Emotet(エモテット)とは?
攻撃の特徴や感染被害事例からセキュリティ対策まで解説
一度感染すると、端末や窃取したメールアドレスを悪用して感染が拡大し、業務停止など企業経営の継続が脅かされるほどの影響を及ぼすEmotet(エモテット)。その脅威から身を守るためには、Emotetの特徴を理解したうえで正しい対策を施すことが必要です。
この記事では、Emotetの攻撃の特徴や感染事例、セキュリティ対策などを解説します。ぜひ参考にして、Emotetを詳しく理解し適切な対策を実施しましょう。
◆ Emotet(エモテット)とは?
Emotetは、情報の窃取に加えて端末をウイルスに感染させるために悪用されるマルウェアで、活動停止と再発を繰り返しています。2014年に発見され、日本では2019年10月から被害の報告が相次いだことで一気に知名度が上がりました。
2021年1月にEUROPOL(欧州刑事警察機構)がテイクダウン(無害化)に成功し、活動は一時停止しましたが、2021年11月頃から活動を再開し、2022年6月現在で爆発的に被害が増加しています。
◆ Emotet(エモテット)の攻撃の特徴
Emotetの特徴は、メールにファイルを添付することを通して攻撃することです。不正なメールに添付されたマクロファイルを開くことで端末にダウンロード、インストールされ、感染後は端末が外部のサーバーに接続されて情報が不正に窃取される状態となります。
昨今、Emotetの感染を狙った不審メールが大量に送信されています。Emotetは、スパムメールのような単なるばらまきではなく、感染した端末から窃取したメールアドレスやメール本文、署名などを悪用し、実在する取引先のフリをしてメールを送信してくるのが特徴です。
そのため、詐称したメールアドレスやメール本文だけを見て、正規のメールだと勘違いし添付ファイルを開いてしまう事例が多数発生しています。
◆ Emotet(エモテット)に感染して起こる被害
Emotetの被害を防ぐためにも、感染によってどんな被害が発生するのか理解しておきましょう。ここでは、Emotetの感染による具体的な被害を見ていきます。
個人情報や企業の内部情報が流出する
Emotetに感染すると、端末に保存しているデータが盗まれます。氏名や会社名、メールアドレスなどのメールを基にした情報をはじめ、各システムのID・パスワード、端末に保存されているファイルも流出してしまうことになります。
社内ネットワークへの感染が拡大する
Emotetには、自己増殖するワーム機能があります。一つの端末に侵入すると、保護機能の隙間を探して他の端末への侵入と感染を図るのです。そのため、一つの端末の感染被害が、社内ネットワーク全体にまで拡大する恐れがあります。
他のマルウェアに感染する
Emotetには、他のマルウェアを媒介する機能があります。自身の侵入経路や窃取した情報を隠すために、プラットフォームになるトロイの木馬やランサムウェアなどのマルウェアを感染させ、拡大していきます。さまざまなマルウェアが呼び込まれてしまうことで、社内システムの機能がダウンし業務停止に陥るリスクも増大するのです。
踏み台にされ社外への感染が拡大する
盗まれた情報が悪用されると、取引先や顧客にも感染を狙うメールが送信されてしまい、被害がさらに拡大します。感染が他社への攻撃の踏み台として利用されることで、企業としての信頼も損なわれてしまうでしょう。場合によっては、取引停止等で企業の存続に影響を与える可能性も考えられます。
◆ Emotet(エモテット)の感染被害事例
Emotetの感染被害は、2022年に入ってからも複数の企業で報告されています。ここでは、一部の感染被害事例を表でまとめてみたのでご覧ください。
被害内容 |
|
A社 |
社員が業務で利用しているパソコンがEmotetに感染し、メールアドレスが詐取された。 |
B社 |
社員のパソコンがEmotetに感染。グループ会社の社員を装った第三者により不審なメールが発信された。 |
C社 |
社員のパソコンがEmotetに感染した可能性あり。社員および営業所を装った不審なメールが送信された。 |
D社 |
グループ会社で使用しているパソコンがEmotetに感染。 |
E社 |
社員のパソコンがEmotetに感染。 |
◆ Emotet(エモテット)に感染したときの適切な対処法
万が一、Emotetに感染した場合は被害を最小限に抑えるための迅速な行動が必要です。感染が疑われた際の適切な対処方法を解説します。
感染が疑われる端末をネットワークから切り離す
