解説記事:情報セキュリティ
最恐のマルウエア: “Emotet”
情報セキュリティグループ 槌谷祐一
Emotetは主にメールを感染ルートとして広まっているマルウエアです。Emotetに感染すると、メールソフトに登録されたメールアドレスが盗まれるほか、ランサムウエアなど他の悪意あるプログラムにも感染するといった被害を受けてしまいます。2019年から2020年にかけて、多くの組織や企業が被害を受けました。
その後一時は鎮静化していましたが、2022年以降再び悪質化して被害が拡大しています。流行を重ねるうちに新しい機能を備え、依然として注目警戒が必要なマルウエアです。参考情報は多数あり、要点をまとめました。
1) 感染拡大の経緯(Cybar Security. Com 2024年5月13日 記事)
- 2014年トロイの木馬型マルウエアとして発見された。ドイツ・オーストリアで銀行詐欺に利用された。
- 2019年10月ごろ 法人中心に感染被害報告
- 2020年9月から11月 日本国内で感染被害急増。2021年5月サイバー犯罪組織拠点制圧、鎮静化
- 2022年2月 最盛期と同規模まで感染被害再拡大。2022年4月 Officeがなくても感染する亜種登場
- 2022年6月「Google Chrome」に登録されているクレジットカード情報を盗む手口が確認される。
- 2023年3月 攻撃再開。大容量のZIPファイル、Microsoft OneNoteを利用した新しい手口が確認される。
2)感染経路
Emotetは一般的に「なりすましメール」に添付されたWord、Excelなど「Officeファイル」を開くことで感染します。もし、マクロの自動実行が有効化されていると、間髪を入れずEmotetに感染し、「パスワード」「クレジットカード情報」「顧客データ」など、いわゆる機密情報が漏えいしたり、それによって金銭的な損失につながったりする可能性があります。被害はこれだけで終わりません。たとえば、別のマルウェアをインストールさせられたり、スパムメールの踏み台として悪用されたりする可能性もあります。
3) Emotet動作解析結果(警察庁2022年6月9日)
警察庁の動作解析結果が報告されている。
【Emotetの解析結果について|警察庁Webサイト (npa.go.jp)】
4)事例を列挙すると
- メールソフトやブラウザに記録したパスワード等が窃取される。
- 過去にやり取りしたメールの本文、メールアドレス等が窃取される。
- 窃取されたメール関連の情報が悪用され、感染拡大を目的としたメールが送信される。
- ネットワーク内の他のパソコンに感染が拡大する。
- 他の不正プログラムに感染する(インターネットバンキングの情報の窃取を目的とした不正プログラム等)。その他、ランサムウエア等をインストールされる。
5)被害防止対策
- OSやソフトウエアを最新の状態に保つ。
- IDやパスワードを適切に管理すること。
- ウイルス対策ソフトを導入すること。
以上の基本的な対策に加え、次のような対策が必要である。
- 組織への注意喚起の実施
① 不審なメールだけでなく、自分が送信したメールへの返信に見えるメールであっても不自然な点があれば添付ファイルは開かない。
② マクロ実行機能の無効化
③ 不正通信ブロックサービス(EDR等)等の導入等
6)感染が疑われたら
- Emotetの感染の有無は、自分自身で確認することができる。JPCERTコーディネーションセンターのウェブサイトにEmotet専用の感染確認ツール「EmoCheck(エモチェック)」が公開されているので活用ください。 【Releases · JPCERTCC/EmoCheck (github.com)】
- Emotet感染の確認方法と対策(Youtube),マルウエアに関するFAQ:
【マルウエアEmotetへの対応FAQ – JPCERT/CC Eyes | JPCERTコーディネーションセンター公式ブログ】
7)感染してしまったら
- 感染したパソコンのLANケーブルを抜く又はWiFiから遮断する。
- 感染したパソコンで使用していたメールのパスワードを変更する。
- Emotet感染チェックと駆除方法:
【今すぐ確認して!】Emotet (エモテット)の感染チェックと駆除手順【被害甚大】 (youtube.com) - あるいは警察庁に通報・相談するのも良い。
【サイバー事案に関する相談窓口|警察庁Webサイト (npa.go.jp)】
8)参考情報
- 警察庁HP:Emotet対策 【Emotet対策|警察庁Webサイト (npa.go.jp)】
- IPA(独立行政法人 情報処理推進機構)のEmotet対策 (最終更新日:2023年6月29日) 【Emotet(エモテット)対策 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構】
- JPCERT マルウエアEmotetへの対応FAQ(最終更新日:2023年3月20日)
【マルウエアEmotetへの対応FAQ – JPCERT/CC Eyes | JPCERTコーディネーションセンター公式ブログ】
以上