エモテットとは? 危険性と対策・感染経路・拡大推移について解説
エモテット(Emotet)は、感染するとさまざまな被害を引き起こすとして知られているマルウェアの一種です。
2014年に初めて確認されて以降、進化を続けてその脅威はより増しています。
エモテットによる攻撃は、巧妙なうえ気付かないうちに感染を拡大させてしまう危険もあるため、従業員のリテラシー教育はもちろんのこと、有事に備えたインシデント・レスポンス体制も必要になります。
この記事では、エモテットとはどのようなマルウェアなのか、感染数の推移や感染経路、感染した際の危険性を解説するとともに、エモテットの攻撃に備えた対策について紹介します。
高度化・複雑化するサイバー攻撃から大切なシステムや情報を守るためにも、しっかりとした対策を行いましょう。
エモテットとは?
エモテットが初めて確認されたのは2014年といわれています。当初はインターネットバンキングのユーザー名やパスワードを盗むといった手口で知られていました。
しかし、エモテットに対する銀行側のセキュリティ対策が強化されたことで、次第に攻撃手法を変え、2017年後半からは、ほかのマルウェアに感染させるマルウェアへと発達しています。
感染数の推移
エモテットは2019年に世界中で猛威を振るったことで話題となりましたが、現在でも感染は拡大しています。
独立行政法人情報処理推進機構セキュリティセンター(IPA)が公表した2020年第3四半期(7月~9月)の「情報セキュリティ安心相談窓口の相談状況」によれば、エモテットに関連する相談は2020年4月〜6月が1件だったのに対し、2020年7月〜9月には308件と急増しています。
出典:独立行政法人情報処理推進機構セキュリティセンター(IPA)「情報セキュリティ安心相談窓口の相談状況[2020年第3四半期(7月~9月)」
感染経路
エモテットは主にメールを起点とした攻撃手法です。メールに添付されたファイルなどから感染し、感染した端末から個人情報を窃取。その個人情報を利用することでさらに感染を拡大します。
- エモテットに感染した端末から個人情報を窃取し、攻撃者に送信
- 攻撃者がOfficeファイルを添付した“なりすましメール”を作成し、窃取した個人情報へ向けて拡散
- 受け取ったメールに添付されているOfficeファイルを開くことで感染
出典:独立行政法人情報処理推進機構セキュリティセンター(IPA)『「Emotet」と呼ばれるウイルスへの感染を狙うメールについて』
過去にやり取りのある相手からのメールを装ったり、攻撃メールの内容が正規のメールへの返信のように偽装されていたりなど、その手口は非常に巧妙です。
特に、テレワーク・リモートワークを行う企業が増えた今、エモテットへの対策は非常に重要なセキュリティ対策といえるでしょう。
感染した場合どのような危険がある?
エモテットは、ほかのマルウェアに感染させるという性質上、さまざまな危険を生じます。
【情報が盗まれる】
エモテットに感染すると、感染した端末上の個人情報が窃取されます。パスワードやアカウント情報、登録されている連絡先、過去のメール履歴などさまざまな個人情報が盗まれ、次なる攻撃に利用されます。
【ほかのマルウェアに感染する】
エモテットはそれ自体が強力なマルウェアという訳ではなく、ほかのさまざまなマルウェアを拡散させる役割を持っています。
感染した端末にさまざまなマルウェアを感染させることで、データやファイルの破壊、機密情報の窃取、さらに情報を盗んだ痕跡の削除・隠蔽などを行います。
【内部への拡散】
エモテットにはワーム機能があり、感染した端末と同じネットワーク上のほかの端末に侵入し内部拡散を起こすため、社内の端末が1台でもエモテットに感染すれば、社内のあちこちに感染が広まるリスクが生じます。
【外部への拡散】
盗み取った個人情報を利用し、ファイルを添付したなりすましメールによって外部へマルウェアを拡散します。
そして、なりすましメールとは気付かずにファイルを開いてしまうことで受信者の端末が感染。このように、感染に気づかないまま被害を拡げてしまうのがエモテットの恐ろしさです。
エモテットへの対策
エモテットの感染を防ぐためにはどうすればいいのか、エモテットへの対策には以下のような方法があります。
- 不審なメール、ファイル、URLをクリックしないよう巧妙なフィッシングメールについての注意喚起を行う
- メールに添付されたOfficeファイルを開くと表示される『コンテンツの有効化』というメッセージをクリックしない
- 万が一ファイルなどを開封してしまった際の対応を周知徹底する
- 組織のグループポリシーでマクロを無効にする、有効にしないように注意喚起を行う
- 一時フォルダ上の実行ファイルの起動を制限する
- 感染した端末のメールアカウントの資格情報やパスワードを変更する
- インシデント・レスポンス体制を構築する
まとめ
個人情報を盗み、その情報を悪用してマルウェアを拡散させるエモテットは、従来のような“身に覚えのないメール”による攻撃ではなく、過去にやり取りのあった相手からのメールを装うという、高度ななりすましメールによって感染します。
エモテットによる被害を防ぐためには、社内への注意喚起や周知徹底といったリテラシー教育をはじめ、マルウェアを識別・遮断・根絶し、有事の際は迅速に回復するためのインシデント・レスポンス体制を構築しておくことが大切です。
「Cybereason Complete Endpoint Protection」は、「NGAV」で既知・未知のマルウェア侵入を未然に防ぐだけでなく、「Cybereason EDR」によって万が一マルウェアが侵入してしまった場合のリアルタイム検知と迅速な対処が可能です。
また、「MSS」による検知したリスクの判定や、緊急性が高いと考えられる場合には解決策を提示してすばやい解決をサポート。
高度化・複雑化するサイバー攻撃に対応したセキュリティ対策を行いたいとお考えのご担当者様はぜひ導入をご検討ください。
また、伊藤忠テクノソリューションズへのCybereason EDR導入事例も掲載中です。導入事例はこちらからご覧いただくことができます。
