編集 NTT東日本編集部

「EMOTETが感染拡大しているけど、どのように対策を行えばよいのかわからない」という方は多いのではないでしょうか。EMOTETは人間心理を巧みに突いた攻撃手法で問題となっており、意識していても感染を防げない状況があります。

そこで本記事では「EMOTETの感染経路と対応策、万が一感染してしまった際の対策」について解説します。EMOTETの感染拡大に備えて、情報セキュリティ対策を進めたい企業担当者の方はぜひ参考にしてみてください。

1.EMOTETとはメールから感染するマルウェアのこと

EMOTETとは主にメールを介して感染するマルウェアです。マルウェアとは、ネットワーク回線や端末に有害な動きを与えるために開発された、悪意のあるソフトウェアです。メールに添付されているファイルをクリックしたり、ダウンロードしたりするとマルウェアに感染します。

経済産業省によれば、2022年2月から、EMOTETによる被害は急速に拡大しています。被害が拡大した理由は、手口が巧妙化したからです。今までメールのやり取りをしていた知り合いや取引先から、偽装して返信する形で送られてくるので、気付かずに感染してしまいます。

セキュリティソフトでも検知できず、違和感があれば自分で対処しなければいけません。感染したら今までやり取りしていたメールの情報を搾取され、感染した端末からさらにEMOTETが送られるので、2次被害も発生します。

2.EMOTETの感染経路は主に2つ

EMOTETの主な感染経路は2つあり、どちらにも共通しているのが受信者自身でダウンロードをするところです。偽装された本文に加え、セキュリティソフトを通過する巧妙な手口であるため、あらかじめ経路を理解しておきましょう。

添付のURLをダウンロード

メールに添付されているURLをクリックしてダウンロードすると、マルウェアに感染する方法です。EMOTETの手口が巧妙なのは、メールの本文に今までやり取りしていた履歴も記載されているからです。

知り合いや取引先からのメールであるように偽装しているため、違和感に気付かずに添付ファイルをダウンロードする被害が増えています。「賞与支払届」という件名で、ファイルが添付された例もあります。

添付ファイルからマクロを実行することでマルウェアに感染

WordやExcelファイルが添付されているケースもあります。実際の被害例では、パスワードがかけられたzipファイルが添付されてきます。パスワードは本文に書かれており、ファイルを解凍してWordやExcelのコンテンツを有効化するとマルウェアに感染する流れです。

コンテンツの有効化が実行されると、本人も気付かないうちに、インターネットサーバーにアクセスしてマルウェアをダウンロードします。圧縮された添付ファイルに直接EMOTETが入っているわけではないので、セキュリティソフトを通過してしまいます。

受信者も、今までやり取りしていた履歴付きの偽装メールに違和感を覚えるのは難しいものです。しかし、ファイルをクリックするとEMOTETに感染してしまいます。

3.EMOTETの被害が拡大した理由2つ

EMOTETの感染が拡大した理由は、主に2つです。

• ウイルスセキュリティソフトでは、検知できないこと
• なりすましメールが巧妙であること

EMOTETの被害にあわないためにも、特徴を理解しておきましょう。

ウイルスセキュリティソフトでは検知できない

EMOTETはウイルスソフトでは検知できません。添付されたファイルに、実際のEMOTETが入っているわけではないからです。圧縮されている添付ファイルに入っているのはWordやExcelファイルです。

WordやExcelファイルを開いて操作する際に、コンテンツの有効化を行うとEMOTETがダウンロードされ、被害にあいます。

特に情報セキュリティ対策が不十分な企業では、二次被害を食い止めるのも難しく、感染が拡大してしまいます。

なりすましメールの巧妙さ

EMOTETの主な手口はメールですが、受信者も気付かない内に感染するケースが増えています。それは送られてくるメールが、今までやり取りをしていた取引先や知り合いに偽装しているからです。

知り合いや、取引先とのメールに返信する形で送られてきて、過去のやり取りが本文に記載されており、書かれている内容も違和感がありません。添付ファイルをダウンロードしてしまうと、受信者も気付かないうちに攻撃用のサーバーにアクセスをしてEMOTETをダウンロードします。

EMOTETに感染すると、ダウンロードした端末からメール関連の情報が搾取され、漏えいした本文の内容やアカウントを基にさらにマルウェアが拡散されます。気付かない内に、自分の端末から不特定多数にEMOTETが拡散されるため、被害が拡大しました。

4.EMOTET感染による被害

EMOTETに感染すると、端末からメールに関連する情報だけでなく、ブラウザに登録している情報まで搾取されるでしょう。感染した端末を踏み台にして、不特定多数に自分のアドレスからEMOTETがばらまかれ、社内への2次被害に加え、社外へも感染が拡大します。

