セキュリティお役立ち情報

再流行のEMOTET(エモテット)の最新情報!危険性と対策方法をご紹介します

2014年に発見され、2019年に知名度を上げたマルウェアの「EMOTET(エモテット)」。

2020年2月上旬以降は攻撃が観測されていませんでしたが、7月から再流行しているようです。

最新情報として、2020年7月~8月の2か月間でのEMOTET(エモテット)に関する問い合わせは34件でしたが、2020年9月1日から9月2日の午前中だけで問い合わせが23件もあったそうです。

被害が確実に広がっていることが分かります…。

これ以上の被害を抑えるために、EMOTET(エモテット)を知っている人も知らない人も、今一度知識を入れておくべきです。

さっそく危険性や感染経路、対策方法を見ていきましょう!

最恐のマルウェア「EMOTET(エモテット)」とは

以前は銀行の認証情報を盗むバンキングマルウェアとして活動していましたが、今では他のマルウェアの感染・拡散を行うマルウェアに進化しました。

時代に合わせて形を変える、恐ろしいマルウェアなのです。

感染したPCから個人情報を搾取し、メールを使ってウイルスをばら撒きます。

ターゲットに向けて偽メールを送る「標的型攻撃」に似ていますが、それよりもウイルスだと分かり辛いのが特徴です。

感染拡大の推移

下のグラフは、「2020年7月から9月の間でエモテットに感染した可能性のある国内ドメインのメールアドレスの数」を表したものです。

国内エモテット感染メアド数

出典元:「JPCERT CC」

見て分かるように、7月はそこまで多くなかったものの、9月に入って一気に増加していることが分かります。

つまり、今国内のメールアドレスは危険に晒されており、いつ誰が感染してもおかしくないのです…!

巧妙すぎる感染経路

感染したPCからやり取りのある個人や会社の情報を搾取し、相手に成りすましてメールを送り、ワードファイルを開かせウイルスに感染させます。

ワードファイルを開くと、普通は何か書かれたページが表示されると思います。

しかし、EMOTET(エモテット)の場合、文章が表示されるのではなく、下記画像のように「コンテンツの有効化」というメッセージが出てくるだけです。

エモテットのWord画面

有効化してしまうとウイルスに感染してしまうので、ワードファイルを押してこの画面が出てきたらすぐに画面を閉じてください。

セキュリティソフトを入れている場合は、セキュリティ会社に問い合わせて相談することをおススメします。

メールの文章も不審な点はなく、相手とのやり取りの隙間を縫ってメールを送ってくるので、気づかず開いてしまう人が多いようです。

脈絡のない文面や身に覚えのないファイルが添付されていたら警戒するようにしてください。

メール本文の例
  • いつもお世話になっております。請求書をお送り致しますので確認お願いします。(2019年11月末発生)
  • 早速お返事いただきありがとうございます。以上よろしくお願いいたします。
  • 支援機能は添付ファイルからご確認お願い致します。
  • おはようございます。本件には触れていませんが、以上よろしくお願いいたします。
  • おはようございます。約款について送らせていただきます。取り急ぎご連絡いたします。
  • 謄本及び公図をお送りします。どうぞよろしくお願い申し上げます。

このようなメール文章が突然送られてきて、かつ何かしらのファイルが添付されていたら要注意です!

過去のやり取りを見返して、おかしな点がないか確認したり、ウイルススキャンを行った方がいいでしょう。

感染したら終わり?EMOTET(エモテット)の危険性

EMOTET(エモテット)に感染すると、どのような被害にあうのでしょう。

ここでEMOTET(エモテット)の恐ろしさを認識しておきましょう!

PC内の情報が盗まれる

EMOTET(エモテット)はメールで拡散するウイルスなので、感染するとパソコン内のメールソフトの設定情報や過去のメール内容を窃取し、標的攻撃を開始します。

この時点で社外に拡散する恐れがあるので、取引先すべてに注意喚起する必要が発生します。

トロイの木馬やランサムウェアに感染する

EMOTET(エモテット)は、本体が強力なマルウェアというよりも、強力なウイルスを拡散するプラットフォームになっています。

そのため、感染したPC内にトロイの木馬を感染させて機密情報を盗み取ったり、ワイパー型マルウェアを感染させてファイルやデータを破壊し、情報窃取の痕跡の削除を行ったりします。

