【解説】Emotetに感染した場合の対処法｜被害調査・確認方法

Emotetは、メールの添付ファイルを開くことで感染する情報窃取目的のマルウェアです。

強い感染力と拡散力を持ち、感染後は周囲に、感染目的のなりすましメールを送り付けます。て様々なマルウェアの感染・拡散を行うマルウェアのプラットフォームとして、セキュリティ上の脅威となっています。

今回はEmotetの攻撃手法や、感染した場合の対処方法・駆除方法について解説します。

Emotet（エモテット）とは

Emotet（エモテット）は、最近、世界中で大規模な被害をもたらしているマルウェアの一つです。このマルウェアは、不正なメールによって送信され、WordやExcelファイルに潜んでいます。

感染した端末は、機密情報の窃取、ボットネットの一部として使用されたり、他のマルウェアをインストールしたりするなど、多様な被害を引き起こします。

Emotetの代表的な攻撃手法

現在、観測されているEmotetの特徴としては、以下のようなケースが挙がっています。

Emotetの攻撃は、正式な返信を装うため、「特定の企業」「勤務先の業務」「時事的な話題」などを騙る件名が付いています。感染端末から盗み取ったメールをもとにして攻撃用のメールを作成しているためです。Emotetの攻撃メールは、悪質なことに関係先・取引先への「返信形式」を装った形式が多いのも特徴です。

また攻撃メールに添付されているExcelやWordファイルで「マクロ／コンテンツの有効化」を選択する、あるいはパスワード付きzipファイルを解凍すると、Emotetに感染してしまう危険性があります。（近年はExcelやWordファイルでなく「.lnk」形式のショートカットファイルでも感染する恐れがあります）

身に覚えのない不審なメールの開封や、ファイルのダウンロードは控えるようにしましょう。

（Emotetへの感染を狙う攻撃メールの例）

なお、上記で解説した攻撃手法とは別に、新たな手口が2023年以降、見られるようになっています。

1つ目は「OneNote経由の攻撃」、2つ目は「巨大ZIPファイルを利用した攻撃」です。

OneNote経由の攻撃

2023年3月以降、新たな感染手法として「Microsoft OneNote」形式のファイルを利用した攻撃が確認されました。このようなファイル内には偽の指示が書かれており、ボタンに模した画像をダブルクリックすると、悪意あるファイルを実行してしまいます。

メールのリンクや添付ファイルを開かず、OSやアプリケーション、セキュリティソフトを常に最新の状態に保ちましょう。これにより、個人情報の漏えいなどの被害を最小限に抑えることができます。

巨大ZIPファイルを利用した攻撃

2023年3月から、セキュリティ検知をすり抜ける目的で、500MBを超える巨大なZIPファイルが添付されたEmotetに関連する新しい攻撃メールが出回っています。

このようなZIPファイルを展開すると、複数のマルウェアが侵入する可能性があり、極めて危険です。

こうした攻撃から身を守るためには、最新のウイルス対策ソフトを使用することが重要です。また、不審なメールが届いた場合は、添付ファイルを開かずに直ちに削除することが必要です。

またZIPファイルを開く前に、差出人を確認し、信頼できるものかどうかを確認しておきましょう。

Emotetに感染した場合の被害

Emotetに感染した場合の被害として次の被害が想定されます。

・個人情報や機密情報が漏えいする
・クレジットカード情報が盗まれる（chromeユーザー限定）
・知人、社内、取引先に伝染する
・他のマルウェア（ランサムウェアなど）に感染しやすくなる

個人情報や機密情報が漏えいする

Emotetが添付されたファイルを開くと、認証情報やメールのアドレス帳などに加えて、過去の送受信メールが添付ファイルごと盗まれます。また、Emotetに感染すると複数のマルウェアを引き込むため、セキュリティが低下し、情報が漏えいしやすくなります。

クレジットカード情報が盗まれる（chromeユーザー限定）

2021年6月以降、Emotetに感染するとchromeに登録されているクレジットカード情報が盗まれるという被害が急増しています。chromeに登録されているクレジットカード情報がC2サーバに発信され、悪用されるという仕組みです。