感染した際の被害をそれぞれ解説します。

個人情報や顧客とのやり取りの情報が盗まれる

EMOTETに感染すると、個人情報やメール関連のやり取りが搾取されます。マルウェアに感染することで、パソコン内の情報が流出するからです。過去にEMOTETに感染した事例は以下があります。

• 大学の教職員のパソコンからマルウェアに感染し、関係者に不審なメールを大量送信する
• 従業員のパソコンからマルウェアの感染が発覚し、社外関係者の機密情報が漏えいされる
• 公的機関がマルウェアに感染し、大量の個人情報が流出する

マルウェアに感染すると、社内情報だけでなく取引先とやり取りしていた社外情報も流出します。感染した端末から第三者にEMOTETが送られるので、経済的損失と社会的な信用を失う可能性が出てくるでしょう。

ブラウザに登録している認証情報も搾取される

流出するのはメールに関する情報だけではありません。使用している端末の情報も漏えいします。具体的には、ブラウザに保存されているIDやパスワード、認証情報などがあげられます。

また、認証情報だけでなく、ネットワーク内にある機密情報も外部へ流出し、悪用される可能性が出てくるでしょう。情報が搾取された後、ランサムウェアによってデータが暗号化され、端末にロックがかけられる可能性もあります。

攻撃者が端末やファイルにロックをかけると、最悪、盗まれた情報の内容や原因を調査できなくなります。EMOTETを入口として、さまざまなマルウェアに感染するので、端末のあらゆる情報が漏えいする可能性があるでしょう。

不特定多数の人にEMOTETのメールが送信される

EMOTETに感染したら、端末のアドレスから不特定多数の人にメールが送られます。搾取した情報からなりすましをして、第三者へ攻撃メールが拡散されるからです。社内外問わず、EMOTETが送られるため、感染速度は急激に広がります。

また、EMOTETにはワーム機能が備わっているため、他のデバイスに感染します。ワーム機能とは、マルウェアの一種で、自ら感染するために動作を行いますが、自己複製も行うため増殖して急激な感染拡大を行うことです。

そのため、1台の端末が感染すると社内ネットワークを経由して、一気に広がります。社外にもEMOTETは送信されるため、感染して被害を受けたと思っていたら、気付いた時には加害者になっています。取引先にも被害が及ぶので、企業としての社会的信用と経済的な損害が発生するでしょう。

ランサムウェアに感染する

EMOTETに感染したら、ランサムウェアの被害にもつながります。EMOTETは媒介機能があるので、1度感染してしまうと、他のマルウェアにも感染します。

ランサムウェアとは、感染した端末のファイルを暗号化したり、端末自体にロックをかけたりすることです。暗号化を解除するために身代金を要求します。端末にロックをかけられると、通常通りのサービスを提供できなくなる可能性が出てくるでしょう。

実際にあった被害事例で、製造業がランサムウェアを受け、一時的に工場の操業を停止しました。

関連記事：ランサムウェアの危険性について紹介。感染してしまった時の対策も解説

5.EMOTETに感染しないための予防策

EMOTETに感染しないためには、日頃から従業員個人のセキュリティ意識を高く持つ必要があります。例えば、知らないメールの添付ファイルは開いてはいけません。万が一開いてしまったとしても、メール本文に添付されたリンクは絶対にクリックしないようにしましょう。

クリックした瞬間にウイルスに感染するものがあります。また、自分が送信した内容に対する返信のメールであっても、疑わしい場合は警戒して開くのは止めましょう。いつもと口調が違うものや、いきなりファイルが添付されて確認するように促してくるものは危険です。

その他にも、不審な点があるメールに添付されているWordやExcelファイルを開いたときは、マクロやコンテンツの有効化というボタンは絶対にクリックしてはいけません。有効化した時点でウイルスをダウンロードして、EMOTETに感染します。

メールや文書ファイルの閲覧中に、いきなり警告ウインドウが表示された場合も同様です。操作を中断し、すぐにシステム管理部門や専門家へ連絡して、個人で判断しないようにしましょう。

そのほか、ウイルスに感染しないためにも、日頃からセキュリティソフトは常に最新の状態にしておきましょう。

6.EMOTETに感染した際の対応策

手口が巧妙化しているEMOTETを完全に防ぎきることは難しいでしょう。年々被害が急激に拡大していることから、万が一感染してしまった際の対応策も知っておく必要があります。それぞれ解説します。

ネットワークから切り離す

感染した疑いがある場合は、すぐにネットワークから遮断しましょう。EMOTETは自己増殖するマルウェアも含まれているため、感染すると社内ネットワークに広まり、第3者に本人と偽装したメールを送信します。2次被害を出さないためには、インターネットの接続を遮断する必要があります。

