Emotet(エモテット)と呼ばれるコンピュータウィルス(以降「マルウェア」と表記)が国内の企業・組織へ広く感染していることは、多くの方々がご存知だと思います。Emotetが初めて観測されたのは2014年ですが、当時はインターネットバンキングの不正取引を狙うマルウェアでした。その後、感染数が増加し2017年から2019年にかけてピークに達しました。この頃になると、Emotetはマルウェア配信プラットフォームとして機能するようになっていました。マルウェア配信プラットフォームとは、感染したコンピュータから情報を収集し目的に応じて他のマルウェアをダウンロードする機能のことです。このように世界中で猛威を振るうようになったEmotetですが、2021年1月に、EUROPOL(欧州刑事警察機構)や欧米8カ国の法執行機関が協力しEmotetのコントロール基盤を停止させたことで、活動が停止しました。しかし、2021年11月に活動が再開、日本の企業・組織においても感染が再び増加しました。その後も感染拡大を狙う活動が何度か発生し、最近では2023年3月初めに感染拡大を狙うメールが観測されています。
目次
Emotetの感染経路
Emotetは主にスパムメールによって感染します。 具体的には悪意あるファイルを添付したEメールを送信し、添付ファイルを開封させることで感染させます。日本で観測されているスパムメールは、マクロを仕込んだExcelやWordファイルが添付されており、このファイルを開封すると攻撃者が用意したサーバからEmotetをダウンロードする仕掛けとなっています。更に、これらのメールは、普段メールをやり取りしている組織や個人から送られているように見せかけたり、正規メールの返信を装っていたりしており、極めて巧妙です。
また、Emotetは感染したコンピュータから他のコンピュータに拡散する能力があるため、社内ネットワークやファイル共有を通して感染が広がることがあります。
Emotetに感染するとどうなるのか
Emotetは、感染したコンピュータから様々な情報を収集し攻撃者に送信します。以下はその例です。
認証情報やクレジットカード情報
コンピュータやブラウザに保存されたユーザー名やパスワード、ブラウザに保存されたクレジットカード情報を収集します。
メールや連絡先
メールソフト等からメールや連絡先を収集します。これらは、スパムメールの送信先や本文として使用されます。これによって、普段メールをやり取りしている組織や個人から送られているように見せかけることが可能なのです。
コンピュータやネットワークの情報
コンピュータの情報や接続しているネットワークの情報を収集します。
ファイルやドキュメント
コンピュータ上のファイルやドキュメントを探索し、重要そうなものを収集します。
これらの収集した情報によって感染したコンピュータがどのような組織のどのような人によって使われているかを分析し、感染したEmotet毎、他の攻撃者に販売されることがあります。購入した攻撃者はEmotetを通して攻撃目的にあったマルウェアをインストールし更なる攻撃を仕掛けるのです。また、認証情報やメールアドレス等は、アンダーグラウンドのコミュニティーで販売されることがあります。
Emotetはウィルス対策ソフトで防げないのか
一般論で言うとウィルス対策ソフトはEmotetに対して防御が可能です。しかしながら、Emotetの攻撃者はウィルス対策ソフトを回避する対策を行なっており、防ぎ切れないのが現実です。
ウィルス対策ソフトは、主にウィルス定義ベースの検出とヒューリスティックアルゴリズムによる検出の2つの方法を用いて、マルウェアを検出します。
ウィルス定義は、マルウェアが持つ特徴的なパターンを集めたデータです。パターンファイルやシグニチャとも呼ばれます。このデータを使って、コンピュータ上のファイルやプログラムをスキャンし、定義に一致するパターンが存在するかどうかを検査します。このウィルス定義はウィルス対策ベンダーがばら撒かれたウィルスを入手することで更新されます。このウィルス定義ベースの検出に対して攻撃者は特徴的なパターンを短時間で変化させる、つまり亜種を高速で作成することで検知を回避しようとしています。
ヒューリスティックアルゴリズムは、ファイルやプログラムの挙動や構造を分析することでウィルス定義では検出できないマルウェアを検出するための技術ですが、正常なファイルやプログラムを検出してしまう誤検知(False Positive)のリスクもあり、検出率を向上させることが難しい性質があります。また誤検知の発生を嫌いこの機能をオフにするケースもあるようです。
