2022年秋、サイバー攻撃”エモテット”が攻撃再開―どんな攻撃なの？対策方法は？

2022年も11月末に差し掛かり、今年もあと1ヶ月と少しというところで、残念なニュースが広がっています。

それは、”メールを媒介としたサイバー攻撃”Emotet”が再び勢いを取り戻している”というもの。

今年7月ごろから終息したかと思われていた”Emotet”(エモテット)。しかし、再びその攻勢を強め始めた今、正しくエモテットのことを理解し、対策を行うことが重要です。

この記事では、エモテットとはどのようなものなのか、その歴史や対策方法について分かりやすく解説いたします。

エモテットとは

“Emotet”(エモテット)とは、マルウェア(攻撃プログラム)の一種です。

メールを媒介としてパソコンに届き、メールに記載されているURLや添付ファイルを開くことで感染します。

感染の拡大力が飛び抜けて高く、世界的に警戒されています。

そんなエモテットには、大きな特徴が2つあります。

1つは先述の通り“感染が拡大しやすいこと”、もう一つは“他のマルウェアを呼び込むこと”です。

エモテットは感染が拡大しやすい

エモテットは、メールを使ってパソコンに入り込みます。しかし、よくある不審なメールと異なるところが、“送信元のメールアドレスや名前が見知った人である”こと。

一昔前は｢宝くじに当選しました！｣とか、｢今だけのオファー！｣みたいな迷惑メールがよくありました。また、最近ではAmazonや宅配業者になりすましてリンクを開かせる悪質なメールが多くありますよね。

しかし、エモテットは”取引先などの自分とやり取りした相手から”メールが届きます。その上、文面も業務で使われるような自然な文体になっています。ですから、｢不審なメールが来ても、送信元や文面を確認すれば見破れる｣という、今までの常識が通用しないのです。

では、どうして送信元が偽装できるメールが送られてくるのでしょうか？

それは、“エモテットに感染したパソコンがメールを送っているから”。エモテットは侵入したパソコンから連絡先を盗み出し、その連絡先へメールを送るのです。

エモテットの感染が拡大しやすい要因は、”メールが偽物だと見抜きづらく、感染したパソコンがさらにメールを拡散するから”なのです。

エモテットは他のマルウェアを呼び込む

エモテットの2つ目の特徴は、エモテット自身は目立った攻撃を行わないことです。

サイバー攻撃というと、”データの削除や窃盗”、”サーバーや機器を破壊”などを真っ先に想像しますよね。しかし、エモテットは”直接的には”こうした攻撃は行いません。

では何をするのかというと、“攻撃を行うプログラムを、感染したパソコンへ呼び込む”のです。

｢なぜそんな回りくどい方法を？｣とお思いの方もいるでしょう。しかし、ここがエモテットのずる賢いポイント。

エモテットはあくまで”インターネットからソフトをダウンロードするだけ”のプログラムですから、ウィルス対策ソフトなどは｢悪いプログラムではない｣と勘違いしてしまうのです。そのため発見が遅れやすく、気がついたときには手遅れ･･･なんてことになりやすいのです。

また、エモテットを使う攻撃者たちは、“不正侵入しやすいパソコン”の情報を他のサイバー攻撃者へ販売しています。エモテットに感染したパソコンは簡単に不正侵入できてしまいます。そこで、データや口座情報の窃盗などの直接的な攻撃を行うサイバー攻撃者へ、｢ここなら簡単に入れますよ｣と情報を販売して収益を得ているのです。

“自分では直接手を下さず、感染しやすいパソコンへ変貌させる”やり口が、エモテットの最大の特徴なのです。

エモテットの歴史

エモテットは今から8年前の、2014年頃に発見されました。

当初は個人のネット銀行のアクセス情報を盗み出すソフトでしたが、2017年からは”感染したパソコンに様々なマルウェア(攻撃プログラム)を呼び込む”機能に変貌。また、2018年からは個人だけでなく法人も標的として狙うようになり、2019年には世界中へ影響を広げました。

