2014年に発見され、2019年に知名度を上げたマルウェアの「EMOTET(エモテット)」。
2020年2月上旬以降は攻撃が観測されていませんでしたが、7月から再流行しているようです。
2021年になって以前より騒がれなくなりましたが、エモテット感染は確実に広がっており、
海外の捜査当局から日本国内のおよそ26000件のIPアドレス(PCのインターネット上の住所)が感染しているとの報告を受けたそうです。
これ以上感染を増やさないように、総務省や警察庁は感染した恐れのある利用者にメールで注意喚起を行っています。
このように、今でも感染が収まっていないことが分かります…。
これ以上の被害を抑えるために、EMOTET(エモテット)を知っている人も知らない人も、今一度知識を入れておくべきです。
さっそく危険性や感染経路、対策方法を見ていきましょう!
最恐のマルウェア「EMOTET(エモテット)」とは
以前は銀行の認証情報を盗むバンキングマルウェアとして活動していましたが、今では他のマルウェアの感染・拡散を行うマルウェアに進化しました。
時代に合わせて形を変える、恐ろしいマルウェアなのです。
感染したPCから個人情報を搾取し、メールを使ってウイルスをばら撒きます。
ターゲットに向けて偽メールを送る「標的型攻撃」に似ていますが、それよりもウイルスだと分かり辛いのが特徴です。
感染拡大の推移
下のグラフは、「2020年7月から9月の間でエモテットに感染した可能性のある国内ドメインのメールアドレスの数」を表したものです。
出典元:「JPCERT CC」
見て分かるように、7月はそこまで多くなかったものの、9月に入って一気に増加していることが分かります。
つまり、今国内のメールアドレスは危険に晒されており、いつ誰が感染してもおかしくないのです…!
巧妙すぎる感染経路
感染したPCからやり取りのある個人や会社の情報を搾取し、相手に成りすましてメールを送り、ワードファイルを開かせウイルスに感染させます。
ワードファイルを開くと、普通は何か書かれたページが表示されると思います。
しかし、EMOTET(エモテット)の場合、文章が表示されるのではなく、下記画像のように「コンテンツの有効化」というメッセージが出てくるだけです。
有効化してしまうとウイルスに感染してしまうので、ワードファイルを押してこの画面が出てきたらすぐに画面を閉じてください。
セキュリティソフトを入れている場合は、セキュリティ会社に問い合わせて相談することをおススメします。
メールの文章も不審な点はなく、相手とのやり取りの隙間を縫ってメールを送ってくるので、気づかず開いてしまう人が多いようです。
脈絡のない文面や身に覚えのないファイルが添付されていたら警戒するようにしてください。
- いつもお世話になっております。請求書をお送り致しますので確認お願いします。(2019年11月末発生)
- 早速お返事いただきありがとうございます。以上よろしくお願いいたします。
- 支援機能は添付ファイルからご確認お願い致します。
- おはようございます。本件には触れていませんが、以上よろしくお願いいたします。
- おはようございます。約款について送らせていただきます。取り急ぎご連絡いたします。
- 謄本及び公図をお送りします。どうぞよろしくお願い申し上げます。
このようなメール文章が突然送られてきて、かつ何かしらのファイルが添付されていたら要注意です!
過去のやり取りを見返して、おかしな点がないか確認したり、ウイルススキャンを行った方がいいでしょう。
感染したら終わり?EMOTET(エモテット)の危険性
EMOTET(エモテット)に感染すると、どのような被害にあうのでしょう。
ここでEMOTET(エモテット)の恐ろしさを認識しておきましょう!
