【解説】Emotetに感染した場合の対処法|被害調査・確認方法

Emotetは、メールの添付ファイルを開くことで感染する情報窃取目的のマルウェアです。

強い感染力と拡散力を持ち、感染後は周囲に、感染目的のなりすましメールを送り付けます。て様々なマルウェアの感染・拡散を行うマルウェアのプラットフォームとして、セキュリティ上の脅威となっています。

今回はEmotetの攻撃手法や、感染した場合の対処方法・駆除方法について解説します。

本ページには広告が含まれています。本コンテンツ経由で商品・サービスの申込みがあった場合、企業から送客手数料を受け取ることがあります。

Emotet(エモテット)とは

Emotet(エモテット)は、最近、世界中で大規模な被害をもたらしているマルウェアの一つです。このマルウェアは、不正なメールによって送信され、WordやExcelファイルに潜んでいます。

感染した端末は、機密情報の窃取、ボットネットの一部として使用されたり、他のマルウェアをインストールしたりするなど、多様な被害を引き起こします。

Emotetの代表的な攻撃手法

現在、観測されているEmotetの特徴としては、以下のようなケースが挙がっています。

・マクロが仕込まれたExcelやWordファイルが添付(パスワード設定されたZipファイル)
・悪質なファイルのダウンロードを実行させるURLが本文に記載
・本文内の送付元の電話番号が無関係な数字
・ショートカットリンク(.lnk)が添付されている

Emotetの攻撃は、正式な返信を装うため、「特定の企業」「勤務先の業務」「時事的な話題」などを騙る件名が付いています。感染端末から盗み取ったメールをもとにして攻撃用のメールを作成しているためです。Emotetの攻撃メールは、悪質なことに関係先・取引先への「返信形式」を装った形式が多いのも特徴です。

また攻撃メールに添付されているExcelやWordファイルで「マクロ/コンテンツの有効化」を選択する、あるいはパスワード付きzipファイルを解凍すると、Emotetに感染してしまう危険性があります。(近年はExcelやWordファイルでなく「.lnk」形式のショートカットファイルでも感染する恐れがあります)

身に覚えのない不審なメールの開封や、ファイルのダウンロードは控えるようにしましょう。

(Emotetへの感染を狙う攻撃メールの例)

なお、上記で解説した攻撃手法とは別に、新たな手口が2023年以降、見られるようになっています。

1つ目は「OneNote経由の攻撃」、2つ目は「巨大ZIPファイルを利用した攻撃」です。

OneNote経由の攻撃

2023年3月以降、新たな感染手法として「Microsoft OneNote」形式のファイルを利用した攻撃が確認されました。このようなファイル内には偽の指示が書かれており、ボタンに模した画像をダブルクリックすると、悪意あるファイルを実行してしまいます。

メールのリンクや添付ファイルを開かず、OSやアプリケーション、セキュリティソフトを常に最新の状態に保ちましょう。これにより、個人情報の漏えいなどの被害を最小限に抑えることができます。

巨大ZIPファイルを利用した攻撃

2023年3月から、セキュリティ検知をすり抜ける目的で、500MBを超える巨大なZIPファイルが添付されたEmotetに関連する新しい攻撃メールが出回っています。

このようなZIPファイルを展開すると、複数のマルウェアが侵入する可能性があり、極めて危険です。

こうした攻撃から身を守るためには、最新のウイルス対策ソフトを使用することが重要です。また、不審なメールが届いた場合は、添付ファイルを開かずに直ちに削除することが必要です。

またZIPファイルを開く前に、差出人を確認し、信頼できるものかどうかを確認しておきましょう。

Emotetに感染した場合の被害

Emotetに感染した場合の被害として次の被害が想定されます。

・個人情報や機密情報が漏えいする
・クレジットカード情報が盗まれる(chromeユーザー限定)
・知人、社内、取引先に伝染する
・他のマルウェア(ランサムウェアなど)に感染しやすくなる

個人情報や機密情報が漏えいする

Emotetが添付されたファイルを開くと、認証情報やメールのアドレス帳などに加えて、過去の送受信メールが添付ファイルごと盗まれます。また、Emotetに感染すると複数のマルウェアを引き込むため、セキュリティが低下し、情報が漏えいしやすくなります。

クレジットカード情報が盗まれる(chromeユーザー限定)

2021年6月以降、Emotetに感染するとchromeに登録されているクレジットカード情報が盗まれるという被害が急増しています。chromeに登録されているクレジットカード情報がC2サーバに発信され、悪用されるという仕組みです。

極力、クレジットカード情報をchromeに登録するのは控えておきましょう。

知人、社内、取引先に伝染する

Emotetに感染すると「Emotetをばらまく踏み台」として悪用されます。たとえば、Emotetは盗んだメールの「件名」「本文」「添付ファイル」を再構成し、自動生成した偽メールを社内の別端末や取引先にばらまくことで、負の連鎖を生みます。