端末が満足に使えなくなり、復旧している間に感染を拡大させます。

社内の端末に伝染する

EMOTET(エモテット)は増殖するワーム機能を備えており、感染したPCと同じネットワークを使っている他の端末に侵入します。

そのため、組織内で1台でも感染したら、知らぬ間に他のパソコンも感染する可能性は極めて高いです。

社外に拡散させる

Outlookのメール情報を利用して、社外にウイルス付きファイルをばら撒きます。

そのため、気づかないうちに被害を広げてしまうのです。

ウイルスを拡散してしまうと取引先からの信頼もなくなってしまうので、企業としては避けたい事態ですよね。

実際の被害事例

EMOTET(エモテット)の被害事例にはどのようなものがあるのでしょう。

自分が被害に遭わないために、実際送られてきた攻撃メールを確認しておきましょう。

首都大学東京

2019年11月、実在する雑誌社を装ったメールからエモテットに感染。

それが原因で18,000件越えのメール情報が流出してしまったそうです。

URLリンクの攻撃メール

2019年12月に、日本語のメール本文の中にURLが仕込まれているEMOTET(エモテット)の攻撃メールが確認されました。

エモテットの事例:URL付きメール

出典元:情報処理推進機構

このURLをクリックすると、外部サイトに掲載された不正ファイルがダウンロードされてしまいます。

この不正ファイルは今までと同様に悪意のあるワードファイルであることが分かっています。

新型コロナウイルス関連の攻撃メール

2020年1月末に確認された攻撃メールで、件名と本文を変化させながら定期的にばら撒かれているようです。

今までと同様ワードファイルが添付されています。

エモテット事例:コロナ関連メール

出典元:情報処理推進機構

文章が本物のような攻撃メール

2020年9月に確認された攻撃メールは、文章だけでは判断できないほど巧妙に作られていたようです。

ウイルスメールは基本的に文章がおかしかったりしたのですが、EMOTET(エモテット)の攻撃メールは年月が経つにつれ見た目だけでは判断がつかなくなってしまいました。

エモテット事例:本物のような文章メール

出典元:情報処理推進機構

このメールも、ワードファイルを開かせるという手口は一緒ですが、「協力会社各位」という内容で如何にもありそうな文章を送ってきています。

出典元:lanscope

こちらは、「会議開催通知」という名目でWordファイルを送ってきています。

こちらもエモテットを知らなければなんの迷いもなく開いてしまいそうな内容です…!

メール文だけでは判断できないので、最終的に判断するのは「ワードファイルが付いているか」の部分しかなくなってきているのです。

パスワード付きzipファイルの攻撃メール

2020年9月にzipファイル付き攻撃メールも確認されました。

こちらはパスワードが本文に書かれており、如何にも重要なファイルであると思わせる手口のようです。

エモテット事例:zipファイル付きメール

出典元:情報処理推進機構

パスワード付きであることから、メール配送経路上でのセキュリティ製品の検知・検疫をすり抜ける確率が高いため、注意が必要です。

Zipファイルの中は今までと同様にワードファイルが仕込まれているようです。

Zipファイルが送られてきたとしても、身に覚えがない場合は絶対に開こうとしないでくださいね!

画像出典元:情報処理推進機構

スマホからもEMOTET(エモテット)に感染するの?

今のところスマホから感染したというケースは確認されていないようです。

しかし、100%安全とは言えないでしょう。

あなたのメールアドレス情報が漏れた場合、大手ECサイトやグーグルなど、有名な会社に成りすましてファイル付きメールを送ってくる可能性は十分あります。

スマホに送られてきたファイルも不用意に開かないようにしてください。

どういう対策が望ましい?