PC内の情報が盗まれる
EMOTET(エモテット)はメールで拡散するウイルスなので、感染するとパソコン内のメールソフトの設定情報や過去のメール内容を窃取し、標的攻撃を開始します。
この時点で社外に拡散する恐れがあるので、取引先すべてに注意喚起する必要が発生します。
トロイの木馬やランサムウェアに感染する
EMOTET(エモテット)は、本体が強力なマルウェアというよりも、強力なウイルスを拡散するプラットフォームになっています。
そのため、感染したPC内にトロイの木馬を感染させて機密情報を盗み取ったり、ワイパー型マルウェアを感染させてファイルやデータを破壊し、情報窃取の痕跡の削除を行ったりします。
端末が満足に使えなくなり、復旧している間に感染を拡大させます。
社内の端末に伝染する
EMOTET(エモテット)は増殖するワーム機能を備えており、感染したPCと同じネットワークを使っている他の端末に侵入します。
そのため、組織内で1台でも感染したら、知らぬ間に他のパソコンも感染する可能性は極めて高いです。
社外に拡散させる
Outlookのメール情報を利用して、社外にウイルス付きファイルをばら撒きます。
そのため、気づかないうちに被害を広げてしまうのです。
ウイルスを拡散してしまうと取引先からの信頼もなくなってしまうので、企業としては避けたい事態ですよね。
実際の被害事例
EMOTET(エモテット)の被害事例にはどのようなものがあるのでしょう。
自分が被害に遭わないために、実際送られてきた攻撃メールを確認しておきましょう。
首都大学東京
2019年11月、実在する雑誌社を装ったメールからエモテットに感染。
それが原因で18,000件越えのメール情報が流出してしまったそうです。
URLリンクの攻撃メール
2019年12月に、日本語のメール本文の中にURLが仕込まれているEMOTET(エモテット)の攻撃メールが確認されました。
出典元:情報処理推進機構
このURLをクリックすると、外部サイトに掲載された不正ファイルがダウンロードされてしまいます。
この不正ファイルは今までと同様に悪意のあるワードファイルであることが分かっています。
新型コロナウイルス関連の攻撃メール
2020年1月末に確認された攻撃メールで、件名と本文を変化させながら定期的にばら撒かれているようです。
今までと同様ワードファイルが添付されています。
出典元:情報処理推進機構
文章が本物のような攻撃メール
2020年9月に確認された攻撃メールは、文章だけでは判断できないほど巧妙に作られていたようです。
ウイルスメールは基本的に文章がおかしかったりしたのですが、EMOTET(エモテット)の攻撃メールは年月が経つにつれ見た目だけでは判断がつかなくなってしまいました。
出典元:情報処理推進機構
このメールも、ワードファイルを開かせるという手口は一緒ですが、「協力会社各位」という内容で如何にもありそうな文章を送ってきています。
出典元:lanscope
こちらは、「会議開催通知」という名目でWordファイルを送ってきています。
こちらもエモテットを知らなければなんの迷いもなく開いてしまいそうな内容です…!
メール文だけでは判断できないので、最終的に判断するのは「ワードファイルが付いているか」の部分しかなくなってきているのです。
パスワード付きzipファイルの攻撃メール
2020年9月にzipファイル付き攻撃メールも確認されました。
こちらはパスワードが本文に書かれており、如何にも重要なファイルであると思わせる手口のようです。
出典元:情報処理推進機構
パスワード付きであることから、メール配送経路上でのセキュリティ製品の検知・検疫をすり抜ける確率が高いため、注意が必要です。
Zipファイルの中は今までと同様にワードファイルが仕込まれているようです。
Zipファイルが送られてきたとしても、身に覚えがない場合は絶対に開こうとしないでくださいね!
パスワード付きzipファイルのセキュリティリスクもぜひ確認しておいてください!!
年末行事に合わせた攻撃メール
2020年12月21日から、年末行事に合わせたような攻撃メールも出現したようです。
出典元:情報処理推進機構
「メリークリスマス」という言葉を入れることで、季節感を出して本物のメールのように装っています。
「メリークリスマス」なんていうタイトルのWordが添付されているのはさすがに不自然な気がしますが…。
このように、今後は季節に合わせた攻撃を行ってくる可能性があります。
スマホからもEMOTET(エモテット)に感染するの?
今のところスマホから感染したというケースは確認されていないようです。
しかし、100%安全とは言えないでしょう。
あなたのメールアドレス情報が漏れた場合、大手ECサイトやグーグルなど、有名な会社に成りすましてファイル付きメールを送ってくる可能性は十分あります。
スマホに送られてきたファイルも不用意に開かないようにしてください。
どういう対策が望ましい?