極力、クレジットカード情報をchromeに登録するのは控えておきましょう。

知人、社内、取引先に伝染する

Emotetに感染すると「Emotetをばらまく踏み台」として悪用されます。たとえば、Emotetは盗んだメールの「件名」「本文」「添付ファイル」を再構成し、自動生成した偽メールを社内の別端末や取引先にばらまくことで、負の連鎖を生みます。

取引先がEmotetに感染すると、自社に被害が及ぶことがあります。取引先企業がセキュリティ面で信頼できるかも、きちんと見極めておきましょう。

他のマルウェア（ランサムウェアなど）に感染しやすくなる

Emotetに感染すると、他のトロイの木馬やワームウイルス、ランサムウェアなども引き寄せるため、すべてのマルウェアを駆除しなければなりません。

また、Emotetが引き込むマルウェアには、ハッカーが自由に出入りできる「バックドア機能」があります。バックドアを経由して、暴露型ランサムウェアに感染すると、サーバーが暗号化され、機密情報を公開されるなど大変危険な状態に発展してしまいます。

Emotetによる実際の被害事例

Emotetによる国内での被害は2019年と2022年に多発しました。

たとえば2019年、首都大学東京（現・東京都立大学）は、職員のパソコンがEmotetに感染し、1万8000件以上のメール情報が流出したことを公表しました。

権威ある大学機関がウイルス攻撃によって情報を流出させたという事実は、国内企業に少なくない衝撃を与え、Emotetが身近な恐怖であることを見せつけました。このケースでは、Emotet感染後、攻撃者はメールの送信者名などを盗み、その情報をもとにさらなる攻撃を行おうとしたとみられています。

その後、Emotetは本拠地がテイクダウン（制圧）され、終息の兆しがありましたが、2021年秋と2023年春の再観測移行、いまだ多くの企業が被害に遭っています。

これまでEmotet感染の被害にあった他の企業の事例は、こちらを参照してください。

Emotetの感染確認・初動対応

Emotetの感染確認・初動対応は次のとおりです。

・まずはネットワークから切り離す
・パスワードの変更とアカウントの停止をおこなう
・Emotet感染確認ツール｢EmoCheck2.1｣を使う

まずはネットワークから切り離す

Emotetを含むマルウェアは基本的に感染が表面化しにくく、気付かないうちに情報が盗まれたりします。そのため動作不良など、些細な違和感も見逃さないのが大切です。

もしEmotetに感染してしまった（もしくは感染が疑われるような）場合、まずはネットワークから切り離すことが大切です。なぜならEmotetは他のパソコンに感染を拡大させる特徴があり、被害が拡大する恐れがあるからです。感染が疑われる場合、まず端末をネットワークから切り離して、感染が疑われるメディア（PC接続の外付けHDD・SDカード・USB）の使用も即座に中止しましょう。

特に企業で使用しているパソコンに感染が疑われる場合、同じネットワークに接続している端末への感染が懸念されるため、直ちにネットワークから切り離しましょう。

パスワードの変更とアカウントの停止をおこなう

認証情報が漏えいすると、IDやパスワードを悪用される恐れがあります。特にIDやパスワードを使いまわしている場合は、そのリスクが高まります。

Emotetを含め、マルウェアに感染していることが分かった（または疑われている）時点で、速やかにパスワードを変更しましょう。また、メールアカウントは「Emotetをばらまく発信源」として悪用されている恐れが高いため、感染を防止するため、いったんアカウントを停止しましょう。

Emotet感染確認ツール｢EmoCheck2.1｣を使う

Emotetへの感染が疑われる場合は感染確認ツール「EmoCheck2.1」で感染の有無を確認しましょう（旧バージョンの1.0では検出不可の場合もあるので、ver2.1を使うようにしてください）。

