巧妙化が進むウイルスメール!取引先を装うメール『EMOTET(エモテット)』の恐ろしさ

皆さんは、『EMOTET(エモテット)』と呼ばれるウイルスはご存知でしょうか?

企業の情報システム管理やセキュリティ担当者であれば、エモテットの危険性を認識している方も多いと思います。しかし、普段は書類作成や取引先にメールを送信する程度しかパソコンを使っていないという方であれば、エモテットを知らない…、または知っていても「自分には関係ない」などと他人事として認識している人も多いかもしれません。しかし、最近ではエモテットによる被害が急増していると言われており、つい先日もヤフーニュースにエモテットへの注意喚起に関する記事が掲載されていたほどです。

そこでこの記事では、非常に恐ろしいマルウェアである『EMOTET(エモテット)』の特徴やその危険性についてご紹介します。過去には、このウイルスに感染したことで、約1億円に上る被害が出た事例もあると言われていますので、しっかりとその危険性を認識し対処法を検討しておきましょう。

『EMOTET(エモテット)』とは?

それではまず、『EMOTET(エモテット)』がどのようなウイルスなのかを簡単にご紹介していきましょう。エモテットは、マルウェアの一種で、2014年に初めて確認されたそれなりに古いウイルスとなります。発見当時は、オンラインバックの認証情報を抜き取るバンキングトロジャンとしてのマルウェアだったのですが、2017年頃よりこのウイルスの役割が大きく変わってきていると言われています。現在のエモテットは、さまざまなマルウェアの感染・拡散を行うといった、まさにマルウェアのプラットフォームのような役割を担うように進化しています。

特に恐ろしいのは、エモテットは単体で感染することが少なく、認証情報などを盗み出す『トロイの木馬』や身代金を要求する『ランサムウェア』などと一緒に感染することが多いということです。また、感染者の情報を盗み出すだけでなく、さらに他者へも感染拡大をさせるため、感染したデバイスを悪用する性質まであると言われています。

エモテットの特徴としては、その感染手口が非常に巧妙化されていると言う点です。例えば、普段からよくやり取りする方からのメールを装い、見慣れた内容に偽装されたメールを送信し、そのメールに添付されたワードファイルを開くとウイルスに感染するなど、メール受信者がウイルスだと気付きにくい工夫が凝らされているのです。

『EMOTET(エモテット)』の手口を頭に入れておきましょう。

それでは、エモテットの攻撃メールの特徴についてもご紹介しておきましょう。非常に巧妙な手口を使いますので、以下の攻撃メールの特徴は是非覚えておきましょう。

ポイント① 実在する人物を装う

エモテットは、過去にあなたがやり取りしたことがある実在の人物からのメールを装うと言う特徴があります。

例えば、過去に取引先などに送信したメールがそのまま引用され、あたかも先方から返信されてきたかのようなメールに見えるよう偽装されています。エモテットによるメールは、メールの差出人や件名、メール末尾の引用部分まで、自分が過去に送信したメールの一部が流用されるため、一見すると本当に取引先からの返信メールに見えてしまいます。そして、そのメールにワードファイルが添付されており、この添付ファイルがエモテットに感染させるための機能を持った悪意のある不正ファイルとなっています。

普段からよくやり取りする取引先を装っていたら、とっさにファイルを開いてしまう可能性が十分に考えられますので、メールの細部までよく確認してください。

ポイント② 添付ファイル内に悪意のあるマクロが存在する

エモテットによる攻撃メールに添付されたファイルを開くと、Word文書内にOfficeのロゴと、数行のメッセージが書かれたファイルが開きます。そして、メール本文の上部には、通常のワード文書のように『コンテンツの有効化』ボタンが表示され、これをクリックするよう誘導するようになっています。
しかし、このボタンをクリックすると、外部サイトに設置されたエモテットをダウンロードし、ウイルスに感染させるような悪意のある命令が組み込まれています。つまり、普段ワード文書を開くときと同じように、「コンテンツの有効化」ボタンをクリックしてしまうと、悪意のあるマクロの動作を許可することになるのです。

要は、①のように取引先からのメールを装い、文書の確認が必要と思わせ、ボタンのクリックに誘導する方法になりますので、少しでも疑わしい点がある場合には、コンテンツの有効化ボタンをクリックしないようにしましょう。