ここまで、EMOTET(エモテット)の恐ろしさと巧妙さについて解説してきました。
では、どのような対策ができるのでしょうか。
感染前の対策と、感染後の対策をご紹介します。
感染を防ぐために…
感染防止のため、会社ができることは以下の5つです。
- 社内への周知と注意喚起
- 「Wordマクロの自動実行」の無効化 (やり方は下記参照)
- セキュリティ更新の集中管理
- セキュリティパッチの適用
- 定期的にデータのバックアップを行う
- マルウェア付きメール検知ができるセキュリティソフトの導入
これらを全て行っていれば、EMOTET(エモテット)に感染する可能性をかなり下げることができます。
セキュリティパッチとは、OSのセキュリティ上の弱体性を修正するためのもので、定期的に配布されます。
セキュリティパッチの更新を怠っていると弱体性をつかれてEMOTET(エモテット)だけでなく様々なウイルスに感染しやすくなってしまうのでちゃんと更新を行いましょう。
また、定期的にバックアップを行うで万が一ウイルスに感染しても感染前の状態に戻すことができ、安心感も増すのでおススメです。
★Wordマクロの自動実行を無効化する方法
➀Wordを開き、ホームの横にある「ファイル」をクリック
➁左下の「オプション」をクリック
➂「セキュリティセンター」または「トラストセンター」をクリックし、その中の「トラスト(セキュリティ)センターの設定」をクリック
➃左のタブの中から「マクロの設定」を選んで「警告を表示してすべてのマクロを無効にする」をクリックし、OKを押して設定完了。
これをすることで、誤ってマクロを実行してしまうリスクを減らすことができます。
簡単な設定なので、時間がある時に設定してみてください!
おすすめのセキュリティソフトについては下の記事「おすすめのセキュリティソフト「EX AntiMalware v7 USAV Ⅲ」で紹介しているので見てくださいね♪
もし感染してしまったら…!?
もしもマクロを実行してしまい、ウイルスに感染したら次にどういう行動をとればいいのか知っておきたいですよね。
その後の対応の速さで漏洩するメール情報やばら撒かれるウイルスメールの数も抑えることができるでしょう!
1、被害状況の確認・周知
どの情報が漏洩しているか、被害状態を把握して取引のある会社全てにウイルスメールの注意喚起を行いましょう。
しかし、EMOTET(エモテット)がパソコン内部のデータを破壊するウイルスも同時感染させていたら感染状況が把握できない可能性があるので、早急な対応が必要です。
2、感染アカウントのパスワード変更
感染したPCで使っていたメールアドレスが悪用される可能性が高いので、メールアドレスのパスワードを変更するか、そのアカウントは消して新しく作り直しましょう。
3、社内PCのウイルススキャン
EMOTET(エモテット)は同じネットワークを使っているPCにも感染するので、社内全てのPCでウイルススキャンを行い、直ちに取り除く必要があります。
4、初期化
上記を行っても情報漏洩が止められない場合や様々なウイルスに感染してしまった場合は、感染したPCを初期化(リカバリ)するしかありません。
初期化は、パソコンに付属しているリカバリーディスクを使えば行うことができます。
データは消えてしまいますが、確実にウイルスを駆除できるのでそれ以上の感染拡大を止めることができます。
おすすめのセキュリティソフト「EX AntiMalware v7 USAV Ⅲ」
EMOTET(エモテット)から会社のパソコンを守るためにオススメなセキュリティソフト。
それは、フーバーブレインというセキュリティソフトを開発・提供している会社が出している「EX AntiMalware v7 USAV Ⅲ」です。
こちらは、EX AntiMalware v7 USAVシリーズの最新バージョンで、2020年5月に発売されました。
入り口を守るUTMと各PCにインストールするエンドポイントセキュリティが一緒になった商品で、世界最高水準のセキュリティ能力により外部からの攻撃だけでなく内部から外部への不信な通信も防ぐ多層防御型のセキュリティソフトになっています。
検知するファイルは主にパターンファイル(既知のウイルス情報を記録したファイル)と
ヒューリスティック(マルウェアの特徴的な動作の有無を調べる方法)の2つです。
「EX AntiMalware v7 USAV Ⅰ、Ⅱ」との違いは、
- ソフト導入後、PCが重くなる事象の解消
- 動的ヒューリスティックも検知
の2つです。
ソフト導入後、PCが重くなる事象の解消
以前まではセキュリティソフトを入れるとパソコンの動きが重くなる事象が起きており、それを不便に感じている方も多くいました。
しかし、EX AntiMalware v7 USAV Ⅲでは「este」という一番軽いセキュリティソフトと同等の軽量さを実現したそうです。
そのため、ソフトを入れても以前のように動作が重くならなくなりました。
動的ヒューリスティックも検知
以前は静的ヒューリスティック検知機能しかありませんでしたが、動的ヒューリスティック検知機能も搭載されたようです。
★ヒューリスティックとは?
