FortiGate ZTNA
この記事では、Emotetの具体的な攻撃手口と対策をわかりやすく解説します。
Emotetは、近年被害が拡大しているマルウェアに分類されますが、対策をご検討中の方もいらっしゃるでしょう。感染時の対策もご紹介していますのでぜひ参考にしてください。
※本記事に掲載している情報は2024年3月時点のものです
目次
FortiGate ZTNA
マルウェアを無力化し、業務を止めないという最大の価値を実現!
従来の検知型と全く異なる、革新的なエンドポイントプロテクション製品。
「Emotet(エモテット)」とは、攻撃者から送信される不正なメールを介して他者のコンピューターに攻撃を試みるマルウェアです。
ちなみにマルウェアとは、他者の所有するコンピューターに危害を加える目的で作成された悪意のあるソフトウェア(プログラム)全般をいいます。
Emotetは、取引先や会社の関係者などを装ってメールを送り付けてくるため、警戒することなく、添付ファイルの開封やメール本文のURLをクリックすることで感染します。
万が一感染した場合には、感染端末を攻撃者に不正操作されることにより、メール情報やアカウント情報、パスワード、アドレス帳などを窃取される可能性や、感染端末をスパムメールの発信元として悪用されるリスクがあります。
また、別のマルウェアへの二次感染に利用される恐れもあるため、感染による被害を拡大させないためには、早期に感染事実を把握し、すみやかに対策を取るのが重要です。
ここでは、Emotetの特徴を2つご紹介します。
Emotetは、巧妙に作り込まれた不正メールを利用する点が特徴です。
具体的には、攻撃対象となるメールの受信者が過去にやり取りした人物、メールアドレス、メール本文を利用して返信メール「RE:」の形式を取ります。
そのため、悪意を持ったメールと認識できずに思わず添付ファイルを開封したり、メール本文中のURLをクリックしてしまい、不正プログラムをダウンロードすることにより感染します。
2つ目の特徴は、Emotet自体には情報を窃取したり、データを暗号化するような機能はなく、このため不正なコードが含まれない点です。
したがって、不正プログラムであるマルウェアとして発見しにくく、感染の事実を把握するのが遅れる要因にもなっています。
また、新型のEmotetが日々生み出されていることから、セでキュリティ対策ツールを導入している場合でも、最新のウイルス定義ファイルで検知できないこともあります。
続いて、Emotetの具体的な攻撃の手口を3つご紹介します。
Emotetの攻撃手口として一般的なものが、攻撃用の不正ファイルを添付したメールを送り付けて開封時に感染させる手法です。
具体的には、悪意を持ったマクロを組み込んだワードやエクセルなどのOfficeファイルがメールに添付されており、開封すると「コンテンツの有効化」をたずねられます。ここで有効化を選択してしまうとEmotetのダウンロードプログラムがインストールされ、端末が感染します。
現在、ワードもエクセルもデフォルトがマクロを実行しない設定のため、メールの添付ファイルを開封しただけでは基本的にEmotetに感染しません。
しかし、いずれも日常的に業務で利用するソフトウェアのため、むやみにマクロを有効にしてしまわないように注意が必要です。
メールの添付ファイルがワードやエクセルなどのOfficeファイルでなく、パスワードを付けたZIPファイルでEmotetに感染させる手口もあります。
攻撃用不正ファイルの場合と同様に、悪意を持ったマクロを実行させて、標的の端末をEmotetに感染を狙います。
パスワード付きのZIPファイルは圧縮ファイルとして暗号化されていることにより、セキュリティツールでの検知が難しく、受信ボックスに通常のメールとして届きやすい性質を持っています。
近年、セキュリティリスクを考慮しパスワード付のZIPファイルを禁止する企業もありますが、引き続き利用している企業では開封時のリスクを社内に周知する必要があるでしょう。
メールの添付ファイルではなく、メール本文中のURLからEmotetのダウンロードサイトに誘導する手口もあります。
この場合、攻撃者は取引先や顧客になりすましてメールを巧妙に作り込んでいるため、メール受信者はためらうことなくURLをクリックしてしまい、その結果、Emotetに感染してしまいます。
受信したメールに少しでも違和感を感じたら、URLをクリックせず、公式サイトでドメイン名を確認するなど日頃から習慣づけが重要です。
ここからは、Emotetに感染した場合に想定される被害についてご紹介します。
Emotetに感染すると、感染したPCやサーバー内でメールアドレスやメール本文などのデータのファイルが作成され、不正に外部送信する被害が発生します。
流出したメールアドレスは、不特定多数を攻撃対象としたスパムメールの新たな標的となる恐れがあり、取引先や顧客に被害を拡大してしまうとともに、信用の失墜にもつながりかねません。
また、メール本文中の機密情報が漏えいすれば、攻撃者から情報の暴露の脅迫を受け、場合によっては金銭要求もなされるでしょう。さらに過去にやり取りがなされた実在のメール本文が流出することにより、不正メールが巧妙に作成できるため、別のEmotetに感染する悪循環に陥る可能性もあります。
日頃から通販サイトなどでカード支払いを利用しており、クレジットカードの決済情報をPCに記憶させている場合には、Emotetへの感染により攻撃者によってクレジットカード情報を窃取されるリスクがあります。
この場合、盗み取った情報を悪用し、攻撃者によりクレジットカードの不正利用といった二次被害が生じる恐れがあるため注意が必要です。
