Emotet(エモテット)がどのようなウイルスなのか、気になるところではないでしょうか。Emotet はマルウェアの一種で、対策をしておかなければさまざまな被害をもたらす可能性があります。
本記事では、マルウェアである Emotet の目的や種類、攻撃の手口や事例、Emotet を防ぐための対策までまとめて解説します。
マルウェアとは
マルウェアとは、コンピューターに感染するウイルスのことです。一般的にはあまり知られていない言葉ですが、コンピューターの世界ではよく使われています。「悪い」という意味のある “malicious” という単語と “software” が組み合わされてできた言葉です。
マルウェアはユーザーにさまざまな不利益をもたらす可能性のあるウイルスで、個人情報が抜き取られたり、デバイスに保存されたデータが改ざんされたりします。マルウェア対策は必須です。
Emotet(エモテット)とは
Emotet はマルウェアの一種です。一口にマルウェアと呼ばれても、効果や攻撃の手口などがわからなければその脅威のほどがわかりません。そこで本項では、Emotet の概要について解説します。
Emotet の目的は多様
Emotet の第一の目的は、パソコンに対して主にメールを通じて感染させることです。Emotet に感染したパソコンは、情報を窃取されメールを悪用され、感染者のメールアドレスから Emotet を含んだメールを送信されることがあります。
Emotet の攻撃の目的はそれだけではありません。Emotet はマルウェア攻撃基盤といわれており、一度感染すると、サイバー攻撃者の用意したサーバーから他のマルウェアを呼び出して、パソコンから感染させて組織内を攻撃しようとすることも、Emotet の攻撃の目的です。
つまり、Emotet に感染すると、あらゆる種類のマルウェアに感染する可能性があるということです。
Emotet の手口
Emotet の攻撃の手口としては、サイバー攻撃者が取引先を乗っ取ってメールを送信してきたり、受信者自身が過去に送ったメールに返信する形で送ってくるケースがあります。Emotet がメールで配信されてくる場合には、メール内に記載されている URL リンクや、Word や Excel などの添付ファイルを開いてしまった際にウイルスが感染してしまう仕組みになっています。
Emotet の見分けが難しいのは、送信元が乗っ取られている場合、攻撃メールの送信元が正規の取引先のメールアカウントになるため、受信者には正しいメールに見えるため判断が難しくなります。
仮に、乗っ取られていなかったとしても、窃取したメールを利用して自身の送信メールへの返信を装うなど攻撃が巧妙で、こちらも受信者側で判断することが難しくなるよう工夫がされています。
Emotet の攻撃の流れ
Emotet はファイルや URL を開いたときに実行されるマクロや Powershell などによって感染します。このスクリプトが二次マルウェアを取得して、二次マルウェアが C2 サーバー(攻撃サーバー)と通信し、パソコン内やネットワーク内を探索して窃取した情報を C2 サーバーへ送信することで被害が発生します。さらに Emotet は、感染したパソコンから感染メールをばらまくことすらします。
Emotet 自体に不正コードは含まれておらず、二次マルウェアの呼び水として働くため、Emotetの検出を難しくしています。また、HTTPS を使うので、C2 通信を見つけ出すことは難しいのです。
Emotet による攻撃事例
上記で Emotet の攻撃の目的や手法を解説しましたが、イメージがつかみにくいかもしれません。ここでは、Emotet の実際の攻撃事例を解説します。攻撃事例をイメージすることでより理解しやすくなるでしょう。
URL リンクを利用して攻撃
Emotet の手口として非常に多いのが、URL リンクを踏ませることで感染させるケースです。とある Emotet 攻撃の事例では、「賞与支払届」と題して送られてきたメールの中に、賞与の詳細があたかも URL リンク先に載っているかのように文言が記載されていました。
しかし、その URL リンクをクリックすることで、不正なファイルのダウンロードが始まってしまいました。そしてマクロが起動し、C2 サーバーに情報が送信されてしまいました。
パスワード付き ZIP ファイルを用いる攻撃
パスワード付き ZIP ファイルを用いた攻撃も Emotet がよく使う攻撃の手口です。「協力会社各位」と題したメールが転送されてきて、そのメールの中には、添付されている ZIP ファイルを解凍するためのパスワードも併記されています。本来であれば、パスワードが同じメール内に併記されていることはないので、その点もおかしいと感じなければなりません。