ヒューリスティックとは、上記でも触れたようにウイルスのような動きをするものに注目し、ウイルスかどうかを判断する手法で、未知のウイルスにも対応できます。
【静的ヒューリスティック検知】
怪しいプログラムを実際に動作させるわけではなく、プログラムに記述されている「動作」を読み取りウイルスかどうか判断する検知方法
【動的ヒューリスティック】
安全な環境で実際にプログラムを動作させて、その動きをみてウイルスかどうか判断する検知方法
搭載されているUTMセキュリティ機能一覧
どんなセキュリティ機能があるのか見ていきましょう。
| ファイアウォール | 外部からの悪意ある通信をブロック |
| IPS(不正侵入防止) | OSの弱体性に対して行われる不正アクセスや攻撃を検知して遮断
MicrosoftとAdobe製品の弱体性への対応実績は業界№1! |
| アンチウイルス | マルウェア等の悪意ある不正プログラムの感染を防止。450万件以上のマルウェアと30万件以上の不正サイトを検出している。 |
| アンチスパム | 悪意あるメールを判定し、注意喚起またはブロック。
リアルタイム検出と検索エンジンの自動アップデートにより、新たに発生したスパムメールにも即座に対応 |
| URLフィルタリング | インターネット上の悪意あるウェブサイトへのアクセス制限
また、業務に関係のないサイトへのアクセス管理・制限も可能 |
| アプリケーションコントロール | 業務関係のないアプリケーションを識別し、その利用を禁止または制限する
対応アプリケーション数は業界№1 |
| アンチボット | ボットウイルス※に感染したPCと外部の通信を検知・遮断
※感染したコンピューターをネットワークを通じて外部から操るウイルス |
| サンドボックス | ダウンロードしたファイルの検知を行い、安全性を判断する機能
不審なファイルを発見したら、直ちに仮想サンドボックス内でファイルを分析し、マルウェアのネットワークへの侵入を阻止! |
EMOTET(エモテット)検知事例
1:コンテンツの有効化前に検知、警告
フーバーブレインのセキュリティソフトを導入していた会社で、EMOTET(エモテット)と思われるメールが届き、Wordを開いてしまいました。
しかし、コンテンツの有効化をする前に「ウイルスを検知しました」という表示が出て、感染を防止することができたようです。
2:コンテンツの有効化後も検知、駆除
こちらは、同じようにワードファイル付きのメールを開いてしまい、コンテンツの有効化をしてしまった例です。
コンテンツの有効化をしてしまうとウイルスが入ってきてしまうのですが、ヒューリスティック検知機能によりウイルスをしっかり検知し駆除することができたそうです。
コンテンツの有効化(マクロの実行)後に検知・駆除をしても、そのPCから完全にウイルスを取り除けるとは限りません。
完全にウイルスを消すには初期化するしかないので、感染前に防ぐことがもっとも大事なのです。
また、セキュリティソフトが最新のものであっても、バージョン更新していないと感染する確率は上がります。
更新通知が来ていないか、定期的に確認してくださいね!
まとめ
最恐のウイルス、EMOTET(エモテット)について、おすすめのセキュリティソフトについてお話しました。
今回の内容を簡単にまとめると、以下のようになります。
- EMOTET(エモテット)はメールに添付されているワードファイルから感染する
- ワードファイルだけでなく、URLやパスワード付きzipファイルの場合もある
- 感染すると、社内、社外関係なく被害に遭う
- 「EX AntiMalware v7 USAV Ⅲ」がおすすめ
EMOTET(エモテット)は、一度感染すると内部を破壊し情報を盗み取引会社にも被害を出す恐ろしいウイルスです。
個人で気を付けて開かないようにするのは簡単そうでありながらすごく難しいことです。
さらに、EMOTET(エモテット)のメールは本物と見分けがつきにくいので気を付けることは難しいです。
そのため、メールの検知もしてくれるセキュリティソフトを導入することが重要になるのです。
オフィ助では、EX AntiMalware v7 USAV Ⅲを取り扱っています。
価格や特徴など詳しく聞きたい!という場合はお気軽にご連絡ください♪
メールでも電話でも、お問い合わせお待ちしております。
コメント