近年、EmotetはWindowsパソコンを狙うマルウェアの代表として知られている。攻撃者が送付するメールの添付ファイルのマクロをきっかけに、ダウンローダーを介して感染に至らせるトロイの木馬タイプのマルウェアとして知られる。Emotetに感染すると、Dridex、TrickBot、Zbot、GootKitなどほかのマルウェアもダウンロード、実行されてしまう恐れがある。

2014年6月にバンキングマルウェアとして確認された後、2019年から2020年にかけて大流行し、その後2021年1月中旬に欧州刑事警察機構（Europol）によってテイクダウンされ沈静化したかにみえた。しかし、2022年3月から再び、巧妙化した新たな攻撃手法を用いての感染が観測されるようになった。パソコンがEmotetに感染することで、主に以下のような被害を受ける可能性がある。

ネットワーク内のほかのパソコンへのEmotet感染

Emotetには自己増殖機能があり、パソコンに感染すると、同じネットワーク内部のほかのパソコンやサーバーへの侵入・感染を試みてEmotetへの感染に至らせる。Emotetは、パソコン・サーバー内で活動しながら、頻繁に外部のサーバーにアクセスし、自身のアップデートを行っていることも確認されている。

重要情報の窃取

Emotetは添付ファイル内のマクロによってPowerShellなどを起動し、外部サーバーから別のマルウェアのダウンロードを試みる。その後、このダウンロードされたマルウェアによって、認証情報やネットワーク内にある機密情報が外部へ流出し、悪用される恐れがある。

また、ランサムウェアがダウンロードされることで、内部データが不正に暗号化され、業務上必要な情報が使用不能になるといった可能性も考えられる。

社外へのさらなるEmotet感染への踏み台にする

窃取した情報を悪用し、メールのやり取り履歴がある宛先へ、正規のメールに偽装したマクロファイル添付のメールが送付される「メールばらまき攻撃」が行われる。このように、侵入先のメールを悪用することで、感染拡大を狙う。

Emotetの主な攻撃手法

Emotetの基本的な攻撃手法としては、メールに添付されたファイルを受信者に実行させることで感染、ウイルス本体プログラムの読み込みなどを行う。添付ファイルはExcel形式の場合、マクロが組み込まれており、利用者に「編集を有効にする」、「コンテンツの有効化」ボタンをクリックするよう表示文面で促し、実行させる。

Emotetの添付ファイルは、主にOfficeファイル、Zipファイル、LNKファイルなどである。また、メール本文中にリンクを掲示し、PDFの閲覧ソフトを装ったダウンローダーをダウンロードさせる場合もある。

加えて、Emotetではメール文面、件名が巧妙な点も大きな特徴だ。例えば、年末であれば「クリスマス」や「賞与支給」といったキーワードが件名に使われたことがあった。ほかにも、過去のやり取りを装った「Re:」を件名の冒頭に持ってきたメール、あるいは「おはようございます。取り急ぎご連絡いたします」、「予定です。取り急ぎご連絡いたします。」といった具合に、ビジネス上のやり取りで実際に利用されそうな件名を用いる場合も少なくない。

先述のとおり、すでに侵入したパソコンのメールソフトの送受信履歴が悪用される場合もあるため、受信者はEmotet攻撃メールが、それであると気づかないまま感染させられるケースが多いのだ。また、手口が短期間で変化していくことから、注意の周知も間に合わず、過去の行動パターンを把握していたとしても被害に遭遇するケースもあるのだ。

Emotetの活動状況

2019年後半のEmotet流行に伴い、IPAではこの年の12月に警戒情報を公開した。以降、国内でも多くの被害が確認されるに至った。2021年1月、欧州刑事警察機構（Europol）が欧米8カ国の法執行機関・司法当局の協力を得て、Emotetの攻撃基盤となるメールを送付するパソコン、感染端末を操作する中継サーバーなどをテイクダウン（停止）させる対策を講じた結果、Emotetによる感染活動はほぼ終息するに思われた。

しかし、2022年3月ごろよりEmotetの攻撃メールが活発化して感染が急拡大した。日本語で書かれた巧妙な攻撃メールや、ショートカットファイル（LNKファイル）を悪用した攻撃といった新たな手法も観測されている。