Emotetとは

「Emotet（エモテット）」とは、非常に高い感染力・拡散力を持つマルウェアである。2014年に初めて発見されて以来、月日の経過とともに、その形を変え続けていることが大きな特徴だ。自らが情報を窃取するだけでなく、ほかのマルウェアを媒介することで知られる。これまで世界各国で多額の被害をもたらしており、「最凶のマルウェア」とも呼ばれている。

Emotetの特徴的な挙動として、感染した端末内にOutlookがインストールされている場合、メール情報を窃取して悪用することが挙げられる。窃取するメール情報には、メールアドレスだけでなく、メール本文なども含まれ、以降の攻撃活動にそれらを利用し、非常に巧妙な標的型メール攻撃を行うことで、攻撃の成功確率を高めている。

先述したように、Emotetは常に進化を続けており、当初は単体で情報を窃取するマルウェアであったが、C&Cサーバーからの指令によってダウンロードを行うように進化。さらに、多様なマルウェアの感染・拡大を行うために用いられる、マルウェアプラットフォームへと至った。さまざまなマルウェアの感染を媒介するため、一連の活動による被害は甚大となる傾向にある。

Emotetの感染を狙うなりすましメール。その原因と技術的な対策とは？

Emotetの攻撃プロセス

Emotetが猛威を振るってきた主な理由の1つは、攻撃手法が非常に巧妙なことだ。以下に典型的なEmotetの攻撃プロセスを挙げていく。

１）正規のメールに偽装したメールを配信

Emotetに感染したデバイスのOutlookからメール情報を窃取し、正規にやり取りされているメールのタイトルに「RE：」を付けることで、実際の返信になりすます。

２）メール添付のWordファイルの開封を要求

正規のやり取りに紛れ込むようにEmotetから返信されたメールは、その内容も業務上のやり取りで違和感なく受け取られやすいものになっている。そのため、ユーザーは警戒心なくメールやファイルを開封しがちである。

３）添付されたWordファイルのマクロ有効化を要求

ファイル自体を開封したとしても、この段階でマルウェアに感染しているわけではない。最近ではマイクロソフト社の方針で、開封時点ではマクロが自動で無効化されている。そのため、攻撃者はメールの文面などで、巧みに「マクロの有効化」を要求する。この要求に応じてマクロを有効化してしまうと、マクロが実行されマルウェアに感染してしまうことになる。

さらに、Emotetはセキュリティの防御網をすり抜けるための巧妙な仕組みを備えている。例えば、Emotetは攻撃者が用意したC&Cサーバーに情報を送り、C&Cサーバーがその端末を攻撃するかどうかを判別する。管理者によって解析される可能性があるパソコンの場合、Emotet本体をインストールせず、活動は行わない。一方、解析されないパソコンだと判別できた場合、Emotet本体や目的に応じたモジュールをダウンロードし活動を開始する。

感染後もC&Cサーバーと定期的に通信を行い、バージョンアップを繰り返していく。このC&Cサーバーとダウンローダーが通信を行うことがEmotetの特徴であり、脅威とされる理由でもある。

なぜ話題のマルウェアがセキュリティレポートの検出ランキングに無いのか？

Emotetのテイクダウン

こうしたEmotetの脅威に対抗するため、2017年頃から各国が捜査を開始し、カナダやフランス、ドイツ、イギリス、アメリカなど8カ国の警察および司法機関が協力し、Emotetの捜査チームを結成した。

この捜査チームによる「Operation LadyBird」という作戦は、Emotetの司令塔に当たるC&Cサーバー群を特定・停止させることを目標とするもので、2021年1月にEmotetをコントロールしていたC&Cサーバー群を差し押さえることに成功。さらに、Emotetを運用していたメンバーの一部が逮捕された。

その結果、Emotetの感染端末は法執行機関が管理するサーバーのみと通信を行うように変更され、Emotetのテイクダウン（無害化）が実現されたかに思われた。

Emotetの再拡大と再々拡大

先述した国際的な捜査チームによるテイクダウンにより、Emotetの活動は沈静化し、その脅威も過去のものになったと思われた。しかし、2021年11月にEmotetは活動を再開。差し押さえられたC&Cサーバー群とは別に、新たなC&Cサーバー群を用意してボットネットを構築。バンキングマルウェアとして知られるTrickBotに感染した端末からのダウンロードで広がっていった。

