Emotet(エモテット)とは
Emotetは、主に電子メールを介して感染する遠隔操作型のボットマルウェアです。
Emotetは、悪意のあるサイトにアクセスしたり、悪意のあるマクロを含むファイルを開いたりすることで感染します。
感染後は、情報漏えいやマルウェア・スパム送信などのさらなる攻撃に利用されたり、ランサムウェアなど他のマルウェアに感染したりすることが確認されています。
Emotetの攻撃手法
Emotetの攻撃は、主に電子メールを介して行われます。
メール本文に記載されたURLからWebページに誘導し、無料のウイルス対策ソフトなどのツールに見せかけて不正なプログラムをダウンロードさせようとする手法や、マクロを埋め込んだOfficeファイルをメールに添付して送信する手法の2種類が確認されています。
また、これらの攻撃に使われるメールは、実在する企業や団体を装ったなりすましメールや、取引先企業からの返信を装ったメールなど、巧妙で見分けがつきにくいものが多いのも特徴です。
Emotetのメールの多くは、日常のメールコミュニケーションに紛れ込むように送信されるため、受信者はメールの手口に気づかず、いつの間にか感染に誘導されてしまうのです。
Emotetの変遷
Emotetの登場は2014年にさかのぼります。
2014年夏、新たな脅威として、バンキング型トロイの木馬「Emotet」が検出されたことが報告されました。
Emotetの初期バージョンは、トラフィックを傍受することで銀行口座の詳細を盗み出すタイプで、感染経路は不正な添付ファイルやリンクを含むスパムメールを経由していました。
同年秋には新バージョンのEmotetも発見されましたが、2014年12月に活動を停止し、2015年1月に再出現しました。
2015年1月に登場したEmotetのバージョンはバージョン3とされ、バージョン2との大きな違いは、改良されたステルス技術が追加されていることです。
バージョン2と比べ、より巧妙に自身の存在や痕跡などを何らかの手法で消去したり偽装したりするように改良されている点が大きな違いです。
2016年から2017年にかけて、Emotet運営者はトロイの木馬を更新し、主に「ローダー」として機能するように再構築しました。
この「ローダー」は、Emotetを介して他のマルウェアをダウンロードする機能で、攻撃者はEmotetを実行している感染端末に2つ目のマルウェアを送ることができるようになります。
送り込まれたマルウェアとしては、バンキングマルウェアやランサムウェアが確認されています。
日本では2019年11月末頃に流行し、様々なニュースやメディアで取り上げられ有名になりました。
2020年7月には、Emotetが世界中で検出されており、Emotet経由で被害者の端末バンキング型トロイの木馬であるTrickBotとQbotを感染させ、銀行の認証情報を盗み、ネットワーク内で拡散する被害が増加しました。
Emotetの世界的な流行による被害拡大を受け、2021年1月、Europolを含む欧米8カ国の法執行機関や司法当局の協力のもと、ドイツ・オランダ・リトアニア・ウクライナに設置されていたEmotetの制御サーバーが押収されました。これにより、Emotetの脅威は過ぎ去ったかに思われました。
しかし、2021年11月にEmotetの活動再開が確認され、2022年3月にはEmotet関連の被害相談が増加したため、IPA(情報処理推進機構)より注意喚起が行われています。
さらに、2022年2~3月には、月間検出数が4万件を超え、4~5月には一度収まったものの、翌月の6月には感染の再拡大により検出数が2万6000件を超えています。
Emotetによる被害が深刻化した背景
Emotetの感染が拡大した理由は、攻撃者が使用する2つの「手口」にあります。
1つ目は、配布されるメールの巧妙さで、Emotetはメールに添付されたMicrosoft WordやExcelのファイルに含まれるマクロを使って、端末に侵入・感染することが確認されています。
2021年11月には、返信時にメーラーが自動的に件名に付加する「RE:」を利用して、実際のメールの返信に偽装する大規模なばらまき攻撃が行われました。中には、不正に入手したメール情報を使って返信前に文章を引用するなど、通常のメールと見分けがつきにくく、自然な流れでEmotetのダウンロードに誘導するため、Emotetばらまきメールであることを見抜くのは非常に困難でした。
深刻化した理由の2つ目は、セキュリティ担当者に見つかりにくいさまざまな工夫が施されていることにあります。
Emotetの主な機能は、他のマルウェアを感染させるためのプラットフォームとなる機能です。
この機能は、感染後に攻撃者が用意したサーバーから情報窃取などの悪質な動作を行うモジュールをダウンロードするために用いられることから、Emotet自体にはあまり悪意のあるコードが含まれていないことが多く、発見が困難となっています。
さらに、ダウンロードしたモジュールは、端末にファイルとして保存されず、端末のメモリ上で動作するため、セキュリティ担当者による解析でも発見されにくく、感染発覚が遅れてしまうケースもあります。
Emotetに感染するとどうなる?