取引先がEmotetに感染すると、自社に被害が及ぶことがあります。取引先企業がセキュリティ面で信頼できるかも、きちんと見極めておきましょう。

他のマルウェア(ランサムウェアなど)に感染しやすくなる

Emotetに感染すると、他のトロイの木馬やワームウイルス、ランサムウェアなども引き寄せるため、すべてのマルウェアを駆除しなければなりません。

また、Emotetが引き込むマルウェアには、ハッカーが自由に出入りできる「バックドア機能」があります。バックドアを経由して、暴露型ランサムウェアに感染すると、サーバーが暗号化され、機密情報を公開されるなど大変危険な状態に発展してしまいます。

Emotetによる実際の被害事例

Emotetによる国内での被害は2019年と2022年に多発しました。

たとえば2019年、首都大学東京(現・東京都立大学)は、職員のパソコンがEmotetに感染し、1万8000件以上のメール情報が流出したことを公表しました。

権威ある大学機関がウイルス攻撃によって情報を流出させたという事実は、国内企業に少なくない衝撃を与え、Emotetが身近な恐怖であることを見せつけました。このケースでは、Emotet感染後、攻撃者はメールの送信者名などを盗み、その情報をもとにさらなる攻撃を行おうとしたとみられています。

その後、Emotetは本拠地がテイクダウン(制圧)され、終息の兆しがありましたが、2021年秋と2023年春の再観測移行、いまだ多くの企業が被害に遭っています。

これまでEmotet感染の被害にあった他の企業の事例は、こちらを参照してください。

Emotetの感染確認・初動対応

Emotetの感染確認・初動対応は次のとおりです。

・まずはネットワークから切り離す
・パスワードの変更とアカウントの停止をおこなう
・Emotet感染確認ツール「EmoCheck2.1」を使う

まずはネットワークから切り離す

Emotetを含むマルウェアは基本的に感染が表面化しにくく、気付かないうちに情報が盗まれたりします。そのため動作不良など、些細な違和感も見逃さないのが大切です。

もしEmotetに感染してしまった(もしくは感染が疑われるような)場合、まずはネットワークから切り離すことが大切です。なぜならEmotetは他のパソコンに感染を拡大させる特徴があり、被害が拡大する恐れがあるからです。感染が疑われる場合、まず端末をネットワークから切り離して、感染が疑われるメディア(PC接続の外付けHDD・SDカード・USB)の使用も即座に中止しましょう。

特に企業で使用しているパソコンに感染が疑われる場合、同じネットワークに接続している端末への感染が懸念されるため、直ちにネットワークから切り離しましょう。

パスワードの変更とアカウントの停止をおこなう

認証情報が漏えいすると、IDやパスワードを悪用される恐れがあります。特にIDやパスワードを使いまわしている場合は、そのリスクが高まります。

Emotetを含め、マルウェアに感染していることが分かった(または疑われている)時点で、速やかにパスワードを変更しましょう。また、メールアカウントは「Emotetをばらまく発信源」として悪用されている恐れが高いため、感染を防止するため、いったんアカウントを停止しましょう。

Emotet感染確認ツール「EmoCheck2.1」を使う

Emotetへの感染が疑われる場合は感染確認ツール「EmoCheck2.1」で感染の有無を確認しましょう(旧バージョンの1.0では検出不可の場合もあるので、ver2.1を使うようにしてください)。

感染が確認された場合は、実行画面に「Emotetのプロセスが見つかりました」と表示されます。この際、駆除が必要ですが、すでに複数のマルウェアに感染していたり、情報が抜き取られたりしている可能性があります。よってセキュリティソフトでのフルスキャンと、情報漏えい調査をおすすめします。

Emotet感染時のスクリーンショット

Emotetの調査・駆除方法

Emotetの調査・駆除方法は次のとおりです。

・セキュリティツールでウイルスを駆除する
・専門家に相談する・調査を依頼する

セキュリティツールでウイルスを駆除する

EmoCheckを使用しても感染が確認できない場合は、他のウイルスに感染している可能性も高いため、Windows Defenderなど別のセキュリティソフトを使用してスキャンを行いましょう(ウイルスは日々増え続けているため、ウイルスソフトやOSのアップデートは欠かさず行いましょう。)。

なお、調査する範囲は感染の広がっている範囲を特定するために、「同一ネットワークでつながっている全端末を対象に、フルスキャンを実行する」ことを強くおすすめします。しかし、数百台以上におよぶなど現実的でない場合は、専門業者が提供する「ファストフォレンジック」という技術を活用するのも1つの手です。

専門家に相談する・調査を依頼する

個人で行うウイルス駆除は、インシデントの根本的な解決になりません。また不適切な手順を踏むと、被害を拡大させるだけでなく、侵入経路などの被害実態が解明できなくなる恐れがあります。重要なのはウイルスの侵入経路や感染状況を解明し、セキュリティの脆弱性を発見、再発を防止することです。

安全かつ適切な調査を行いたい場合は、犯罪調査における法的証拠の収集を行う「フォレンジック業者」に依頼するのも一つの方法といえます。

「フォレンジック業者」では、高度なIT知識と技術を持った専門家が多数在籍しており、Emotetによって生じた被害状況を正確に把握でき「被害拡大防止」と「再発防止」の手助けとなります。専門業者によるウイルス駆除・調査・再発防止策は、非常に信頼が置けるものだといえるでしょう。

