先の氏名が自分と関係のないものになっていることが多いため、攻撃を受けても不審な点に気づきやすくなっています。

しかし、Emotetを用いた攻撃では、これまで業務上でやり取りしていた実在のメールの件名や担当者の氏名を用いて、まるで既存のメールの返信のように偽装します。件名や送信者に見覚えがあると、被害者は不審さに気づくことなく、URLリンクを開いたり添付ファイルを展開してしまいます。

外部からダウンロードしたOfficeファイルは、マクロが無効化された状態で開きます。この状態であれば、ファイルを展開してもEmotetに感染することはありません。ここで「コンテンツの有効化」を実行してしまうと、マクロが起動してEmotetがインストールされてしまいます。メールの内容を正規のものだと信じ込ませて攻撃対象にEmotetを感染させるのが、Emotetを使った攻撃の特徴です。

感染後のEmotetの動き

コンピュータに感染したEmotetは、メールクライアントソフト上で送受信されたメールアドレスと名前を窃取し、この情報に基づいてスパムメールを送りEmotetを拡散します。

社内で社員全員のメールアドレスが登録されているような場合、一気に全社へ感染が拡大する恐れがあります。また、取引先などの外部にも拡散する恐れがあり、関係者に被害を及ぼす危険性があります。

感染を拡げた後、Emotetはその他のマルウェアを外部サーバからダウンロードします。Emotetと同じくバンキングトロジャンである「TrickBot 」や「Qbot」「Dridex」、ランサムウェア（身代金要求型マルウェア）の「BitPaymer」が、Emotetによってダウンロードされるマルウェアとして知られています。これらのマルウェアはどれも強力なマルウェアです。

Emotet自身やダウンロードされたその他のマルウェアによって金融情報の窃取やデータの暗号化による身代金要求が行われ、攻撃対象に大きな被害を与えます。

Emotetによる被害事例

メールによって感染が広がるEmotetは、国内外の様々な企業・団体で感染被害が報告されています。ここでは、日本国内における被害事例を紹介します。

2019年12月に、NTT西日本グループにおいてグループ会社の社員がEmotetに感染したことが発表されました。この事例では、社員に対して取引先を騙るメールが送信され、添付ファイルを開封、展開してしまったことで社員のPC端末がEmotetに感染しました。更に、この社員を装った偽装メールが社外の顧客宛てに送信されたことが報告されています。これは、前述のOutlook上で利用されたメールアドレスと名前を窃取する機能によって行われたことが予測されます。

2020年10月には、京セラ株式会社でEmotet感染による個人情報流出の可能性があると発表されました。こちらの事例も、従業員のPCがメールからEmotetに感染したという状況はNTT西日本と同じですが、関係者のメールアドレスだけではなく、個人の氏名・住所・電話番号も流出した可能性があると報告されています。一度感染したEmotetはOutlook上の連絡先に登録されている情報を外部サーバに送信するため、Outlookで顧客や関係者の氏名、住所などの個人情報を登録していると、それらもメールアドレスと合わせて流出する可能性があります。

Emotetの終息と再流行の兆し

長きにわたり猛威を振るってきたEmotetですが、2021年1月にEmotetを拡散するためのネットワークを停止する「テイクダウン」が行われたことがユーロポール（ヨーロッパ刑事警察機構）から発表されました。Emotetはコンピュータに感染後、他のマルウェアをダウンロードしたり窃取した情報を外部に持ち出したりするために、世界中に存在する攻撃用の外部サーバを利用します。これらが停止されたことで、Emotetは感染・情報窃取の勢いを弱め、終息に向かいました。

テイクダウンから最近まで、国内におけるEmotetの感染はほとんど報告されなくなりました。しかし、2021年11月14日頃からEmotetの攻撃活動再開の兆候が確認されたとIPAから発表されました。1月のテイクダウン時に、Emotetを拡散し情報を窃取するための簿っとネット全体が停止されましたが、11月に入ってから、「TrickBot」という別のマルウェアが、TrickBotに感染済のシステムに対してEmotetをインストールする事例が発見されました。この動作がEmotetを利用する攻撃者の計画によるものかはまだ確認されていませんが、今後再び大規模な攻撃が行われる可能性もあるため、引き続き警戒する必要があります。

また、今回出回り始めたEmotetでは、従来MicrosoftのOutlookのみを攻撃対象としていたところ、新たにMozilla製のThunderbirdも攻撃対象としていることが警察庁から発表されました。これまでのEmotetとは異なる攻撃パターンを取る可能性があるため、注意が必要です。

Emotetへの対策

Emotetに限りませんが、メールによる攻撃への対策として、以下のような対応があります。

一見怪しくないメールも、よく注意して内容を確認する

Emotetによる攻撃では、Outlookの情報を窃取して既存のメールの返信のように装った文面を作成します。多くの企業でメールのフィルタリングソフトが導入されていますが、最終的に内容を確認してファイルを開くのは人間であるため、各個人が注意して内容を確認することが大切です。そのため、企業においてはEmotetの手法を従業員に周知し、継続的に対策トレーニングを行うことが効果的です。

添付ファイルのマクロを実行しない

インターネットからダウンロードしたりメールで受け取ったりしたWord文書やExcelファイルは、展開するとマクロやセキュリティに関する警告が表示されます。このときに、すぐに「マクロを有効にする」「コンテンツの有効化」ボタンをクリックせず、本当に信用できる送信元からのファイルであるかを確認することが大切です。

実際の業務でデータを送るだけであれば、マクロを実行しなければならない場面はそう多くありません。業務上マクロを利用する必要がある場合は、よく確認してから有効化するようにしましょう。

OSやアプリケーション、セキュリティソフトを最新の状態に保つ

どれだけ警戒していても、攻撃者は常に手法を更新して、攻撃対象の隙を狙っています。万が一、Emotetやその他のマルウェアを実行してしまったときのために、OSやアプリケーション、セキュリティソフトを最新の状態にしておくことで、攻撃による被害を最小限に抑えることができます。

企業内では業務用ソフトとの相性などにより、アップデートが適用されないまま運用されている場面がしばしば見受けられます。業務に影響が出ない範囲で、攻撃への対策も同時に行うことが、企業の利益を守ることに繋がります。

最後に

様々なマルウェアが存在する中、高度に偽装されたメールの文面で攻撃対象を騙すのがEmotetの特徴です。様々なセキュリティ対策の技術も、攻撃を受けた被害者がメールを信用してファイルを受け入れてしまっては効果がありません。

組織内でEmotetの手法を広く伝え、一人ひとりの意識を高めていくことが一番の対策となります。