サイトのログイン情報などが盗み取られてしまう
Emotetに感染すると、デバイスに情報窃取用のモジュールがダウンロードさせられるため、インターネット上で使用される認証情報が盗み取られてしまいます。
認証情報が盗まれると、サイトにログインするためのIDやパスワードだけでなく、クレジットカードやインターネットバンキングなどの個人情報や決済情報が流出し、二次被害が発生しやすくなります。
Emotet以外のマルウェアへの感染
Emotetは、情報を盗み出すためのモジュールであるだけでなく、他のマルウェアをダウンロードさせるように誘導することも可能です。
Emotetの感染をきっかけに、端末を人質に取るランサムウェアや、キーロガー(キーボード操作情報を外部に送信するプログラム)、ボット(外部からの指示で攻撃するプログラム)に感染する可能性も高まってしまいます。
他のデバイスへ感染を拡大してしまう
Emotetは、データを盗み出すだけでなく、さまざまな手法で感染を広げるマルウェアです。
Emotetに感染した端末のメール情報を盗み、メールをやり取りしたことのある他の端末になりすましメールを送信したり、Emotet自体に内蔵されたワーム機能を使って同じネットワーク上の他の端末に感染を試みたりします。
Emotetが個人ユーザーを狙った攻撃事例
クレジットカード情報を直接狙ったEmotetが登場
2022年6月に、GoogleChromeブラウザのユーザープロファイルからクレジットカード情報を直接盗み出すタイプのEmotetが現れたことが報告されました。
もともとEmotetではブラウザからユーザーパスワードなどが盗まれることがありましたが、報告されたEmotetでは、感染が金銭的被害に直結する可能性があります。
そのため、個人でもより一層Emotetの感染に注意する必要が出てきました。
個人ユーザーがEmotetの被害を防ぐには
PCやスマートフォンにセキュリティソフトをインストールすることで、なりすましメールなどの不正なメールを検知することができます。
メールに記載されたURLをクリックしても、アクセスする前に悪質なサイトかどうかを検知するため、悪質なソフトのインストールを防ぐことができます。
さらに、メールに悪意のあるファイルが添付されていた場合、リアルタイムスキャン機能により、添付ファイルを開かずに驚異を検知し、削除することも可能です。
Emotetは進化の著しいマルウェアです。そのため、ウイルス定義ファイルにも含まれない未知の驚異も検出可能な機能を備えた強固なウイルス対策ソフトが理想です。
Emotetの被害を防ぐ「 ESET HOME セキュリティ プレミアム」
ESETインターネットセキュリティは、「動作が軽い」「検出率が高い」など、ユーザーから高い評価を得ているウイルス対策ソフトです。
ESET HOME セキュリティ プレミアムは、不正サイトへのアクセスをブロックしたり、ウイルスに感染したファイルを開く前にスキャンすることで、ウイルスが検出された場合は駆除したりする機能を備えています。そのため、Emotetによるフィッシング詐欺などの被害を未然に防ぐことが可能です。
また、ESETでは、最新のマルウェアに対応すべく「ESET LiveGrid®」という、世界中のESETユーザーからマルウェアやマルウェアの疑いのあるファイルを収集するクラウドベースシステムを搭載しています。
収集した情報を元に、20年以上の経験を持つESETの機械学習機能で解析し、マルウェアかどうかを自動判定します。
新たな脅威と判断された場合は、その情報を検知エンジンやソフトウェアの安全性評価結果に反映させます。
さらに、ESETは未知のマルウェアに対応する「LiveGuard機能」を搭載しています。
「LiveGuard機能」では、従来の検査では検出が困難な不審なファイルでも、ESETのクラウド環境に送信して数秒から数分で詳細な解析を行い、悪質と判断された場合は直ちにブロックし、新種や亜種のウイルスなど未知の脅威にも対応することが可能です。
これにより、新種・亜種のウイルスなど未知の脅威への対応が可能となります。
これらの機能により、ESETは第三者試験機関による試験で、保護率100%、誤検知ゼロを記録した数少ないセキュリティソフトとして認められました。
