サイバー攻撃

マルウェア「Emotet(エモテット)」最新の特徴と対策を解説!

Written by 今井 涼太

営業を経て、現在は LANSCOPE サイバープロテクション(BlackBerry Protect、Deep Instinct)マーケティング担当。
好きなドラマは「半沢直樹」。セキュリティ対策に「倍返し」はあり得ない。
やられる前にやる!事前防御だ!

マルウェア「Emotet(エモテット)」最新の特徴と対策を解説!

【メールパターン集】恐怖のマルウェア「Emotet」にどう対抗するか

Emotet(エモテット)最新情報や感染予防策感染してしまった際の対処方法を解説します。

資料のダウンロードはこちら

情シスでも騙される!近年のマルウェア感染手口5選《社員教育に使える問題集付き!》

資料のダウンロードはこちら

昨今、急増・凶悪化しているサイバー攻撃。その大半を占めるのがマルウェア・ランサムウェアによるサイバー攻撃です。その中でも最凶と言われるマルウェアが「Emotet(エモテット)」です。

本ブログ記事では、Emotetの攻撃手法や感染した際の影響、そして感染予防策について「2023年最新」の情報をもとにご案内いたします。

Emotetとは

Emotet(エモテット)とは、2019年11月末ごろにメディアで取り上げられ一気に知名度を上げたこのマルウェアですが、日本国内向けに大規模なばらまき攻撃があり、被害が増加しています。

2020年2月以降、Emotetの活動に大きな動きはありませんでしたが、2020年7月頃に活動再開が確認されています。国内での感染被害は拡大し、エムオーテックスに対しても、「Emotetに感染してしまった」「Emotetの被害を防ぎたい」というご相談が後を絶ちませんでした。

そして2021年1月、欧州刑事警察機構(Europol)によるテイクダウン作戦が成功したためEmotetの脅威は去ったかと思われました。

しかし、2021年11月に活動再開が確認され、IPA(日本情報処理推進機構)から注意喚起が行われています。2022年3月に入ってからは、IPAへEmotetに関する相談が増加しており、3月1日~3月8日までで323件の問い合わせがあったそうです。この数字は先月同時期(2月1日~8日)のおよそ7倍になります。
参考:https://www.ipa.go.jp/security/announce/20191202.html

そして2022年2月に入ってからは、3月に月間検出数が4万件を突破。4・5月に収束したものの、翌月6月には感染再拡大により、その検出数は2万6000件を超えています。

2022年11月に攻撃活動が再開して以降、目立った報告は上がっていないものの、2023年以降も引き続きEmotetへの十分な警戒と対策が必要です。

【2023年3月追記】
2023年3月7日、2022年11月より観測されていなかったEmotetの「活動再開」が報告されています。
攻撃手口に大きな変化はない一方、メールに添付されたZIPファイル内に、500MBを超えるWordファイルが含まれるものが確認されています。

また3月16日には、 新たな手口として「Microsoft OneNote 形式のファイル(.one)」を悪用し、emotetへ感染させる手法が観測されました。
(それぞれの手口の詳細は「Emotetの危険性=見つかりにくい様々な工夫」にて後述)。

Emotetの攻撃手法

Emotetは、攻撃者によって不正なメールに添付されるなどして、デバイス上でそのファイルを開くと感染するウイルスです。攻撃者は、マクロ付きのWordやExcelファイルをメールに添付して、大量に送付する「ばらまき攻撃」を仕掛けてきます。Emotetのメールだと知らずにファイルを開くと感染し、メールアカウントとパスワード、アドレス帳などの情報が抜き取られてしまいます。

その情報を元に攻撃者は他のユーザーへ感染メールを送信するため、取引先や顧客を巻き込んでしまいます。最悪の場合、感染元の企業は損害賠償請求や取引停止、ブランドイメージが失墜するリスクもあります。
Emotet感染により機密情報が「ばらまきメール」として取引先や顧客へ流出
Emotetの被害は、日本含め200ヶ国以上で拡大しており、被害総額は25億ドルと言われています。なぜ、これだけ被害が広がっているのか。それはEmotetを利用した攻撃メールが巧妙であり、見抜くことが難しくなっているからです。

しかし、どれだけ攻撃が巧妙化してもEmotetの手口を知っていれば対策は可能です。Emotetの特徴と、有効な対応策について、執筆時の最新情報をもとに解説します。

Emotetの危険性=見つかりにくい様々な工夫

Emotetの感染被害が深刻化した理由は、攻撃者側が行った3つの“工夫”にあります。

1つ目は、ばらまきメールの巧妙さです。Emotetの感染経路は、メールに添付したMicrosoft WordやExcelファイルのマクロを利用して端末へ侵入・感染するという手法が確認されています
Excelファイルのマクロを利用したEmotetの攻撃の様子

