ITお役立ち情報
2019/12/24

世界で猛威を振るうEmotet(エモテット)とは?

世界で猛威を振るうEmotet(エモテット)とは?

2020年の東京オリンピック・パラリンピック開催に乗じたサイバー攻撃が予測されるなか、
Emotet(エモテット)とよばれるマルウェアの感染被害が世界で報告されており、日本でも被害が確認される事例が増加しています。

11月28日には、菅官房長官が記者会見でEmotet(エモテット)の国内被害について言及し、行政機関や東京オリンピック・パラリンピック関連事業者への注意喚起を行っていることを明らかにしました。

今回は、Emotet(エモテット)の概要や感染被害事例、対策についてご紹介します。

1.Emotet(エモテット)とは

Emotet(エモテット)とは、2014年頃から確認されているマルウェアで、メールにより感染します。日本では、2019年10月に感染が爆発的に増加しました。

実際の組織や人物になりすましたメールに添付されているWordファイルのマクロを実行すると感染し、パソコン内のメールソフトの設定情報や過去のメール情報を使い、自社を騙る メールが送信され、感染を拡大させます。

また、単体として感染させるだけでなく、ほかのさまざまなマルウェアを感染・拡散させるプラットフォームとしての機能を持ち、特に、身代金を要求するランサムウェアや、認証情報を窃取するトロイの木馬を感染・拡散させます。

 

Emotet(エモテット)の歴史

Emotet(エモテット)は、2014年頃にその存在が確認されてから、何度もアップデートされ、複雑化・高度化した脅威へと進化しています。

2014年頃に確認された当初は、オンラインバンキングを狙ったトロイの木馬で、認証情報を盗むことが目的でした。2015年1月にはウイルス検知をすり抜けて拡散し続けられるようなステルス機能が追加され、スイスの銀行が標的となりました。

しかし、2017年頃からは、さまざまなマルウェアの感染・拡散を行うプラットフォームとしての機能が追加され、役割は大きく変化しています。

特に2019年9月からは、「送金通知書」や「延滞通知書」といった功名な件名のメールにWordファイルが添付されたタイプのものが、ドイツ語圏、ポーランド語圏、イタリア語圏、英語圏で確認され、12月に入ってからは日本でも日本語のメールが多数確認されています。

さらに12月中旬になると、Wordファイルは添付されておらず、本文中に不正なURLが記載された日本語メールが確認されています。

2.Emotet(エモテット)の特徴

このように、Emotet(エモテット)は複雑化・高度化を遂げており、その時々で目的や役割は変化しています。

現在のEmotet(エモテット)の特徴は、Wordファイルのマクロ機能を有効にすることが感染のきっかけとなる点です。マクロ機能でEmotet(エモテット)の本体となるファイルをC&Cサーバー(コマンド&コントロールサーバー)からダウンロードし、実行するのです。

また、もう一点、Emotet(エモテット)はモジュール化されたマルウェアであり、感染先のパソコン環境に合わせて構造を組み換えられる点も特徴的です。感染させたパソコンの情報をC&Cサーバーに送ってセキュリティ解析が行われるかどうかを判断し、解析されないと判断すると本体ファイルをダウンロードします。解析されると判断すればダウンロードはせずに解析を回避するのです。

3.Emotet(エモテット)に感染すると何が起こる?

Emotet(エモテット)は、2019年12月現在、メールを介して感染が広がっています。Wordファイルが添付されているか、不正なURLが記載されたメールが届き、不正なURLがクリックされるとWordファイルがダウンロードされる仕組みです

添付ファイルやネット上からWordファイルを取得した場合、有害なコンテンツが埋め込まれている恐れがあるため、多くは読み取り専用で開く「保護されたビュー」というモードで開かれます。上部に表示されている「編集を有効にする」をクリックし、さらに表示される「コンテンツの有効化」をクリックすると、複数のコマンドプロンプトやPowerShellが実行されてC&Cサーバーに接続してしまい、本体ファイルがダウンロードされて感染します。

感染すると、さらに感染者からの送信を装ったメールを作成するために、パソコン内からメールソフトの設定情報や過去のメール情報が窃取されます。過去のメールを引用し、その返信を装った不正メールが作成されることもあります。

Emotet(エモテット)と同時にトロイの木馬やランサムウェアに感染した場合は、オンラインバンキングのアカウント情報をはじめ、個人情報や企業情報が窃取されたり、パソコン内の保存データが暗号化されて身代金が要求されたりするケースもあるそうです。

