マルウェアの一種である「Emotet(エモテット)」は、メールを媒介として急速に感染拡大を起こします。
この章ではEmotetの概要や攻撃する仕組みなどについて解説します。
【総合受付窓口】
大塚商会 インサイドビジネスセンター
0120-579-215 (平日 9:00~17:30)
マルウェアEmotetの攻撃の手口と対策
インターネットの利用が当たり前になった現代では、マルウェアなどの脅威にさらされる場面も多くなりました。特に近年は「Emotet(エモテット)」と呼ばれるマルウェアの感染が多くみられています。
Emotetは業務メールを装って攻撃を仕掛けるマルウェアです。Emotetの感染を防ぐには、マルウェア対策ツールの導入だけではなく、社内のセキュリティに対する意識を高めなければなりません。
この記事ではEmotetの概要や攻撃の仕組み、対策や感染時の対処法などについて解説します。
Emotetが攻撃する仕組み
Emotetの特徴
Emotetは近年世界的に流行しているマルウェアです。
メールを介して感染するケースが多く、メールに添付されたファイルやURLなどを開くと感染します。メール内容は、実際の業務報告と見間違うほど巧妙な作りで、攻撃メールと判別するのが困難な点も特徴です。
Emotetに感染すると、各種の機密情報や個人情報が盗まれたり、ほかのマルウェアなどに感染したりという被害が生じます。
感染端末内で増殖してネットワーク上の他端末にも伝染するため、発見が遅れると社内外で大規模感染が発生する恐れもあります。
Emotetの事例と被害
Emotetの感染による被害は世界中で発生しています。以下は被害の一例です。
不信メールの送信
2020年9月に大手建物管理会社のパソコンが1台Emotetに感染し、大量の不審メールを送信する踏み台にされました。取引先や顧客などに同社の社員名義でEmotet入りのメールが送られており、メールの件数は約6,400件にのぼっています。
メール情報の流出
2019年11月には、都内の大学が1万8,000件を超えるメール情報が流出したと発表しました。原因は、大学教員を狙った標的型のフィッシングメールで、教員が添付されたファイルを開封したことによって感染したとされています。
Emotetはメールに添付されたマクロ付きのファイルやリンクへのショートカット、パスワード付きのZIPファイルなどから感染し、以下のような被害が発生します。
各種の情報を窃取される
端末内に保存されている個人情報をはじめとする重要な情報を盗み取られます。
ほかのマルウェアなどに感染する
Emotetはほかのマルウェアに対するプラットフォームとしての機能もあります。そのため、Emotetに感染すると、そのデバイスのぜい弱性を狙ったマルウェアなどに攻撃されやすくなるのです。
社内のネットワークに伝染する
Emotetは「ワーム」と呼ばれる自己増殖機能を持っており、感染端末内で数を増やして社内ネットワークから広まっていきます。
社外の端末に感染する踏み台にされる
感染した端末からEmotetが仕組まれた偽装メールを多数送信されるため、取引先や顧客などが気付かずにメールを開いて感染することがあります。
Emotetが攻撃する仕組み
Emotetは、返信メールを装いコンピューターに侵入します。
メールには文章と合わせてファイルやURLなどが添付されており、ファイルを開いて、「コンテンツの有効化」を実行するとマクロが作動してEmotet感染に至ります。
そのほか、URLから文書ファイルがダウンロードされたり、パスワード付きのZIPファイルを添付したりという手口もあるようです。
コンピューターに侵入したEmotetは、感染端末内の情報を盗み、外部に設けられているサーバーまで情報を送信します。
同時にほかのマルウェアなどに感染させたり、端末内で増殖してネットワークを通じてほかの端末に侵入したりもします。
このように、1台のパソコンに侵入するだけで、多くのコンピューターにも伝染し、情報の窃取やセキュリティの弱体化などが行われるという特徴があるのです。
なお、Emotetが攻撃する仕組みの詳しい説明は、以下をご参照ください。
Emotetへの基本の対策
Emotetの感染を防ぐためには、以下のような対策を講じる必要があります。
組織内に注意喚起する
Emotetの存在や攻撃方法などを各従業員に周知し、一人ひとりが感染防止のために適切な行動を取れる体制を作ります。特に「ZIPファイルが添付されているメールは慎重に扱う」「文書ファイルが添付されている場合はすぐにコンテンツを有効化しない」「URLが記載されている場合はすぐにクリックしない」の3点は重要です。
マクロの自動実行を無効化する
Emotetは、メールに添付されているファイルを展開した後に「マクロを有効化」することで感染すると考えられています。そのため、オフィスソフトのマクロが自動実行するのを設定で無効化することで、添付ファイルを開いてもすぐ感染するリスクを避けられます。
標準設定ではマクロ実行前に警告を表示するようになっていますが、警告を表示せずに全てのマクロを無効化することも可能です。
セキュリティソフトを導入する
多くの企業が提供しているメールセキュリティソフトの導入も有効です。マルウェア入りのメールを検知して伝えてくれるソフトならば、Emotetをはじめ各種マルウェアの侵入を未然に防ぎやすくなります。
メールの監査ログを有効化する
監査ログはメールにおいてユーザーの操作やプログラムの動作を履歴として見られるもので、いつどの端末がどのような操作を行ったか把握できます。メールに関する監査ログを有効化して、いつでも見られるようにしておくとEmotetを早期発見しやすくなります。
OSに最新のパッチを適用する
