Emotetに感染後どうなる?
対策と特徴を解説
2023/03/20 
2024/01/11 
まず「Emotet」とは?
「Emotet(エモテット)」とは、マルウェア(一般的にウイルスのこと)の1種です。2019年ごろから急激に猛威をふるい、今現在も被害が拡大しています。現実の病気であるコロナウイルスのように、非常に強い感染力と拡散力で組織の規模に関係なく不特定多数に感染が拡大しました。市販の個人向けモデルのようなセキュリティソフトウェアやアンチウイルスソフトウェアをすり抜けてしまうので対策が難しいとされています。実際に「Emotet」自体がPCを壊したり、データを暗号化したりはしないのでインパクトは弱く見えますが、情報を盗み取り、大きな被害を与えるランサムウェアやサイバー攻撃の通り道を作るので、実際は危険なウイルスであることに間違いありません。このページでは具体的な被害事例や対策、仕組みなどをご紹介します。
「Emotet」が日本国内でどれだけ感染拡散しているのか
全世界で感染が拡大している「Emotet」ですが、日本国内でだけで、「約4万台以上」の機器への感染があったと言われています。これは「アメリカの約20倍」の数値で、他国に比べて日本がどれだけ狙われているかが分かります。2022年8月以降から「Emotet」の活動が休止したとされましたが、2023年になってまた「Emotet」感染被害が出始めていています。
「Emotet」は誰がなぜ作り、なぜ拡散した?
「Emotet」は2014年に初めて確認されました。最恐のマルウェア「Emotet」の作者は明確には発表されていませんがウクライナから発生したことが確認されています。2021年にウクライナの拠点を差し押さえたと報道されていて、そこから一時的に被害が減少しました。
感染するとどうなる?「Emotet」の仕組み
基本的にメールを経由して感染するマルウェアで、見た目だけでは感染メールか判断できないところから、多くの人が感染した添付データを開いてしまい、拡散が広がってしまいました。この「Emotet」はどのように感染するのか、そしてどのように拡散するのかをご説明します。
図のように一度感染してしまうと感染メールを自動で送信する踏み台にされてしまい、不特定多数のアドレスに感染したメールをばら撒いてしまいます。場合によっては自分が感染していることに気づかず、取引先などの関係者に指摘されて初めて発覚するケースもあります。
「Emotet」感染メールの見分け方は?
感染したメールと通常のメールの見分けがつかなくて感染するケースが多い「Emotet」。実際の感染メールが通常のメールと何が違うのか、画像と一緒にご説明します。
実際見てみるとほとんど見分けがつきません。取引先のメールアドレスからいつものやり取りと同じ内容で感染メールが来たらつい開いてしまいそうですね。件名や文章はそっくりですが、比較すると感染したメールには添付ファイル(主にExcelファイルやWordファイル)が圧縮された状態で必ず添付されています。この添付ファイルを開いてしまうとプログラムが起動し、PCが感染してしまいます。怪しい添付ファイルは開かないのが1番の対策かもしれませんね。
他のウイルスと比較して危険度は?