ここまで、EMOTET(エモテット)の恐ろしさと巧妙さについて解説してきました。

では、どのような対策ができるのでしょうか。

感染前の対策と、感染後の対策をご紹介します。

感染を防ぐために…

感染防止のため、会社ができることは以下の5つです。

  • 社内への周知と注意喚起
  • 「Wordマクロの自動実行」の無効化 (やり方は下記参照)
  • セキュリティ更新の集中管理
  • セキュリティパッチの適用
  • 定期的にデータのバックアップを行う
  • マルウェア付きメール検知ができるセキュリティソフトの導入

これらを全て行っていれば、EMOTET(エモテット)に感染する可能性をかなり下げることができます。

セキュリティパッチとは、OSのセキュリティ上の弱体性を修正するためのもので、定期的に配布されます。

セキュリティパッチの更新を怠っていると弱体性をつかれてEMOTET(エモテット)だけでなく様々なウイルスに感染しやすくなってしまうのでちゃんと更新を行いましょう。

また、定期的にバックアップを行うで万が一ウイルスに感染しても感染前の状態に戻すことができ、安心感も増すのでおススメです。

★Wordマクロの自動実行を無効化する方法

➀Wordを開き、ホームの横にある「ファイル」をクリック

Wordの編集画面

➁左下の「オプション」をクリック

Wordの「ファイル」画面

➂「セキュリティセンター」または「トラストセンター」をクリックし、その中の「トラスト(セキュリティ)センターの設定」をクリック

Wordのオプション画面

➃左のタブの中から「マクロの設定」を選んで「警告を表示してすべてのマクロを無効にする」をクリックし、OKを押して設定完了。

トラストセンターのマクロ設定画面

これをすることで、誤ってマクロを実行してしまうリスクを減らすことができます。

簡単な設定なので、時間がある時に設定してみてください!

 

おすすめのセキュリティソフトについては下の記事「おすすめのセキュリティソフト「EX AntiMalware v7 USAV Ⅲ」で紹介しているので見てくださいね♪

もし感染してしまったら…!?

もしもマクロを実行してしまい、ウイルスに感染したら次にどういう行動をとればいいのか知っておきたいですよね。

その後の対応の速さで漏洩するメール情報やばら撒かれるウイルスメールの数も抑えることができるでしょう!

1、被害状況の確認・周知

どの情報が漏洩しているか、被害状態を把握して取引のある会社全てにウイルスメールの注意喚起を行いましょう。

しかし、EMOTET(エモテット)がパソコン内部のデータを破壊するウイルスも同時感染させていたら感染状況が把握できない可能性があるので、早急な対応が必要です。

2、感染アカウントのパスワード変更

感染したPCで使っていたメールアドレスが悪用される可能性が高いので、メールアドレスのパスワードを変更するか、そのアカウントは消して新しく作り直しましょう。

3、社内PCのウイルススキャン

EMOTET(エモテット)は同じネットワークを使っているPCにも感染するので、社内全てのPCでウイルススキャンを行い、直ちに取り除く必要があります。

4、初期化

上記を行っても情報漏洩が止められない場合や様々なウイルスに感染してしまった場合は、感染したPCを初期化(リカバリ)するしかありません。

初期化は、パソコンに付属しているリカバリーディスクを使えば行うことができます。

データは消えてしまいますが、確実にウイルスを駆除できるのでそれ以上の感染拡大を止めることができます。

おすすめのセキュリティソフト「EX AntiMalware v7 USAV Ⅲ」

EMOTET(エモテット)から会社のパソコンを守るためにオススメなセキュリティソフト。

それは、フーバーブレインというセキュリティソフトを開発・提供している会社が出している「EX AntiMalware v7 USAV Ⅲ」です。

こちらは、EX AntiMalware v7 USAVシリーズの最新バージョンで、2020年5月に発売されました。

入り口を守るUTMと各PCにインストールするエンドポイントセキュリティが一緒になった商品で、世界最高水準のセキュリティ能力により外部からの攻撃だけでなく内部から外部への不信な通信も防ぐ多層防御型のセキュリティソフトになっています。

検知するファイルは主にパターンファイル(既知のウイルス情報を記録したファイル)

           ヒューリスティック(マルウェアの特徴的な動作の有無を調べる方法)の2つです。

 

「EX AntiMalware v7 USAV Ⅰ、Ⅱ」との違いは、

  • ソフト導入後、PCが重くなる事象の解消
  • 動的ヒューリスティックも検知

の2つです。

ソフト導入後、PCが重くなる事象の解消

以前まではセキュリティソフトを入れるとパソコンの動きが重くなる事象が起きており、それを不便に感じている方も多くいました。

しかし、EX AntiMalware v7 USAV Ⅲでは「este」という一番軽いセキュリティソフトと同等の軽量さを実現したそうです。

そのため、ソフトを入れても以前のように動作が重くならなくなりました。

動的ヒューリスティックも検知

以前は静的ヒューリスティック検知機能しかありませんでしたが、動的ヒューリスティック検知機能も搭載されたようです。

★ヒューリスティックとは?