2021年11月には、正規にやり取りされているメールに「RE:」をつけて実際のメールの返信を装うことで、大規模なばらまき攻撃が行われました。元のメールのスレッドに割り込む形でEmotetのダウンロードを誘導するメールを配信するため、Emotetのばらまきメールであることを見破るのが非常に難しいといえます。
2020年9月1日 実際に観測されたEmotet攻撃メール

[出典]IPA:「Emotet」と呼ばれるウイルスへの感染を狙うメールについて- 図7 日本語の攻撃メールの例(2020年9月)
https://www.ipa.go.jp/security/announce/20191202.html

その後、Emotetのばらまきメールにはいくつかのバリエーションが確認されましたが、いずれも不信感を抱かせにくい工夫が施されています。

年末には賞与、2020年1月には「新型コロナウイルス」を題材にした手口が確認されるなど、社会的な関心事に便乗する傾向がある点も巧妙です。

<Emotet攻撃メールの事例>
●「12月賞与」というタイトルで、ボーナスの明細を添付して送付したと装ったメールが送られてきた。メール添付ではなく、ダウンロードURLがメール本文に記載されているケースも確認されている。
●社内のメンバーから複数人へ同時に「請求書」というタイトルの添付ファイル付きのメールが配信された。不審に思った数名が添付ファイルを開かずに返信したところ、そのメールに再度返信する形で、別のファイルを添付したメールが送られてきた。
●地域の保健所を装い、新型コロナウイルスの注意喚起の書面が添付されていることを装ったメールが送られてきた。
関連記事

Emotet(エモテット)攻撃メールについて、事例や見分け方を詳しく解説した記事はこちら
Emotet(エモテット)の最新攻撃メールの正体と仕組みを解説

2つ目の工夫は、セキュリティ担当者から見つかりにくくする様々な工夫が施されていることです。特に特徴的なのは、Emotet本体には不正なコードを多く含まない点です。

Emotetも本体は他のマルウェアを感染させるプラットフォームとしての機能がメインであり、情報窃取などの不正な動作をするモジュールを、攻撃者が用意したサーバー(C&Cサーバー)からダウンロードし、活動します。ダウンロードしたモジュールは、端末にファイルとして保存せずに端末のメモリ上で動作させるファイルレスな仕組みも取り入れており、セキュリティ調査者から解析されにくい工夫がされているといえます。

3つ目の工夫は、手を替え品を替え、常に最新の方法を編み出して攻撃を仕掛けます。例えば、あたかも正規のサービスを装い、ユーザー自身にウイルスファイルをダウンロードさせようとしてきます。
メールから誘導される偽のウェブサイトの例
[出典]IPA:「Emotet」と呼ばれるウイルスへの感染を狙うメールについて- 図14 メールから誘導される偽のウェブサイトの例(2021年12月)https://www.ipa.go.jp/security/announce/20191202.html#L17

2021年11月Emotetの活動が再開された際、新たに発見された攻撃手法です。メール本文中のURLリンクをクリックすると、PDFファイルが存在するかのような画面へ誘導されます。そこでPDFファイルの閲覧ソフトを装ったウイルスファイルをダウンロードさせ、利用者の手で実行させるという手口です。偽のウェブサイトの見た目など、今後細かい手口は変化していく可能性があります。安全と判断できない場合は、むやみに操作をしないことが大切です。

また、2022年4月には、ショートカットファイル(LNKファイル)を悪用して感染させる手口が確認されています。ショートカットファイルが直接メールに添付されている場合(図17)やショートカットファイルがパスワード付きZIPファイルとして添付されている場合があります(図18)ショートカットファイルを開くと感染するため注意が必要です。

2022年4月に観測されたショートカットファイルを悪用する攻撃メールの例

[出典]IPA:「Emotet」と呼ばれるウイルスへの感染を狙うメールについて-図17ショートカットファイルを悪用する攻撃メールの例(2022年4月)

2022年4月に観測された「ショートカットファイルが格納されたパスワード付きZIPファイルからEmotetに感染するまでの流れ」

[出典]IPA:「Emotet」と呼ばれるウイルスへの感染を狙うメールについて-図18ショートカットファイルが格納されたパスワード付きZIPファイルからEmotet感染までの流れ(2022年4月)
https://www.ipa.go.jp/security/announce/20191202.html#L20

ショートカットファイルはアイコンが文書ファイルのように偽装されており、見分けが付きづらいため注意が必要です。

▼2022年11月2日報告の攻撃内容
2022年7月以降、国内では長い間観測されていなかった「Emotetによる攻撃メールの配信」ですが、2022年11月2日より再開されたことが観測されています。

手口としては、攻撃メールに悪意のあるマクロ(プログラム)を仕込んだExcelファイル、もしくはExcelファイルを圧縮したパスワード付きZIPファイルを添付し、ファイルを実行することでEmotetに感染させるという手法です。