攻撃者が加える不自然な文章

エモテットの攻撃メールは、上述のように、過去に自分が送信したメールの一部を引用するのですが、メールの内容を補足するために、攻撃者側が文面を追加することが多いです。そして、追加される文章はいくつかのパターンが存在し、文章が少し不自然という特徴があります。したがって、どういったパターンの文章があるのかを知っておけばウイルスに感染する被害を防ぐことも可能です。

以下に、 IPA(情報処理推進機構)が公表している「エモテットで追加される不自然な文章の例」をご紹介しておきます。

  • おはようございます。本件 ついては今回触れておりませんが 以上よろしくお願いします。
  • 早速お返事をいただき、ありがとうございます。以上、よろしくお願い致します。
  • 受ける機能についても明確にしてください。取り急ぎご連絡いたします。
  • 予定です。取り急ぎご連絡いたします。
参考:IPA(情報処理推進機構)『「Emotet」と呼ばれるウイルスへの感染を狙うメールについて

エモテットの攻撃メールは、上記のようによく文面を確認すれば、不自然な部分がたくさん存在しますので、添付ファイルを開く前によくメールの内容を確認しましょう。
なお、IPA『「Emotet」と呼ばれるウイルスへの感染を狙うメールについて』では、実際に送信されたエモテットの攻撃メールについて、現在確認されているいくつかのパターンが公表されていますので、こちらも確認しておきましょう。

『EMOTET(エモテット)』に感染した場合の対処

それでは最後に、エモテットに感染してしまった場合の対処についても簡単にご紹介しておきましょう。エモテットと呼ばれるウイルスの危険性は、非常に感染力が高いということと、他の強力なマルウェアにも感染してしまう…という点にあります。

  • エモテットは横方向に感染が広がる
    エモテットは、非常に感染力・拡散力が強いと言われています。社内の1台のPCが感染してしまうと、社内ネットワークのログイン情報やwebサービスのログイン情報を盗み、さらに感染を広げようとします。実際に、過去には一つの感染源から、ネットワーク全体へ感染が広がった…という事例もあるそうです。
  • 強力なマルウェアに感染してしまう
    現在のエモテットは、単体で攻撃を行うというよりも、その他のさらに強力なマルウェアに感染させるためのプラットフォームになっています。

上記のように、社内の1台のPCがエモテットに感染してしまった場合、ネットワークでつながる全てのPCにまでウイルスの感染を拡大してしまう危険性があります。したがって、エモテットへの感染を未然に防ぐための対策はもちろん、万一感染してしまった場合にどう対処するのかも考えておかなければいけません。
社内のPCがエモテットに感染してしまった場合には、以下のような対処をとりましょう。

感染した端末をネットワークから切り離す

最初にすることは、エモテットの感染が疑われる端末をネットワークから切り離すことです。
企業や学校などで使用されるPCは、ほとんどの場合ネットワークでつながれていますので、パソコンがエモテットに感染したと疑われる場合、直ちにネットワークから切り離してください。同じネットワークに接続している場合、他の端末に感染が拡大してしまう恐れがあります。ネットワークの切り離しは、LANケーブルでつながれている場合はケーブルを抜く、無線の場合はPCの設定画面から可能です。
なお、感染を疑われる端末に関しては、その後も使用しないのがオススメです。

メールアドレス・パスワードの変更

エモテットの感染経路は、主にメール経由です。したがって、感染を疑われる端末が使用していたメールアドレスやパスワードは変更する必要があります。
なお、メールアドレスやパスワードの変更は、感染を疑われる端末を使用するのではなく、他の端末を使用してください。感染疑惑のある端末でパスワードの変更を行うと、変更後のパスワードを盗まれる可能性があります。

まとめ

今回は、最近被害が急増していると言われている『EMOTET(エモテット)』の特徴や危険性についてご紹介してきました。エモテットの特徴は、過去にやり取りしたことがある実在の人物を装って攻撃メールを送信してくるということです。メールの差出人や件名、自分が送ったメールの一部を引用するなど、非常に巧妙な攻撃メールが送信されてきますので、つい取引先からのメールと勘違いし、添付ファイルを開いてしまう…という事例が増えているそうです。

こういったウイルスメールは、どんどん巧妙化していますので、常に最新情報を仕入れておき、社内にどういった手口で攻撃してくるのかを周知しておいた方が良いでしょう。特に、今年に入ってエモテットによる攻撃メールが急増していると言われていますので、エモテットの手口と注意喚起は必ず行っておきましょう。