この攻撃再開において、当初はWordやExcelのファイルがそのまま添付された英文のメールだったが、その後は日本語のメール文面でパスワード付きZIPファイルが添付された、より高度なEmotetへと進化。日本国内における被害の悪化も懸念されるようになった。このように、テイクダウン後の活動再開においてEmotetは確実に進化している。例えば、C&Cサーバーとの通信では暗号化通信を利用するようになったことで、Emotetによる不正な通信の検知が困難になっている。

2022年6月には、新たな機能を持ったEmotetが国内で感染を広げていることが判明。Google Chromeに保存されたクレジットカード番号や氏名、有効期限を外部に送信するといった挙動が確認されている。Emotetへの警戒心の高まりもあって、2022年7月以降、活動は再び沈静化した。しかし、その4ヶ月後の2022年11月には再びEmotetの活動が活発化するなど浮沈を繰り返している。

Emotetは活動再開時に、さらに悪質化、巧妙化することが多く、いたちごっこの様相を呈している。2023年3月7日にEmotetの攻撃が再開されたとIPAが注意喚起を行っている。この攻撃では、メールに添付されたZIPファイルを解凍すると、500MB超のWordファイルに展開されるケースが確認されているが、これはおそらくセキュリティソフトの検出を回避するためと想定される。今後も手口を変えていくことを踏まえると、状況の変化を逐一チェックすることが重要だ。

2022年上半期サイバーセキュリティレポートを公開 ～Emotetの再流行、脆弱性Log4shellを悪用した攻撃などを解説～

Emotetへの対策

先述のとおり、Emotetの活動には波があり、再流行時にはさらに進化し、手口が巧妙になっているケースが多い。しかし、以下に示したEmotetの感染を防ぐ対策を行っておくことで、感染リスクを減らすことができる。

添付ファイルを開く前に送信元を確認

添付ファイルを開く前に、メールの送信元を確認するのは基本中の基本だが、解説したようにEmotetは送信元の名前を感染した端末から取得するため、判別しづらい。しかし、偽装されているのは送信元の名前であり、その送信元と実際にメールを送っているメールアドレスが一致していない。そのため、見抜くためにも送信元の名前だけでなく、メールアドレスもしっかり確認することが大切だ。

確実に信頼できる場合を除き、マクロは有効化しない

Emotetは不正なマクロ付きMicrosoft Office文書をメールに添付して送信し、そのマクロが実行されることで感染を広げる仕組みになっている。そのため、確実に信頼できる場合を除き、マクロを有効化しないことが重要だ。

OSやアプリを常に最新状態にする

マルウェアの多くはOSやアプリの脆弱性を突いて攻撃を行う。OSやアプリを常に最新の状態にアップデートしておくことで、既存の脆弱性に対処できる。

セキュリティソフトの導入

「ESET PROTECT Advanced クラウド」のようなセキュリティソフトを導入することで、Emotetをはじめとする多くのマルウェアを検知し、感染を防ぐことができる。

EmoCheckの利用

Emotetに感染したかもしれないと思ったら、Emotet専用の感染確認ツール「EmoCheck」を利用すると良いだろう。EmoCheckは、JPCERT/CCが無償で公開しているツールで、システムがEmotetに感染しているかどうかをチェックできる。ただし、最新のEmoCheckであっても、検知できない場合もあるので過信は禁物だ。

メールのセキュリティ強化

「Inbound Security for Microsoft 365」のようなメールセキュリティ強化ソリューションを利用することで、受信前にスパムメールや不正な添付ファイルをブロックすることが可能になり、Emotetに感染するリスクを減らすことができる。

さらに、Emotetのような巧妙かつ感染力の強いマルウェアから企業・組織を守るには、EDRやXDRといった事後対策のソリューション導入も有効だ。「ESET PROTECT MDR」は、エンドポイント保護対策（EPP）からXDRまで包括的に対応したソリューションであり、万一Emotetに感染しても、被害を最小限に抑えることができる。

また、重要なファイルを定期的にバックアップしておくことも事後対策の1つとなる。

上記の対策と合わせて必要なのは従業員一人ひとりが攻撃手法を適切に理解し、危機意識を持って業務を遂行することだ。そのためのツール・ソリューションの導入だけでなく、従業員への研修や学習機会などの提供が企業側には求められている。

「エモテット（Emotet）」の被害を招かないための対策とは？