ヒューリスティックとは、上記でも触れたようにウイルスのような動きをするものに注目し、ウイルスかどうかを判断する手法で、未知のウイルスにも対応できます。

【静的ヒューリスティック検知】

怪しいプログラムを実際に動作させるわけではなく、プログラムに記述されている「動作」を読み取りウイルスかどうか判断する検知方法

【動的ヒューリスティック】

安全な環境で実際にプログラムを動作させて、その動きをみてウイルスかどうか判断する検知方法

搭載されているUTMセキュリティ機能一覧

どんなセキュリティ機能があるのか見ていきましょう。

ファイアウォール 外部からの悪意ある通信をブロック
IPS(不正侵入防止) OSの弱体性に対して行われる不正アクセスや攻撃を検知して遮断

MicrosoftとAdobe製品の弱体性への対応実績は業界№1!

アンチウイルス マルウェア等の悪意ある不正プログラムの感染を防止。450万件以上のマルウェアと30万件以上の不正サイトを検出している。
アンチスパム 悪意あるメールを判定し、注意喚起またはブロック。

リアルタイム検出と検索エンジンの自動アップデートにより、新たに発生したスパムメールにも即座に対応

URLフィルタリング インターネット上の悪意あるウェブサイトへのアクセス制限

また、業務に関係のないサイトへのアクセス管理・制限も可能

アプリケーションコントロール 業務関係のないアプリケーションを識別し、その利用を禁止または制限する

対応アプリケーション数は業界№1

アンチボット ボットウイルス※に感染したPCと外部の通信を検知・遮断

※感染したコンピューターをネットワークを通じて外部から操るウイルス

サンドボックス ダウンロードしたファイルの検知を行い、安全性を判断する機能

不審なファイルを発見したら、直ちに仮想サンドボックス内でファイルを分析し、マルウェアのネットワークへの侵入を阻止!

 

EMOTET(エモテット)検知事例

1:コンテンツの有効化前に検知、警告

フーバーブレインのセキュリティソフトを導入していた会社で、EMOTET(エモテット)と思われるメールが届き、Wordを開いてしまいました。

しかし、コンテンツの有効化をする前に「ウイルスを検知しました」という表示が出て、感染を防止することができたようです。

2:コンテンツの有効化後も検知、駆除

こちらは、同じようにワードファイル付きのメールを開いてしまい、コンテンツの有効化をしてしまった例です。

コンテンツの有効化をしてしまうとウイルスが入ってきてしまうのですが、ヒューリスティック検知機能によりウイルスをしっかり検知し駆除することができたそうです。

コンテンツの有効化(マクロの実行)後に検知・駆除をしても、そのPCから完全にウイルスを取り除けるとは限りません。

完全にウイルスを消すには初期化するしかないので、感染前に防ぐことがもっとも大事なのです。

また、セキュリティソフトが最新のものであっても、バージョン更新していないと感染する確率は上がります。

更新通知が来ていないか、定期的に確認してくださいね!

まとめ

最恐のウイルス、EMOTET(エモテット)について、おすすめのセキュリティソフトについてお話しました。

今回の内容を簡単にまとめると、以下のようになります。

ここがポイント
  • EMOTET(エモテット)はメールに添付されているワードファイルから感染する
  • ワードファイルだけでなく、URLやパスワード付きzipファイルの場合もある
  • 感染すると、社内、社外関係なく被害に遭う
  • 「EX AntiMalware v7 USAV Ⅲ」がおすすめ

 

EMOTET(エモテット)は、一度感染すると内部を破壊し情報を盗み取引会社にも被害を出す恐ろしいウイルスです。

個人で気を付けて開かないようにするのは簡単そうでありながらすごく難しいことです。

さらに、EMOTET(エモテット)のメールは本物と見分けがつきにくいので気を付けることは難しいです。

そのため、メールの検知もしてくれるセキュリティソフトを導入することが重要になるのです。

オフィ助では、EX AntiMalware v7 USAV Ⅲを取り扱っています。

価格や特徴など詳しく聞きたい!という場合はお気軽にご連絡ください

メールでも電話でも、お問い合わせお待ちしております。

 

コメント