「Emotet」と一般的なランサムウェアを比較すると、目的や攻撃する手法が違うので「どっちが危険か」という話をすると「どっちも危険」になるでしょう。それぞれに特徴があるので簡単に図で比較してみましょう。
| Emotet | CryptoLocker | |
| 感染拡散力 | 高 | 中 |
| PCへの直接的な被害 | 感染するが特になし | PC内のデータを暗号化 |
| 主な目的 | 情報の窃取、さらに悪用 | 身代金の要求 |
| 自己増殖 | 可能 | 不可 |
比較してみると「Emotet」自体はPCに直接的に被害を与えないのでインパクトとしては、暗号化を目的としたランサムウェアの方が強いですね。ただ情報を盗み取り、さらに危険なランサムウェアやマルウェアの通り道を作ってしまうので「Emotet」自体もかなり危険といえます。
「Emotet」に感染した被害事例
「Emotet」は組織の規模に関係なくさまざまなところで猛威を振るっています。実際に被害があった事例をいくつかご紹介します。
| リコーリース株式会社 | 従業員のPCが「Emotet」に感染。その後、第三者が従業員を装い不審なメールを発信していたことが確認された。 |
| 東芝ライフスタイル株式会社 | グループ会社のPCが「Emotet」に感染。グループ会社の従業員を名乗る不審なメールが発信されているのが確認された。 |
| 首都大学東京 | 教員のPCが「Emotet」に感染してしまい、PC内に保存されていたメールアドレスの一部が盗み取られました。その後、第三者からの不審なメールの発信が確認されています。 |
組織の規模に関係なく感染は拡大していることがわかります。自社のグループ会社や取引先から感染してしまうケースが多いようです。
「Emotet」に感染した時の対処法
つぎに「Emotet」に感染した場合の対処法について紹介します。
感染確認ツール「Emocheck」で実際に感染しているか診断
「Emocheck」とは、「Emotet」の感染有無を確認するためのツールです。インターネット上で無料で配布されていて、ダウンロードするだけで簡単に利用できるので、簡単にPC内に「Emotet」に該当する要素があるかないかを自動的に診断をしてくれます。注意点は、感染の有無は診断できるのですが、駆除作業まではできないというところです。あくまで診断ツールなので、もし感染が見つかった場合は自分で該当のファイルを隔離・削除する必要があります。
関連ページ:警視庁サイバーセキュリティ対策本部
感染の疑いがある端末をネットワークから切り離す
「Emotet」は拡散型のマルウェアなので、同じネットワーク内に接続されている機器へも感染します。社内の他のPCから他のPCへ…と、キリがない状態になってしまうので感染の疑いがある場合や、感染の確認ができた場合は速やかに感染したPCのLANケーブルを抜くか、Wi-Fi接続であれば切断をしてネットワークから切り離してください。
メールアカウントのパスワードを変更する
「Emotet」は、感染したPCのメールソフト(Microsoft Outlookなど)に設定されているメールアカウントの情報を盗み取り、その情報を利用して第三者に感染したメールをばら撒きます。盗み取った情報の中にはメールを送信するためのパスワードも含まれます。このパスワードを再設定すれば「Emotet」側も盗み取った情報でメールを送信できなくなるため、第三者への感染メール拡散は止まります。
同じネットワーク内の端末に感染が広がっていないか調査する
感染したPCをネットワークから切り離した後、同じネットワーク内のPCなどに「Emotet」が拡散していないかの調査をしましょう。感染が確認できたPCをネットワークから切り離したとしても、その前に他のPCにも感染していたら被害は止まりません。全ての対処法に共通して言えることですが、迅速な対処をしなければ感染とのイタチごっこになってしまうので「迅速な対処と調査」をしましょう。
「Emotet」以外の他のマルウェア感染を確認する
冒頭でお伝えしましたが「Emotet」は他のマルウェアやサイバー攻撃に通り道を作ってしまうんです。なので「Emotet」を発見して駆除して終わり、では無くて他のマルウェア感染などの調査も合わせて行わなければ二次被害が大きくなります。手間やコストはかかりますが、ネットワーク内のPCを全てチェックしないと被害が拡大・再発してしまうので必ず感染の調査をしましょう。
「Emotet」を事前に予防する対策方法
「Emotet」は、従来のセキュリティ対策をスルスルと避けてきます。そこで昨今「ゼロトラストセキュリティ」などで注目を浴びているような「エンドポイント型セキュリティ」をご紹介します。
「Emotet」に対応できるおすすめエンドポイントセキュリティ製品
「Emotet」はとにかく最恐マルウェア…
「Emotet」の恐ろしさ、理解していただけましたでしょうか?「Emotet」のような巧妙かつ拡散力の強いマルウェアは、普段からPCやインターネットに馴染みの無い、インターネットリテラシーが低いような方は簡単に罠にかかってしまいます。感染してしまうと会社のメールアドレスで取引先などに感染メールをばら撒いてしまうことに…そうなると「セキュリティ対策してるの?そんなところに任せられないよ!」ということになり信頼を失ってしまうケースもあります。情報と信頼を守るために事前にセキュリティの見直しをして、感染の予防が必要です。社内での情報共有やルールづくりでも感染リスクを減らせるのでまずは、できることからやってみましょう!