実績と信頼のある保護
ESET エンドポイント セキュリティは、AV-Comparativesによる特別なビジネステストで市場で最も軽量なソリューションとの評価を受けました。
ESETはAV-TESTの2014年および2015年のセルフプロテクションテストで100%のスコアを獲得した唯一のベンダーです。
ESETの製品はこれまでVB100アワードを100回受賞しています。
実績と信頼のある保護
ESETはThe Channel CompanyのブランドCRN®による2017パートナープログラムガイドで3年連続5つ星の評価を受けました。
ESET スマート セキュリティ プレミアムがDigital Citizenの「ベスト・セキュリティ・プロダクト・オブ・ザ・イヤー」 を受賞。
Emotetが企業を狙った攻撃事例
神戸大学の事例
2019年10月、神戸大学から大学の構成員を装った不審なメールが発信されていることが発表されました。
この不審メールは、過去にやり取りされたメールを引用したなりすましメールで、知人からのメールを装う巧妙な手口で、受信者にウイルス付きの添付ファイル(.docファイル)を開かせようとするものでした。
以下は、公開されている不審メールの一例です。
この事例では、大学院医学部内の端末がEmotetに感染し、その端末とやり取りをした関係者にマルウェアが添付されたメールが送信されていました。過去にやり取りした日本語の文章の内容も悪用されていたため、区別がつきにくく、二次被害につながりやすいことから、今回の注意喚起につながりました。
(参照:神戸大学構成員を騙る不審メールについてのお知らせとお詫び | 国立大学法人 神戸大学 (Kobe University))
NTT西日本ビジネスフロントの事例
西日本電信電話株式会社は、2019年12月、NTT西日本グループ会社の従業員のパソコンがマルウェア(Emotet)に感染し、NTT西日本グループ会社の従業員を装った第三者からの不審メールが複数名に対して送信されたと発表しました。
この発表によると、NTT西日本グループ会社の社員を装った第三者からの不審なメールが外部のお客様のアドレスに送信され、さらに社員の端末に保存されていた1343件のメールアドレス(うちNTTグループ外のお客様のメールアドレス63件)が流出した可能性があるとのことです。
以下は、公開されている不審メールの一例です。
企業としてEmotetの被害を防ぐには
リモートワークが増加していることもあり、Emotetの被害を防ぐために企業としてどのようなセキュリティ対策を講じるかが課題となっています。
社員に対し不審なメールや添付ファイルを開かないよう指導を徹底しても、「怪しいメール」であるかどうかの判断は非常に難しく、なかなか感染を防ぎきれないのが現状です。
Emotetからの被害を防ぐには、エンドポイントセキュリティ対策(万が一社員が使用する端末が感染してもサイバー攻撃から守る仕組み)が重要です。
総合的なエンドポイント保護機能を備えた「ESET PROTECT Advanced」
ESET PROTECT Advancedは、エンドポイント保護に加え、クラウドサンドボックスとフルディスク暗号化により、包括的なセキュリティ対策を提供するソリューションです。
ESET PROTECT Advancedでは、クライアントPCに必要なアンチウイルス、アンチスパイウェアなどのマルウェア・フィッシング対策・ネットワーク保護・スパム対策などの基本的なセキュリティ対策と、エンドポイント保護対策を提供しています。
また、クラウドベースのサンドボックス技術により、ランサムウェアやゼロデイ攻撃からエンドポイントを保護するクラウドサンドボックス機能も搭載。
社内勤務はもちろん、リモートワーク時のクライアント端末(エンドポイント)管理も、セキュリティ管理者の場所によらず実施可能です。
ESET PROTECT Advancedは、ニーズに応じてクラウドまたはオンプレミスをご選択いただけます。
セキュリティソリューションパッケージ一覧
お客様のニーズに合わせて、クラウド、オンプレミスをご選択いただけます