2022年11月に観測された「Excelファイル内偽の指示を記載したEmotetの手法」

基本的な手口は従来と変わらない一方、添付されたExcelファイル内に「コンテンツの有効化」を促す偽の指示が記載されている等、過去と内容が変わっている点もあるため引き続き注意が必要です。

[出典]IPA:「Emotet」と呼ばれるウイルスへの感染を狙うメールについて- 図21 Excelファイル内に書かれている新たな偽の指示(2022年11月)

▼2023年3月7日報告の攻撃内容
2023年3月7日より、2022年11月から姿を潜めていた「Emotetの攻撃メールの配信が、活動再開したことが報告されています。攻撃手口の変更点として、メールに添付されたZIPファイル内に、500MBを超える容量の大きいWord文書ファイルを含むものがあると報告されています。
写真「 500MBを超えるWord文書ファイル」
これは、セキュリティソフトなどの検知回避を企図したものと思われます。

[出典]IPA:「Emotet」と呼ばれるウイルスへの感染を狙うメールについて- 図22 500MBを超えるWord文書ファイルの例(2023年3月)
https://www.ipa.go.jp/security/announce/20191202.html

▼2023年3月17日報告の攻撃内容
2023年3月16日、Microsoft OneNote形式のファイル(.one)を用いた、新たなEmtetoの手口が観測されました。攻撃者からのメールに添付される「OneNote」型式のファイルを開き、ファイルに表示される”偽の指示”に従って「View(閲覧)」ボタンをダブルクリックすると、その背後に隠されたファイルが実行されEmotetへと感染してしまう仕組みです。

Microsoft OneNote形式のファイルを開いてからEmotet感染までの流れ

対策として、これまでのWord文書やExcelファイル時と同様に「身元不明なメールからの添付ファイルや本文中のURLを開かない」「OneNoteを開いた際、マクロやセキュリティに関する警告が表示された場合は、安易にボタンをクリックしない・操作を中断する」といった対応を行いましょう。

[出典]IPA:「Emotet」と呼ばれるウイルスへの感染を狙うメールについて- 図23 Microsoft OneNote形式のファイルを開いてからEmotet感染までの流れ(2023年3月)
https://www.ipa.go.jp/security/announce/20191202.html

【メールパターン集】恐怖のマルウェア「Emotet」にどう対抗するか

Emotet(エモテット)最新情報や感染予防策感染してしまった際の対処方法を解説します。

資料のダウンロードはこちら

情シスでも騙される!近年のマルウェア感染手口5選《社員教育に使える問題集付き!》

資料のダウンロードはこちら

Emotetに感染するとどうなるの?

では、実際にEmotetに感染した場合、どうなってしまうのでしょうか。

1.重要な情報を盗み取られる

Emotetが媒介して情報を窃取するモジュールがダウンロードされ、認証情報などの様々な情報が外部サーバーへ送信されて悪用されます。

2.ランサムウェアに感染する

ランサムウェアやワイパーがダウンロードされ、端末内のデータを暗号化、もしくは破壊して活動の痕跡を消し去ってしまいます。どのような情報が漏えいしたのかの調査すらできなくなり、ランサムウェアやワイパーの被害により端末自体が利用できなくなることで、復旧作業を行う間業務がストップしてしまいます。

3.社内の他の端末にEmotetが伝染する

Emoetは自己増殖するワーム機能を有しており、ひとたびネットワーク内に侵入すると、保護機能の隙間を探し、ネットワーク内の他の端末への侵入を試みます。さらにEmotetは、端末に潜伏して活動を行いながらも頻繁にアップデートが行われていることも確認されています。もしOSに新たな脆弱性が発見されたら、組織内で爆発的に感染が拡大する恐れもあります。

4.社外へのEmotetばらまきの踏み台にされる

Emotetで窃取したOutlookのメール情報を利用し、取り引き先や顧客へEmotetのばらまきメールを配信します。感染端末が増加するだけでなく、顧客へのばらまきメールが発生した場合には顧客への注意喚起や補償の対応が必要となり、企業のブランドイメージの低下につながります。
情報搾取後、フォレンジックされないよう活動の痕跡を消すEmotetの攻撃手法

Emotetに感染した時の対応

もしEmotetに感染した時は下記の対応を行ってください。

感染端末の隔離と証拠保全

端末に保存されていた情報が漏えいした可能性があります。メールやアドレス帳に含まれていたメールアドレスを確認してください。

感染した端末が利用していたメールアカウントなどのパスワード変更

Outlook や Thunderbird などのメールアカウント、Webブラウザに保存されていた認証情報 などを変更してください。

感染端末と同じネットワークに所属している全端末の調査

組織を横断して感染を広げる能力を持っているため、添付ファイルを開いた端末だけでなく、他の端末も併せて調査を実施してください。

他のマルウェアの感染有無の確認

Emotet は別のマルウェアに感染させる機能を持っているため、Emotet 以外にも感染していないかを調査する必要があります。もし、別のマルウェアに感染していた場合は、更なる調査・対応が必要です。

