Emotetとは？ 流行の歴史と現況、対策や対処法を解説

主にメールを介して感染を広げるマルウェアの一種。定期的に活動を活発化させ、そのたびに世界的に警告が発せられる。

[キーマンズネット]

• Emotetとは？　歴史と注目の背景
• Emotetが注目された感染例
• 感染予防策、対処法
• 関連用語

　Emotetとは、主に電子メールを介して感染を拡大させるマルウェアの一種だ。実在する取引相手の氏名やメールアドレスを用いて巧妙な攻撃メールを送り、添付ファイルを開かせることでターゲットのシステムに侵入する。

　さまざまな亜種があり「進化」を続けるのも特徴の一つで、既存の対策をすり抜けて定期的に活動を活発化する。最近はショートカットファイル（LNKファイル）を使用したものも発見され、「リンクを開くだけで感染する事例が報告された」として情報処理推進機構（IPA）が注意を呼び掛けている。

改めてEmotetとは？　歴史と注目の背景

　2014年に発見されたマルウェアで、2019年には「最も流行している脅威の一つ」とみなされた。2021年1月にオランダやドイツなど各国の警察が連携した「Operation LadyBird」（テントウムシ作戦）により、ウクライナなどのサーバが差し押さえられて一度は「壊滅」が宣言されたが、同年11月から活動を再開し、2022年も多くの感染例が報告されている。

　Emotetは当初、オンラインバンキングのアカウント情報を窃取するマルウェアだった。その後感染したデバイスに他のマルウェアを侵入させる機能を備え、さまざまなサイバー犯罪の入り口として“活用”されるようになった。

　Emotetに感染すると感染端末リストに組み込まれ、犯罪組織内に共有されることがある。「情報を窃取される」「権限を乗っ取られて不正アクセスや感染拡大の踏み台にされる」「ランサムウェア運用用途に貸し出される」など、組織的な犯罪活動に巻き込まれる可能性がある。

Emotetが注目された感染例

　2018年2月、米国ペンシルバニア州アレンタウン市職員の端末が、メールに添付されたファイルからEmotetに感染した。行政ネットワークのあらゆる場所にマルウェアが侵入して監査カメラネットワークに損害を被るなどし、被害総額は1億円に上ったと言われる。

　2019年11月、首都大学東京の教員の端末がEmotetに感染していたことが発覚した。2019年10月から同教員を名乗る不審なメールが送信され、受信した他の教員の端末も感染している。その際、教員が所有していたメールアドレスや1万8千件以上のメール本文などが流出した可能性がある。

感染予防策、対処法

　感染が疑われる場合、警視庁やJPCERT/CCは以下の手順による感染確認や隔離などの対応を推奨する。基本的に感染した端末の使用を中止し、証拠物として保全の上で関係者への注意喚起や被害範囲を調査する。

• JPCERT/CCが公開するEmotet専用感染確認ツール「EmoCheck」（エモチェック）による感染有無の確認
• 感染端末のネットワークからの隔離、証拠保全や被害範囲の調査、関係者への注意喚起
• 感染した端末が利用していた認証情報（メールアカウント、記憶させていたクレジットカード情報など）の変更、利用停止
• 感染端末が接続していた組織ネットワーク内の端末の調査
• ネットワークトラフィックログの監視
• 他のマルウェアに感染していないかの確認
• 端末を再度使用する場合は感染端末を初期化する

　ウイルススキャンでは発見できないバックドアが形成されている可能性があるため、再び端末を使用する場合は、端末を完全に初期化する必要がある。

　感染予防対策としては、下記の事項が挙げられる。

• Wordマクロ自動実行の無効化
• メールセキュリティ製品の導入によるマルウェア付きメールの検知
• メールの監査ログの有効化
• SMBの脆弱（ぜいじゃく）性を狙う感染拡大を予防するための、OSへの定期的なパッチ適用

　また、標的型ランサムウェア攻撃や感染後の端末初期化への対策として、定期的なオフラインバックアップも重要だ。

　ただし、以上の対策を施したとしても従業員のリテラシーが低く、無防備に添付ファイルの開封やマクロを実行してしまえば感染は防げない。組織内への定期的な注意喚起はもちろん、攻撃メールの具体的な文面や感染事例の認知を進める教育が欠かせない。

関連用語

　Emotetはサイバー犯罪の世界的エコシステムに組み込まれ、業種や企業規模を問わず攻撃と感染拡大を狙う。

マルウェアとは

　有害に動作する意図で作られたプログラムやコードの総称で、コンピュータウイルスやワームなどを含む。不正ソフトウェア、不正プログラムとも呼ぶ。

コンピュータウイルス

　マルウェアの一種で自律的に作動せず、他のプログラムファイルなどに感染することで自己増殖する。

境界防御

　社内ネットワークと社外ネットワークの境界でファイアウォールやIDS（不正侵入検知システム）などを設けるセキュリティモデル。昨今のオフィス分散化やSaaS（Software as a Service）利用の普及を背景にゼロトラストモデルへの移行が重視されている。

トロイの木馬

　無害なプログラムやファイルのように偽装して侵入して不正なふるまいをするマルウェア。