Emotetは「SMB」と呼ばれるファイル共有通信プロトコルのぜい弱性を突いて感染拡大しようとします。そのため、OSやセキュリティソフトなどは積極的にパッチを適用して、可能な限り最新の状態を保っておきましょう。
定期的にオフラインでバックアップを取る
定期的にオフラインバックアップを取っておき、万が一の際に端末を初期化できるようにしましょう。重要なファイルを外部のストレージにコピーして、オンライン環境から隔絶された場所に保存しておくことで外部からの不正な侵入を防げます。
Emotetの感染が疑われたら取るべき行動
Emotetは急速に感染拡大して大きな被害を発生させるマルウェアのため、感染の疑いが生じた段階で早急に対処する必要があります。
それでは、Emotet感染の疑いが生じた際の対処法をみていきましょう。
改正個人情報保護法の施行による、報告や通知の義務
2022年4月1日に改正個人情報保護法が施行され、何らかの理由で個人情報が漏えいした場合における事業者の責務が追加されました。具体的な内容として、個人情報漏えい時には個人情報保護委員会への報告と本人への通知が義務となりました。2023年4月1日からは、行政機関等も対象になりました。
報告は「速報」「確報」の2段階に分けて行います。どちらも漏えいが判明してからの期日が決められており、速報は3日~5日、確報は30日以内に行わなくてはなりません。確報に関しては不正アクセスなどが原因であれば60日以内まで延長されます。なお、報告や通知を行わない場合は法人(または行政機関等)に対して1億円以下の罰金が科せられます。
Emotetに感染すると個人情報漏えいが発生するため、適切な対応を取れないと直接的な被害に加えて多額の罰金も発生します。漏えい時に一刻も早く行動できるように、社内で漏えいに気付きやすい体制やスムーズな報告プロセスなどの整備を行いましょう。
Emotet感染後のフロー
Emotetに感染した場合は、一刻も早く適切な対応を取る必要があります。例として、警視庁が提示している感染後のフローをご紹介します。
感染の有無を確かめる
端末がEmotetに感染していることを確認します。JPCERTコーディネーションセンター(JPCERT/CC)では、「EmoCheck」と呼ばれるEmotet感染を確認するツールを提供しています。このツールを使用してEmotetが潜伏している端末と端末内の場所を特定しましょう。
感染端末をネットワークから遮断する
Emotetに感染している端末を、社内外のネットワークからすぐに遮断しましょう。Emotetはネットワークを介して急速に伝染していくため、端末内にEmotetを閉じ込める必要があります。
ほかのマルウェア感染の確認
Emotet以外のマルウェアに感染していないか確認するため、感染端末と同じネットワークを利用している全ての端末を、ウイルス対策ソフトでフルスキャンします。この処理は、EmoCheckで感染を確認できなかった場合でも必要です。ソフトは事前に最新パッチを適用しましょう。
メールアドレスとパスワードを変更する
Emotetに感染したアカウントで使用しているメールアドレスとパスワードを変更します。Emotetはメールを媒介して伝染するため、メールに関する情報を変更しておく必要があります。業務に支障が出なければ、アカウント自体を作り直す方法も有効です。
感染端末を初期化する
各種マルウェアを端末内から駆除しても、スキャンで発見できない接続窓口(バックドア)が残っているケースもあります。端末を初期化すればバックドアも消去できるため、安全策として有効です。いつ初期化しても良いように、データのバックアップは定期的に行いましょう。
感染拡大を防ぐ
Emotetの感染発覚までに時間がかかった場合、すでに社内外のコンピューターまで伝染している可能性があります。取引先や顧客などにEmotet感染の旨を一刻も早く伝えて、自社名で送られてきたメールに対する注意を促しましょう。
Emotet対策におすすめのソフトウェアやソリューション
Emotetによる被害を防ぐためには正しい知識と適切な対応、さらに適したソフトウェアも重要です。
大塚商会ではEmotet対策に役立つ多くのソフトウェアやソリューションを提供しており、お客様のネットワークやセキュリティを守っています。
たよれーる EasySOC V for FortiGate
手軽に導入できるセキュリティサービスです。お客様が使用しているFortiGate製品のログを分析して、不正な通信など何らかのインシデントが発生した際にメールで内容を通知します。万が一マルウェアに感染しているパソコンが見つかった場合、駆除作業に伴う費用をサイバー保険により一部負担します。
らくらくサーバーセキュリティ
仮想パッチ機能によりセキュリティパッチ適用前からサーバーのぜい弱な部分を補い、仮想パッチで防いだ攻撃を専門家が分析して危険であればアラートメールを送信するツールです。サーバーに何らかの脅威が侵入した場合でも、検出や対処を行うツールの運用代行によって対応します。
Emotetをはじめとするマルウェア対策のご相談は大塚商会まで
Emotetの被害を防ぐためには、迅速かつ適切な対応を取る必要があります。そのため、まずはEmotetに関する知識や対応方法を知っておきましょう。万が一Emotetに感染した場合は、一刻も早い対応が不可欠です。端末内やネットワーク内にマルウェアを閉じ込めて、適切に除去しなくてはなりません。
Emotetをはじめとするマルウェアの感染対策には、さまざまな対策ツールの導入も有効です。自社に適したセキュリティツールの導入をお考えのご担当者様は、ぜひお気軽に大塚商会までお問い合わせください。
ナビゲーションメニュー