被害を受ける可能性がある関係者への注意喚起

調査で確認した対象メール、およびアドレス帳に含まれていたメールアドレスは窃取されている可能性が高いです。不特定多数の場合は、プレスリリースなどで案内してください。
また、JPCERT/CCからも感染時の対応方法について案内されています。マルウェアEmotetへの対応FAQ もご確認いただければと思います。

感染を予防するための対策とは

ここまで、国内で猛威を振るうEmotetについて、その特徴と感染した場合の影響について解説してきました。Emotetの特徴を踏まえると、対策のポイントとしては次の3点があげられます。

EMOTET(エモテット)の特徴 対応策
メール添付したMicrosoft WordやExcelのマクロを利用してEMOTET(エモテット)の本体ファイルをダウンロードし、感染する。 マクロの利用に対してセキュリティ製品で制御を行う。
情報窃取などの活動を行う際には、専用のモジュールをダウンロードし、メモリ上で動作させる。 メモリ上の不審な動作に対して対策ができるセキュリティ製品を活用する。
ワーム機能を有しており、ネットワーク内で自己増殖し、感染端末を増加させる。 境界型ではなくエンドポイントでのマルウェア対策(アンチウイルス)を強化する。


また前提として基本的な対策が行われていることも非常に重要となります。
Emotetへの対策の基本として、JPCERTコーディネーションセンターでも以下の対策を推奨しています。

  • ・組織内への注意喚起の実施
  • ・マクロの自動実行の無効化(事前にセキュリティセンターのマクロの設定で「警告を表示してすべてのマクロを無効にする」を選択しておく)
  • ・メールセキュリティ製品の導入によるマルウェア付きメールの検知
  • ・メールの監査ログの有効化
  • ・OSに定期的にパッチを適用(SMBの脆弱性を突く感染拡大に対する対策)
  • ・定期的なオフラインバックアップの取得(標的型ランサムウエア攻撃に対する対策)

 

このような対策が推奨される一方で、Emotetはその巧妙な手法によって、いつの間にかネットワーク内に潜伏し、活動している恐れがあります。Emotetを「侵入させない」対策に加えて、「侵入した場合に、感染前に検知ができる」対策として、エンドポイントのアンチウイルス製品の強化が非常に重要です。

また、エムオーテックスが提供するアンチウイルス「LANSCOPE サイバープロテクション」は、AI技術を活用した革新的な手法で、Emotetに対しても高精度で検知し、感染を未然に防ぐことが可能です。LANSCOPE サイバープロテクションの強み紹介

例えば、WordやExcelファイルに悪性のマクロが仕組まれている場合に事前検知しWordやExcelを開かせないように制御することで「Emotetだと気付かず、ファイルを開いてしまった」という事態を防ぎます。

お客様のご利用状況に応じて「CylancePROTECT」「Deep Instinct」の2製品から、選択いただくことが可能です。
LANSCOPE サイバープロテクションの2つのセキュリティ製品

関連ページ

Emotetに対策できる、LANSCOPE サイバープロテクション 製品ページはこちら

まとめ

Emotetの攻撃手口や特徴、感染前後の対策などについて解説しました。

【この記事のまとめ】
●Emotet(エモテット)とは、2019年11月頃から知名度をあげた凶悪なマルウェアの一種
●Emotetの攻撃手法として、マクロ付きのWordやExcelファイルをメールに添付し、開封によって感染させる「ばらまきメール」が特徴
●Emotetに感染すると自社の機密情報が盗み取られるだけでなく、取引先や顧客まで感染被害が拡大するリスクがある
●感染時は速やかに端末を隔離し、パスワードの変更や感染範囲の調査・関係者への注意喚起を行う
●感染前の予防策として、Emotetの侵入前後に対策できるエンドポイントのアンチウイルス製品強化が重要

Emotetの理解と対策に関して、お役に立てれば幸いです。Emotetの「メールパターン例」を掲載した、以下無料資料もご活用ください。

【メールパターン集】恐怖のマルウェア「Emotet」にどう対抗するか

Emotet(エモテット)最新情報や感染予防策感染してしまった際の対処方法を解説します。

資料のダウンロードはこちら

情シスでも騙される!近年のマルウェア感染手口5選《社員教育に使える問題集付き!》

資料のダウンロードはこちら

関連記事

流行中のマルウェアEmotetについて、感染有無を確認できるツール
“EmoCheck”をご紹介していますのでご活用ください。

自社ネットワーク内に潜むEmotet(エモテット)を一網打尽!
感染有無確認ツール「EmoCheck」活用のすすめ