主にメールを介して感染を広げるマルウェアの一種。定期的に活動を活発化させ、そのたびに世界的に警告が発せられる。
Emotetとは、主に電子メールを介して感染を拡大させるマルウェアの一種だ。実在する取引相手の氏名やメールアドレスを用いて巧妙な攻撃メールを送り、添付ファイルを開かせることでターゲットのシステムに侵入する。
さまざまな亜種があり「進化」を続けるのも特徴の一つで、既存の対策をすり抜けて定期的に活動を活発化する。最近はショートカットファイル(LNKファイル)を使用したものも発見され、「リンクを開くだけで感染する事例が報告された」として情報処理推進機構(IPA)が注意を呼び掛けている。
2014年に発見されたマルウェアで、2019年には「最も流行している脅威の一つ」とみなされた。2021年1月にオランダやドイツなど各国の警察が連携した「Operation LadyBird」(テントウムシ作戦)により、ウクライナなどのサーバが差し押さえられて一度は「壊滅」が宣言されたが、同年11月から活動を再開し、2022年も多くの感染例が報告されている。
Emotetは当初、オンラインバンキングのアカウント情報を窃取するマルウェアだった。その後感染したデバイスに他のマルウェアを侵入させる機能を備え、さまざまなサイバー犯罪の入り口として“活用”されるようになった。
Emotetに感染すると感染端末リストに組み込まれ、犯罪組織内に共有されることがある。「情報を窃取される」「権限を乗っ取られて不正アクセスや感染拡大の踏み台にされる」「ランサムウェア運用用途に貸し出される」など、組織的な犯罪活動に巻き込まれる可能性がある。
2018年2月、米国ペンシルバニア州アレンタウン市職員の端末が、メールに添付されたファイルからEmotetに感染した。行政ネットワークのあらゆる場所にマルウェアが侵入して監査カメラネットワークに損害を被るなどし、被害総額は1億円に上ったと言われる。
2019年11月、首都大学東京の教員の端末がEmotetに感染していたことが発覚した。2019年10月から同教員を名乗る不審なメールが送信され、受信した他の教員の端末も感染している。その際、教員が所有していたメールアドレスや1万8千件以上のメール本文などが流出した可能性がある。
感染が疑われる場合、警視庁やJPCERT/CCは以下の手順による感染確認や隔離などの対応を推奨する。基本的に感染した端末の使用を中止し、証拠物として保全の上で関係者への注意喚起や被害範囲を調査する。
ウイルススキャンでは発見できないバックドアが形成されている可能性があるため、再び端末を使用する場合は、端末を完全に初期化する必要がある。
感染予防対策としては、下記の事項が挙げられる。
また、標的型ランサムウェア攻撃や感染後の端末初期化への対策として、定期的なオフラインバックアップも重要だ。
ただし、以上の対策を施したとしても従業員のリテラシーが低く、無防備に添付ファイルの開封やマクロを実行してしまえば感染は防げない。組織内への定期的な注意喚起はもちろん、攻撃メールの具体的な文面や感染事例の認知を進める教育が欠かせない。
Emotetはサイバー犯罪の世界的エコシステムに組み込まれ、業種や企業規模を問わず攻撃と感染拡大を狙う。
有害に動作する意図で作られたプログラムやコードの総称で、コンピュータウイルスやワームなどを含む。不正ソフトウェア、不正プログラムとも呼ぶ。
マルウェアの一種で自律的に作動せず、他のプログラムファイルなどに感染することで自己増殖する。
社内ネットワークと社外ネットワークの境界でファイアウォールやIDS(不正侵入検知システム)などを設けるセキュリティモデル。昨今のオフィス分散化やSaaS(Software as a Service)利用の普及を背景にゼロトラストモデルへの移行が重視されている。
無害なプログラムやファイルのように偽装して侵入して不正なふるまいをするマルウェア。
Copyright © ITmedia, Inc. All Rights Reserved.
製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。