エモテットの被害は凄まじく、アメリカの”国土安全保障省”や、欧州の”欧州刑事警察機構”といった世界中の機関が警告を行うほど。

その後、2021年1月に欧米8カ国の機関が協力し、なんとかエモテットの拠点を解体することに成功しました。このまま終息するかと思われていましたが･･･

2021年11月から再び活動が再開。再び勢いを取り戻したエモテットは日本国内でも暴れ、特に2022年の3月から爆発的に拡散しました。IPA（日本情報処理推進機構）によると、『2022年3月1日～8日までのわずか8日間で、エモテットに関する相談が”323件”もあった』^出典1とのこと。

こうして急激に国内で活発化したエモテットでしたが、徐々に攻撃を弱めていき、7月半ばに入ると活動が観測されなくなりました。

そして現在、2022年11月。またしてもエモテットが攻撃を再開したのです。

エモテットの対策方法

前述の通り、エモテットは直接的な攻撃を行わないプログラムの為、ウィルス対策ソフトなどでは対策が難しくなっています。では、どのような対策を行えば良いのでしょうか?

メールの添付ファイルやURLを開かない

最も基本的な対策です。エモテットは取引先や知り合いになりすましてメールを送るため、知っている連絡先からのメールであっても、添付ファイルやURLは開かないようにしましょう。

普段の業務で添付ファイルを使う人など、｢開かない訳にはいかない・・・｣という人は、予めファイルのやり取りをする旨をメール以外で連絡したり、ファイルを開く前にウィルス対策ソフトでスキャンする、マクロの実行を求められたら許可しない、などの最低限の対策を行いましょう。

OSやオフィス製品のアップデート

パソコンやソフトのアップデートは、”ウィルスが侵入する穴”を塞ぐ為の工事のようなもの。アップデートを放置してしまえば、穴からウィルスが侵入してくる可能性が非常に高くなってしまいます。

ウィンドウズのアップデートはもちろん、ExcelやWordなどのソフトもアップデートは欠かさずに行いましょう。

定期的なバックアップ

もしエモテットに侵入された場合、そのパソコンを初期化しなくてはなりません。また、エモテットが呼び込んだ攻撃プログラムが、パソコンの中のデータを削除してしまう可能性もあります。こうした状況のために、定期的にパソコンの中のファイルはバックアップを行い、紛失しても復旧できるようにしましょう。

従業員への注意喚起

経営者様やセキュリティ担当者様が対策方法を知っていても、従業員の方々が対策方法を知らなかったり、徹底していなければ意味がありません。定期的に従業員へ注意喚起を行い、対策を徹底して行うように周知を行いましょう。

セキュリティ機器の導入

一部のUTMや、メールのセキュリティに特化したソフトウェア、”ゼロトラスト”セキュリティなどは、エモテットを防ぐことが可能です。

しかし、zipファイルとして圧縮されていると検出が出来ない場合があったり、”ゼロトラスト”では大掛かりすぎて業務が煩雑になる可能性も。

また、エモテットの対策のためだけに機器を導入するとコストが掛かりすぎてしまいます。いきなり機器を導入せず、まずは対策したい脅威や守りたい環境を調査し、適切な機器を選択することが重要です。

もしかかってしまったら

エモテットに感染してしまった場合、感染したそのパソコンはもちろん、事務所内の他のパソコンや機器、メールの連絡先などに被害が拡散されてしまいます。感染に気づいたら、すぐに下記の行動を行いましょう。

• 感染したパソコンをネットワークから隔離
• 感染したパソコンの初期化
• Outlookなどメールアカウントのパスワード変更
• 事務所や拠点内の、他のパソコンや機器のウィルスチェック
• 感染したパソコンの連絡先に注意喚起

まとめ

2022年11月から活動を再開させたエモテット。特に日本の企業組織においては”サプライチェーン”が悪用されやすく、エモテットが拡散しやすい環境にあります。対策方法を正しく知った上で、適切に対応していきたいですね。

なお、弊社の総合セキュリティサービス”アイ・セキュア”では、現状の調査から機器の選定、工事･設定から保守サポートまで、サイバーセキュリティの全てを一貫してお任せいただけます。もちろんエモテットの対策も承っておりますので、事務所のセキュリティ対策にお悩みの方は、こちらのフォームよりお気軽にお問い合わせ下さいませ。

出典・関連リンク

出典1：IPA（日本情報処理推進機構）”Emotet（エモテット）と呼ばれるウイルスへの感染を狙うメールについて“