フォレンジック調査サービスについては下記の記事で詳しく解説しています。

Emotet(エモテット)調査会社を選ぶときのポイント

Emotet調査の専門業者を選ぶ際には、以下のポイントに注目することが重要です。

実績がある

Emotetに関する実績が豊富な専門業者を選びましょう。過去の成功事例や技術的な専門知識に基づくアプローチなど、実績に基づく専門的なアドバイスを受けることができます。

スピード対応している

Emotetに感染した場合は、素早く対応することが重要です。専門業者が迅速に対応してくれるかどうか、また、24時間365日対応しているかどうかなどを確認しましょう。

セキュリティ体制が整っている

Emotet調査の専門業者は、高いセキュリティ体制が整っていることが求められます。業者のセキュリティ対策がしっかりしていることを確認し、漏えいや悪用のリスクを最小限に抑えましょう。

法的証拠となる調査報告書を発行できる

Emotetの被害に遭った場合、法的な調査報告書が必要になることがあります。専門業者が法的な要件に則って調査報告書を発行できるかどうかを確認しましょう。

データ復旧作業に対応している

Emotetの攻撃によってデータが失われた場合、データ復旧作業が必要になることがあります。業者がデータ復旧作業に対応しているかどうかを確認し、必要な場合に対応してもらえるようにしておきましょう。

費用形態が明確である

Emotet調査の専門業者は、費用形態が明確であることが求められます。事前に費用について確認し、予算内で済ませられるようにすることが重要です。

おすすめのEmotet感染調査会社

ここではEmotetの感染調査に対応しており、実績のある調査会社としてデジタルデータフォレンジックを紹介します。また、捜査機関への協力もあり、セキュリティ面では国際規格のISOを取得しているので信頼がおけます。

万一、自社でEmotet感染が疑われる場合は、一度相談してみるといいでしょう。

 
■警視庁からの捜査協力依頼実績が多数あり
■法人/個人問わず幅広く対応
■ 国際標準規格「ISO27001」取得
■ 11年連続国内売上No.1のデータ復元サービスの技術力を活用
  • 対象機器
    PC、サーバ、外付けHDD、USBメモリ、SDカード、タブレット、スマートフォン、タブレットなど
  • サービス
    ハッキング不正アクセス調査、マルウェア・ランサムウェア感染調査、退職者調査、労働問題調査、社内不正調査、情報持出し調査、横領着服調査、データ改ざん調査など

デジタルデータフォレンジックのお問合せページはこちら


Emotet(エモテット)の感染・被害を防ぐ方法

Emotet(エモテット)の感染・被害を防ぐ方法は次のとおりです。

・セキュリティソフトのインストール
・パスワードの強化
・不審なメールの削除
・バックアップの取得
・Emocheckのアップデート
・ファイアウォールの設定

セキュリティソフトのインストール

セキュリティソフトをインストールし、最新版に更新することで、たとえEmotetのようなマルウェアを開封してしまっても、検出・ブロックすることができます。

パスワードの強化

強力なパスワードを使用し、頻繁に変更することで、Emotetによる不正ログインを防ぐことができます。なお、パスワードは、おおよそ12文字以上の長さが推奨されます。また、大文字と小文字のアルファベット、数字、そして記号を含めることが重要です。例えば、”C@t5#L0v3r!”のようなパスワードは、大文字と小文字のアルファベット、数字、および記号を含む複雑なパスワードの例です。

このように、簡単に推測されないように、パスワードにはランダムな文字列を含めることが重要です。また、異なるアカウントのパスワードは、すべて異なるものであるべきです。同じパスワードを複数のアカウントで使用しないでください。

不審なメールの削除

Emotetは、不審なメールを通じて感染することが多いため、不審なメールを受信した場合は、慎重に対処し、必要であれば削除することが大切です。

バックアップの取得

バックアップを定期的に取得することで、Emotetのようなマルウェアに感染してもデータを失うことなく復旧することができます。

Emocheckのアップデート

Emocheckというツールを使用することで、Emotetの感染状況をチェックすることができます。なお、旧バージョンでは検知できないこともあるため、最新版を使用することで、最新のEmotetにも対応できます。

ファイアウォールの設定

ファイアウォールを使用して、不正な通信をブロックすることができます。特に、EmotetはC&Cサーバーと通信することが多いため、ファイアウォールの設定を行うことで、Emotetの通信を防止できます。

まとめ

今回はEmotetについて解説しました。Emotetは関係先へ感染を広げるため、被害を受けた法人は駆除と並行して感染被害の実態も突き止める必要があります。

なお、2022年4月から改正個人情報保護法が施行されます。これによって情報漏えい時は、行政機関や個人情報保護委員会などに報告することが義務付けられます。言い換えれば、初期化をおこなうと調査は不可能になり、不完全な報告をおこなうと、場合によっては罰金が科される可能性もあります。

Emotetなどマルウェアによるインシデントが発生した場合、被害実態の調査、ならびにインシデントの解消を行うには専門業者にいち早く相談するのが懸命です。

最新情報をチェックしよう!