感染が確認された場合は、実行画面に「Emotetのプロセスが見つかりました」と表示されます。この際、駆除が必要ですが、すでに複数のマルウェアに感染していたり、情報が抜き取られたりしている可能性があります。よってセキュリティソフトでのフルスキャンと、情報漏えい調査をおすすめします。

Emotetの調査・駆除方法

Emotetの調査・駆除方法は次のとおりです。

・セキュリティツールでウイルスを駆除する
・専門家に相談する・調査を依頼する

セキュリティツールでウイルスを駆除する

EmoCheckを使用しても感染が確認できない場合は、他のウイルスに感染している可能性も高いため、Windows Defenderなど別のセキュリティソフトを使用してスキャンを行いましょう（ウイルスは日々増え続けているため、ウイルスソフトやOSのアップデートは欠かさず行いましょう。）。

なお、調査する範囲は感染の広がっている範囲を特定するために、「同一ネットワークでつながっている全端末を対象に、フルスキャンを実行する」ことを強くおすすめします。しかし、数百台以上におよぶなど現実的でない場合は、専門業者が提供する「ファストフォレンジック」という技術を活用するのも1つの手です。

専門家に相談する・調査を依頼する

個人で行うウイルス駆除は、インシデントの根本的な解決になりません。また不適切な手順を踏むと、被害を拡大させるだけでなく、侵入経路などの被害実態が解明できなくなる恐れがあります。重要なのはウイルスの侵入経路や感染状況を解明し、セキュリティの脆弱性を発見、再発を防止することです。

安全かつ適切な調査を行いたい場合は、犯罪調査における法的証拠の収集を行う「フォレンジック業者」に依頼するのも一つの方法といえます。

「フォレンジック業者」では、高度なIT知識と技術を持った専門家が多数在籍しており、Emotetによって生じた被害状況を正確に把握でき「被害拡大防止」と「再発防止」の手助けとなります。専門業者によるウイルス駆除・調査・再発防止策は、非常に信頼が置けるものだといえるでしょう。

フォレンジック調査サービスについては下記の記事で詳しく解説しています。

Emotet（エモテット）調査会社を選ぶときのポイント

Emotet調査の専門業者を選ぶ際には、以下のポイントに注目することが重要です。

実績がある

Emotetに関する実績が豊富な専門業者を選びましょう。過去の成功事例や技術的な専門知識に基づくアプローチなど、実績に基づく専門的なアドバイスを受けることができます。

スピード対応している

Emotetに感染した場合は、素早く対応することが重要です。専門業者が迅速に対応してくれるかどうか、また、24時間365日対応しているかどうかなどを確認しましょう。

セキュリティ体制が整っている

Emotet調査の専門業者は、高いセキュリティ体制が整っていることが求められます。業者のセキュリティ対策がしっかりしていることを確認し、漏えいや悪用のリスクを最小限に抑えましょう。

法的証拠となる調査報告書を発行できる

Emotetの被害に遭った場合、法的な調査報告書が必要になることがあります。専門業者が法的な要件に則って調査報告書を発行できるかどうかを確認しましょう。

データ復旧作業に対応している

Emotetの攻撃によってデータが失われた場合、データ復旧作業が必要になることがあります。業者がデータ復旧作業に対応しているかどうかを確認し、必要な場合に対応してもらえるようにしておきましょう。

費用形態が明確である

Emotet調査の専門業者は、費用形態が明確であることが求められます。事前に費用について確認し、予算内で済ませられるようにすることが重要です。

おすすめのEmotet感染調査会社

ここではEmotetの感染調査に対応しており、実績のある調査会社としてデジタルデータフォレンジックを紹介します。また、捜査機関への協力もあり、セキュリティ面では国際規格のISOを取得しているので信頼がおけます。

万一、自社でEmotet感染が疑われる場合は、一度相談してみるといいでしょう。

■警視庁からの捜査協力依頼実績が多数あり
■法人/個人問わず幅広く対応
■ 国際標準規格「ISO27001」取得
■ 11年連続国内売上No.1のデータ復元サービスの技術力を活用