組織によっては、ウィルス対策ソフトに加えてサンドボックス型のウィルス対策を導入しているところもあります。サンドボックス型のウィルス対策は、不審なファイルやプログラムを隔離された環境で実行し、その挙動を観察することでマルウェアを検出する対策です。この対策はコンピュータがメールを受信する前段に専用の機器を設置して行うことが多いのですが、攻撃者はパスワード付きのファイルを添付することで、人間が操作しない隔離環境では添付ファイルが開けないようにすることで検知を回避しようとしています。
Emotetへの対策
このようにEmotetは非常に悪質かつ巧妙であるため、OSやソフトウェアのアップデートやウィルス対策ソフトと言った基本的な対策は当然必須であるものの、それだけでは防ぎ切れません。
基本的な対策に加え従業員の教育も非常に重要です。ただし、Emotetのスパムメールは非常に巧妙ですので定期的に最新手口を伝え注意を促すことが必要です。例えば、以下のような注意喚起が考えられます。
自分が社外の人に送信したメールの返信メールの添付ファイルを開こうとした際に「コンテンツの有効化」ボタンが表示された場合は、相手からの返信メールを装ったウィルスである可能性があるため、本物のメールであるか慎重に確認して下さい。
スパムメールの最新情報は情報処理推進機構(IPA)等で紹介されていますので、定期的にそれらの情報を収集するといいでしょう。
加えて、Emotetは感染した場合の対応項目が多いことや、感染を完全に断ち切らないと更なる攻撃を受ける可能性があるため、Emotetに感染した場合の対応手順を整備し対応メンバーに習熟させておくことも重要です。以下が対応項目の例です。
スパムメールが送信されることへの対応
スパムメールが送信される可能性のある先への注意喚起やスパムメールの受信者からの問い合わせ対応を行います。対象が多い場合や特定が難しい場合はホームページでの告知を検討します。スパムメールが自組織のメールサーバから送信されるケースもあるため、メールサーバの影響確認も必要です。
感染したコンピュータの隔離とマルウェアの確保
Emotetの感染が疑われるコンピュータが判明した場合、即座にネットワークから切り離します。この際、電源は切りません。次にEmotetの疑いがあるプログラムを見つけ出しウィルス対策ベンダーに提供します。Emotetがコンピュータのどこに潜んでいるかは、最後の参考URLの情報等を参考にされるといいでしょう。参考情報ですが、JPCERT/CCがEmotet感染有無確認ツール「EmoCheck」を無償で公開しています。
パスワードの変更やクレジットカードの利用停止
感染したコンピュータが利用しているメールアカウントのパスワード変更を行います。コンピュータのブラウザに認証情報やクレジットカード情報を保存していた場合、パスワードの変更やクレジットカードの停止も必要です。
情報流出への対応
流出した情報の特定には専門的な調査(いわゆるフォレンジック)が必要となり時間やコストがかかります。まずは、連絡先の情報やメールボックに保存されているメールが流出しているものとして動き出す事が必要だと思います。個人情報保護委員会への報告についても留意しておく必要があります。
他のコンピュータの感染有無
Emotetは感染したコンピュータからネットワーク内の他のコンピュータに拡散する機能があるため、他に感染しているコンピュータ(PCやサーバ)の有無を調査する必要があります。ウィルス対策ソフトでの全台検査や感染したコンピュータの通信先から怪しい通信先を見つけ出し、その通信先と通信している他のコンピュータの有無を調査する等の方法があります。
このようにEmotetは悪質かつ巧妙ですが、一番のポイントは攻撃者が日々手口を変化・巧妙化させていることであり、これまでは防御できていた組織も油断は禁物でありEmotetの最新動向や手口を理解し、自組織の対策を向上させていく必要があります。この記事が皆さまに少しでも貢献できれば幸いです。
<参考URL>
Emotet(エモテット)と呼ばれるウイルスへの感染を狙うメールについて(IPA)
https://www.ipa.go.jp/security/security-alert/2022/1202.html
マルウエアEmotetへの対応FAQ(JPCERT/CC)
https://blogs.jpcert.or.jp/ja/2019/12/emotetfaq.html
北尾 辰也
コンサルタント、フリーライター。
三菱UFJ銀行で12年間サイバーセキュリティに従事し、その後、Transmit Security 日本支社共同代表を経て独立。現在はサイバーセキュリティに関するコンサルティングやアドバイザー業務を行うとともに、国土交通省最高セキュリティアドバイザーや日本シーサート協議会専門委員、⾦融ISAC個⼈賛助会員として活動している。