Emotetに感染した場合、クライアントPCや自社のサーバーがスパムメールの発信元として悪用されるケースが考えられます。
このとき、アドレス帳に登録されている自社従業員、取引先、顧客などのメールアドレスに一斉に不正メールが送信され、被害が拡大してしまう恐れがあるため、もし身に覚えのないメールの送信履歴が発見された場合には、早急にIT担当部門に報告し対策を実施する必要があります。
Emotetに感染した場合、ランサムウェアなどのほかのマルウェアからのさらなる攻撃(二次感染)のリスクを有しています。
ランサムウェアは、PC内に保管している重要なデータを人質に取り、身代金(ランサム)を要求するマルウェアです。感染するとデータやファイルが暗号化されることで利用できなくなり、あるいは端末にロックが掛かり通常の操作が不可能になることがあります。
一度暗号化されてしまったデータやロックされた端末は、自力で復旧するのは困難な場合が多く、業務やサービスの停止に追い込まれるリスクも考えられるため、日頃から十分な感染予防対策が必要です。
Emotetに感染してしまった場合の対策について解説していきます。
Emotetに感染した端末、感染が疑われる端末は、社内のネットワークからすみやかに隔離しましょう。
有線のケースではLANケーブルを外し、無線のケースではWi-Fi接続をオフにして、ほかの端末との接続を完全に遮断します。対応が早いほど、さらなる感染拡大を防止できます。
ただし、顧客へのサービスに利用している端末や、多数の社員が共有している端末のように重要性の高い端末であるほど、隔離による業務やサービスへの影響が大きいため、日常的に感染時の緊急対応について対策が必要です。
Emotetはメールを感染経路として被害を拡大させるマルウェアのため、Emotetの駆除がすべて完了したら、感染してしまったアカウントは可能であれば削除し、新たに作り直しましょう。
アカウントの削除が難しい場合にはメールアドレス、パスワードの変更をすみやかに実施する必要があります。
ウェブブラウザにサイトのログイン情報(ID、パスワード)、クレジットカード情報などを記憶させている場合には、ユーザー個別の情報は「ユーザー プロファイル」と呼ばれる場所に保存されています。
Emotet感染により、ユーザープロファイルに保存されている個人情報が流出するリスクがあります。攻撃者によってウェブサイトへの不正ログイン、クレジットカードの不正利用などの二次被害が発生しないように、認証情報のリセット・再設定を行いましょう。
「スパムメールが送られてきた」などの連絡を受けた場合には、Emotetへの感染が疑われますが、セキュリティツールで検出できないこともあります。
この場合には、Emotet以外のマルウェアに感染している可能性も考えられるため、利用しているウイルス対策ソフトのウイルス定義ファイルを最新の状態にしたうえで、フルスキャンを実行します。
なお、すでに同一ネットワーク内のほかの端末でもマルウェアの感染が拡大している恐れがあります。フルスキャンの対象はスパムメールを送信した端末、および同一ネットワーク内の端末です。
Emotetの感染リスクを軽減するための予防対策について解説していきます。
Emotetは、ほかのマルウェアを二次感染させるにあたり、社内で使用するOS、ソフトウェア、ハードウェアのファームウェアなどの脆弱性をついて攻撃を試みるものが多いためアップデートをこまめに行うことが重要です。
各メーカーから提供されるアップデートデータでは、プログラムの不具合修正に加えて脆弱性に関する対策も合わせて実施されています。
アップデートを行い常に最新の状態で利用することで、攻撃者にわずかな隙も与えずEmotetだけでなくほかのマルウェアへの感染リスクを軽減できます。
Emotetの感染予防対策として、ウイルス対策ソフトの活用も非常に効果的です。
メーカーから提供されるウイルス定義ファイルの自動更新を有効にしていれば、新型のEmotetを検知する可能性が高まります。万が一、感染してしまった場合でも早期に発見でき、自動で駆除も行えます。
Emotetは、ほかのマルウェアへの二次感染のリスクが高いため、求められるセキュリティレベルが高く、機密性の高い情報を取り扱う企業にとってはウイルス対策ソフトの導入は必須ともいえるでしょう。
この記事では、Emotet(エモテット)の概要、攻撃手口、感染した場合の被害と対策などについて解説しました。
新たな脅威が次々に生み出されるマルウェアのなかでも、Emotetは進化のスピードが非常に早いため、セキュリティツールの監視をすり抜けて被害が拡大しているというのが現状です。
Emotetに感染した場合には、メールやクレジットカードなどの情報流出のリスクがあるとともに、自社のPCがスパムメールの発信元として悪用される恐れがあります。
また、Emotet感染後にランサムウェアなどのさらなる被害を受けることもあるため、日頃からウイルス対策ソフトの導入、OSのアップデートなど対策を実施するのが重要です。
本記事を参考に、Emotetに関する理解を深め、ぜひ万全の「Emotet」対策を進めてください。
※本記事における価格情報記載はすべて税抜表記です。
※Microsoft、Windows、Windows 10およびMicrosoftのロゴは、米国およびその他の国におけるMicrosoft Corporationの登録商標または商標です。
※その他、記載されている会社名、製品名は、各社の登録商標または商標です。
このコラムをシェアする
マルウェアを無力化し、業務を止めないという最大の価値を実現!
従来の検知型と全く異なる、革新的なエンドポイントプロテクション製品。