端末の電源を切る人もいますが、再起動した際に感染が進行するだけなので、ネットワークから切り離して、感染拡大を最小に防ぎましょう。被害者から加害者にならないためにも、まずはインターネットからの切断が必要です。

他のマルウェアに感染していないか調査する

EMOTET以外にも、他のマルウェアに感染していないか確認しましょう。EMOTETは他のマルウェアに感染する機能を持っています。セキュリティソフトを無効化するものや、システムをロックしてファイルを暗号化するものまで、EMOTETを土台として、さまざまなマルウェアに感染させる役割があります。

EMOTETは強力な感染力を持っているため、社内で情報セキュリティ対策の部署がある場合は他のマルウェアに感染していないか、調査依頼をしましょう。

感染していないかの調査は、疑いがある端末だけではありません。社内のネットワークに接続している端末は全て行いましょう。社内の端末が1台でもEMOTETにかかった疑いがある場合は、他の端末も感染している可能性は極めて高いです。

また、JPCERT/CCが提供しているEMOTETの感染チェックツールを使用して確認をするのも良いでしょう。EMOTETに感染した疑いがある場合は、早急な対応が必要です。

メールアドレスとパスワードを変更する

EMOTETの感染が発覚したら、メールアドレスとパスワードを変更しましょう。悪用される可能性があります。また、感染した端末のメールアドレスから外部へもEMOTETが送信されているので、今まで使用していたアカウントは削除するのが良いでしょう。

併せて、Webブラウザに保存されているログインやIDパスワードの認証情報なども変更してください。EMOTETを駆除した後も、メールアドレスや認証情報はそのまま悪用される可能性が高いためです。

感染した端末を初期化する

EMOTETの駆除が完了したら端末を初期化しましょう。ウイルススキャンで発見できないバックドアも残っている可能性があります。バックドアとは、いつでも内部に侵入できるようにするためのプログラムです。

ウイルススキャンでは駆除しきれない可能性もあり、外部からの不正アクセスを許してしまいます。初期化すれば、端末内に保存されているデータは全て消去できるので、再びパソコンを使用するのであれば初期化をおすすめします。初期化する場合は、日頃からデータのバックアップを取っておきましょう。

注意喚起を促す

EMOTETに感染していると発覚した場合は、公表する必要があります。2次被害を防ぐためです。自分の端末が感染していなくても、万が一社内でEMOTETの感染が発覚した場合は、注意喚起のため、メールでやり取りがある取引先に伝えましょう。

メール以外にも、ホームページで公表したり、あまりにも被害が大きく、感染状況が多岐に渡っている場合はプレスリリースで案内したりしましょう。公表しないと、企業の信用問題にも繋がります。

7.EMOTETの対策をしたいなら複数の手段を組み合わせた対策が有効

マルウェアの主な感染経路はメールであるため、従業員1人1人のセキュリティ意識を高く持つことが求められます。しかし、手口が巧妙化しているEMOTETを完全に防ぎきるのは容易ではありません。

どこから情報セキュリティ対策を行えばよいのか悩んでいる担当者の方には「おまかせサイバーみまもりセキュリティパッケージ」がおすすめです。EMOTETの感染経路の1つである、ZIPファイルが添付されているメールの本文に「警告」を付けられます。本文に警告がつけば、従業員に注意を促せるでしょう。サポート機能がついているため、万が一のウイルス感染時もサポートデスクにてウイルス駆除支援を行います。さらにサイバー保険が付帯され、調査や復旧にかかった費用の一部を補償できるのもポイントです。

さらに、万が一EMOTETに感染してしまった場合でも、怪しい通信を端末上でブロックします。サポートデスクから、EMOCHECKなどの外部ツールも活用しながらウイルス駆除支援をサポートします。

「おまかせクラウドアップセキュリティ」も情報セキュリティ対策には効果的です。EMOTETの攻撃手口である添付されている圧縮ファイルのパスワードを、メールの件名や本文内から推測し解析します。

また、EMOTETの感染が疑われる場合は、セキュリティサポートデスクへ相談も可能です。セキュリティサポートデスクでは、JPCERRT/CCが提供しているEmocheckを活用したサポートも実施しています。年々手口が巧妙化しているEMOTETに、どう対応すればいいかわからないという担当者も、2つのサービスを併用することで、情報セキュリティ対策と万が一感染してしまった際の対応を強化できます。

多層防御で、組織全体のセキュリティを強化しましょう。

関連サービス

資料ダウンロード

関連するコラム

• コラムをもっと読む