4.Emotet(エモテット)の国内被害事例

Emotet(エモテット)による被害は国内外で拡大しています。
国内の被害事例としては、首都大学東京や多摩北部医療センター、株式会社サンウェルなどがあります。

 

多摩北部医療センター

2019年5月20日、東京都は、多摩北部医療センターの医師の端末・メールアカウントに対する不正アクセス被害の発生について報道発表しました。

メールに添付されたファイルを開いてEmotet(エモテット)の亜種に感染したといいます。職務用パソコン端末のメールボックスが不正にアクセスされた痕跡が認められたものの、流出した情報はメールボックス内の情報の一部に留まったことが推定され、個人情報の流出は確認されなかったといいます。
ただ、その際に詐取されたメールアドレスを利用した「なりすましメール」が、再び送られてきているため、注意を呼びかけています。

 

首都大学東京

2019年11月1日、首都大学東京は、教員をターゲットとした標的型攻撃メールがきっかけで1万8,000件超のメール情報が流出した可能性があると発表しました。

標的型攻撃メールは実在する雑誌社を装ったもので、メールに添付されたファイルを開いてEmotet(エモテット)に感染したといいます。

 

株式会社サンウェル

2019年12月3日、大阪市に本社を置く繊維ファッション総合商社の株式会社サンウェルは、同社を騙る不正メールが出回っていることを受け、お詫びとお知らせを行いました。

同社のパソコンが、実際に過去にやりとりしたことのある実在の相手になりすまし、正規のメールへの返信を装う内容の標的型攻撃メールによりEmotet(エモテット)に感染したことで、同社と過去にメール連絡をしたことのあるユーザーに不正メールが送信されたといいます。

5.Emotet(エモテット)の海外被害事例

海外では、Emotet(エモテット)感染により金銭的な被害に発展している事例が出ています。

 

アレンタウン市(ペンシルバニア州)

2018年2月、アメリカのペンシルバニア州アレンタウン市で、市の職員のパソコンに届いたメールに添付されていたファイルからEmotet(エモテット)感染被害が起きました。その後もログイン情報を窃取しながら感染を広げ、監視カメラネットワークなど市内の重要なシステムに損害を与えたといいます。

市は、これを修復するために、段階的に費用を支払い、総額は120万ドルを超える見込みとなっています。

6.Emotet(エモテット)から身を守るには

Emotet(エモテット)は、不正なWordファイルのマクロを実行することでコマンドプロンプトやPowerShellが実行され、感染につながります。そのため、信用できるファイルであると判断できる場合意外は、「編集を有効にする」「コンテンツの有効化」というボタンはクリックしないことで自衛できます。

また、PowerShellは一般ユーザーではあまり利用しないため、あらかじめ管理者権限を使って起動をブロックしておくことも対策として有効です。

そして、セキュリティ対策ソフトで保護しておくこと、セキュリティパッチを適用しておくことは大前提です。
Emotet(エモテット)は、歴史の章でもご紹介したように、アップデートしながら複雑化・高度化しています。まだ被害報告のない最新のEmotet(エモテット)でも検知可能なセキュリティ製品を採用すると安心です。

アイネスでは【マルウェア”Emotet”対策 無料トライアル】(受付期限:2020年3月末)を実施中です。
AIを活用したCylancePROTECTは、振る舞い検知タイプの製品とは異なり、実行される前に最新のEmotet(エモテット)を含むマルウェアを判定し、高度な脅威も防御できます。
トライアルにご参加いただきますと、内部に潜伏したEmotetを含むマルウェアを可視化した検知レポートを提供いたします。

Emotet対策を検討している方は、この機会にぜひご体験ください。

【マルウェア”Emotet”対策 無料トライアル】(受付期限:2020年3月末)の申し込みはこちら
【マルウェア”Emotet”対策 無料トライアル】の資料はこちら

アイネスのセキュリティソリューションについてはこちら
OSプロテクト型マルウェア対策 AppGuardはこちら

Emotet対策でお悩みのご担当者様へ

【マルウェア”Emotet”対策 無料トライアル】(受付期限:2020年3月末)を実施中です。 Emotet対策を検討している方はこの機会にぜひご体験ください。

アイネス

※ 本文に掲載されている会社名・団体名および製品名は各社または団体等の商標または登録商標です。