まずは、社内ネットワークを経由した感染拡大の防止のため、感染が疑われる端末をネットワークから切り離し、外部サーバーへの情報送信を止めましょう。複数の端末で感染が疑われる場合は、上流にあるネットワーク機器の通信を止めるなどの対処が必要です。
メールアドレスのパスワードを変更する
Emotet感染後は、端末に保存されているIDやパスワードが窃取されている可能性があるため、メールアドレスや各システムのパスワードを変更しましょう。変更後のパスワードが再び盗まれることを防ぐためにも、変更作業は感染が疑われる端末以外でおこなう必要があります。
取引先や顧客に感染したことを公表する
Emotetに感染すると窃取された情報が悪用され、取引先や顧客に不審メールが送信される可能性があります。感染が疑われた際は、すぐに取引先や顧客へ連絡し、感染経路や今後の対策を伝え、不審メールへの注意喚起をおこないましょう。また、プレスリリース等で社外に情報公開することも重要です。これらの対応は、独立行政法人情報処理推進機構(IPA)やJPCERT/CCに相談しながら進めると良いでしょう。
感染の被害状況を調査する
社外への報告が終わったら、Emotetによる被害状況を調査しましょう。素早く適切に調査をおこなうことで、さらなる被害の抑制や今後の対策に役立ちます。調査に関しては、専門機関やセキュリティベンダーなど専門知識を持つ業者に依頼するのが良いでしょう。
◆ Emotet(エモテット)に感染しないためのセキュリティ対策
Emotetの感染を防ぐには、日頃から適切なセキュリティ対策を取っておくことが重要です。
社員へのセキュリティ教育を実施する
Emotetのみならず、多様なマルウェアによる被害を防ぐためには、社員のセキュリティに対するリテラシーを高める必要があります。セキュリティに関する担当者の配置や、外部の講師を招きセキュリティ教育、標的型攻撃メール訓練の実施など、社員全員が最新情報を学びセキュリティリテラシーを高めることが重要です。
OSを常に最新のものにアップデートしておく
Emotetの感染を防ぐには、社内ネットワーク端末のOSを常に最新版に保っておくことが有効です。Emotetは最新ではないOSの脆弱性をつくケースがあり、感染後に被害が拡大する一因にもなります。他のウイルス対策にも効果がありますので、特段の事情がない限りOSやアプリケーションは最新のものを利用するようにしましょう。
宛名がないメールや添付ファイルを開かない
Emotetは、主にメールや添付ファイルのマクロが動作することで感染します。宛名がないなどの不審なメールや添付ファイルを受信したら、絶対に開かないように徹底しましょう。添付ファイルのプレビュー機能無効化やマクロの無効化によって、意図せずマクロが動作することを防ぐことも重要です。
定期的にメールboxをスクリーニングする
定期的にメールboxをスクリーニングし、不審なメールが届いていないか確認しましょう。ツールを活用して定期的にスクリーニングすることは有効です。Emotetは、基本的にメールから感染するということを念頭に置き、不審なメールが届いていれば情報を社内に共有して、削除などの対応方法を周知するようにしましょう。
セキュリティ対策ソフトを導入する
セキュリティ対策ソフトの導入で、Emotetの感染を防げた事例もあります。社内でEmotetが拡大するきっかけは、そのほとんどが社内ネットワークにつながるパソコン端末からです。必ずすべてのパソコンに、セキュリティ対策ソフトを導入し対策をおこないましょう。ソフト導入後も、ウイルス定義ファイルなどを常に最新に保つことが必要です。
◆ フォーティネットのEmotet(エモテット)対策ソリューション
フォーティネットでは、Emotetの感染を防ぐための複合的なソリューションを提供しています。ウイルス・スパム対策も可能な次世代ファイアウォールFortigateに加え、高度な脅威検知機能を持つFortiSandbox Cloud、メールのセキュリティに特化したFortiMail、機械学習型エンジンにより未知の脅威も防止するFortiEDRなどのソリューションにより、素早く広範囲に攻撃をおこなうEmotetの特性を逆手に取った対策を施すことが可能です。
Emotetの脅威を防ぐために、フォーティネットのセキュリティファブリックを活用したソリューションの詳細をぜひご確認ください。
また、フォーティネットでは、Emotetの感染経路や対策方法について、より詳しくご説明させていただくウェビナーを開催しています。「情報セキュリティ10大脅威2022」の1位に選出されているランサムウェアに関する情報とあわせて、企業が取るべきセキュリティ対策についてお伝えします。
詳しくは下記のリンクをご覧ください。