ZIP ファイルを解凍し、Word ファイルを開いた際に「コンテンツの有効化」をクリックするとマクロが発動してしまいます。
新型コロナウイルスに絡めて攻撃
コロナ禍の初期によく使われていた手口が、「新型コロナウイルスに関する注意喚起」のようなタイトルで、新型コロナウイルス関連の情報が入っているように偽装された Word の添付ファイルを Emotet がメールで送る手口です。もちろん、Word の内容は新型コロナウイルスとは関係ありません。
添付されている Word ファイルを開き、「コンテンツの有効化」ボタンを押してしまうとマクロがスタートして情報が窃取されてしまいます。
季節に合わせた挨拶で攻撃
季節に合わせた挨拶や、事象を絡めたメールによって攻撃してくるのも常套手段です。クリスマスやお正月のタイミングで挨拶とともに Word ファイルが添付されたメールが送られてきたり、賞与を送るメールと偽装してメールが送られてきたりします。
メールの送り元が知らないものであったり、URL リンクが怪しそうな位置に置かれていたりした場合には疑わなければなりません。
Emotet を防ぐ対策
Emotet の対策としては、まずメールの送信元が信頼できるものであるかどうかを確認する必要があります。信頼できるものでなければ、添付ファイルやメール本文の URL リンクをクリックせずブックマークを利用することなどが重要です。また、二次マルウェアの感染リスクを下げるために OS のセキュリティパッチを常に最新にしておきましょう。
怪しいファイルを開いてしまったら、すぐに社内窓口に連絡し、二次感染を防ぎましょう。普段から重要なファイルのバックアップを取っておき、感染した際の被害を抑えるなどの対策も必要です。さらにセキュリティ関連サービスを利用するのも重要です。
SBテクノロジーの Emotet 対策
Emotet 対策としては、怪しい添付ファイルや URL リンクを開かないことも重要ですが、あらかじめセキュリティ対策サービスを導入しておき、気づくための体制を準備しておくことも必要です。そこで本項では、SBテクノロジーの Emotet 対策を紹介します。
最近のサイバー攻撃は Emotet に限らず複合的な手法を用いるため、これがあれば100%大丈夫という方法はありませんが、Emotet の侵入する確率を下げるメールのセキュリティはとても重要となります。それに加えて、侵入を前提とした事後対策のセキュリティ対策も用意しておくことが非常に大切です。
Microsoft 365 E5 Security
Microsoft 365 E5 Security は、侵入を前提としたセキュリティ対策であるゼロトラストセキュリティを念頭に置いた総合的なセキュリティパッケージです。Emotet の侵入口である標的型メールなどを防ぐことができる Microsoft Defender for Office 365 を含んだセキュリティ対策サービスです。EDR や ID のセキュリティも含まれているため、社内感染拡大やアカウントの乗っ取り、管理者 ID の窃取などの侵入後のセキュリティ対策としても非常に効果的です。Emotet の攻撃に抜かりなく対応できます。
MSS for Microsoft 365
MSS for Microsoft 365 は、Microsoft 365 E5 Security のセキュリティ監視サービスです。万が一、Emotet の侵入を許してしまっても、EDR など他のセキュリティソリューションを相関分析して検知した脅威に対して SBテクノロジーの専門家がセキュリティ対策を実施、恒久的な対策も提案するサービスです。
Trellix Email Security Cloud(旧製品名:FireEye ETP)
Trelllix Email Security Cloud はサンドボックスを中心としたクラウド型メールセキュリティ製品で、Microsoft Office 365 や Gmail などのアプリケーションを利用した標的型メール攻撃に対して有効なセキュリティサービスです。Emotet による標的型メール攻撃が来た際には、自動的にメールが隔離されるのでユーザーがメールを開く心配がありません。標的型メール攻撃が来ると瞬時に管理者にアラートが通知されるので安心です。
まとめ
この記事では、マルウェア Emotet の攻撃の目的や手口、事例などを解説しました。巧妙化する攻撃に対して、社内ユーザーがメールを開いてしまう可能性はなくせません。
Emotet は登場から長きにわたって使われている攻撃ツールです。当社の MSS の SOC センターでも以前から何度も検出しています。万全なセキュリティ対策を施すためにも、SBテクノロジーのサービス利用を検討してみてください。
