【解説】Emotetに感染した場合の対処法｜被害調査・確認方法

Emotetは、メールの添付ファイルを開くことで感染する情報窃取目的のマルウェアです。

強い感染力と拡散力を持ち、感染後は周囲の企業や団体に対しても、感染目的のなりすましメールを送り付けてしまうため、様々なマルウェアの感染・拡散を行うマルウェアのプラットフォームとして、セキュリティ上の脅威となっています。

今回はEmotetの攻撃手法や、感染した場合の対処方法・駆除方法について解説します。

Emotetの攻撃手法

現在、観測されているEmotetの特徴としては、以下のようなケースが挙がっています。

Emotetの攻撃は、正式な返信を装うため、「特定の企業」「勤務先の業務」「時事的な話題」などを騙る件名が付いています。感染端末から盗み取ったメールをもとにして攻撃用のメールを作成しているためです。Emotetの攻撃メールは、悪質なことに関係先・取引先への「返信形式」を装った形式が多いのも特徴です。

また攻撃メールに添付されているExcelやWordファイルで「マクロ／コンテンツの有効化」を選択する、あるいはパスワード付きzipファイルを解凍すると、Emotetに感染してしまう危険性があります。（近年はExcelやWordファイルでなく「.lnk」形式のショートカットファイルでも感染する恐れがあります）

身に覚えのない不審なメールの開封や、ファイルのダウンロードは控えるようにしましょう。

（Emotetへの感染を狙う攻撃メールの例）

Emotetに感染した場合の被害

個人情報や機密情報が漏えいする

Emotetが添付されたファイルを開くと、認証情報やメールのアドレス帳などに加えて、過去の送受信メールが添付ファイルごと盗まれます。また、Emotetに感染すると複数のマルウェアを引き込むため、セキュリティが低下し、情報が漏えいしやすくなります。

知人、社内、取引先に伝染する

Emotetに感染すると「Emotetをばらまく踏み台」として悪用されます。たとえば、Emotetは盗んだメールの「件名」「本文」「添付ファイル」を再構成し、自動生成した偽メールを社内の別端末や取引先にばらまくことで、負の連鎖を生みます。取引先がEmotetに感染すると、自社に被害が及ぶことがあります。取引先企業がセキュリティ面で信頼できるかも、きちんと見極めておきましょう。

他のマルウェア（ランサムウェアなど）に感染しやすくなる

Emotetに感染すると、他のトロイの木馬やワームウイルス、ランサムウェアなども引き寄せるため、すべてのマルウェアを駆除しなければなりません。

また、Emotetが引き込むマルウェアには、ハッカーが自由に出入りできる「バックドア機能」があります。バックドアを経由して、暴露型ランサムウェアに感染すると、サーバーが暗号化され、機密情報を公開されるなど大変危険な状態に発展してしまいます。

Emotetによる実際の被害事例

Emotetによる国内での被害は2019年と2022年に多発しました。

たとえば2019年、首都大学東京（現・東京都立大学）は、職員のパソコンがEmotetに感染し、1万8000件以上のメール情報が流出したことを公表しました。権威ある大学機関がウイルス攻撃によって情報を流出させたという事実は、国内企業に少なくない衝撃を与え、Emotetが身近な恐怖であることを見せつけました。このケースでは、Emotet感染後、攻撃者はメールの送信者名などを盗み、その情報をもとにさらなる攻撃を行おうとしたとみられています。

その後、Emotetは本拠地がテイクダウン（制圧）され、終息の兆しがありましたが、2021年11月後半ごろから再び観測され始め、多くの企業が被害に遭いました。

これまでEmotet感染の被害にあった他の企業の事例は、こちらを参照してください。
ただ、実際はもっと多くの企業が感染実態を隠蔽している状況であり、感染後、このように公表している企業は、出来るだけ二次被害を抑えようと取り組んでいると言えます。

Emotetの感染確認・初動対応

まずはネットワークから切り離す

Emotetを含むマルウェアは基本的に感染が表面化しにくく、気付かないうちに情報が盗まれたりします。そのため動作不良など、些細な違和感も見逃さないのが大切です。

もしEmotetに感染してしまった（もしくは感染が疑われるような）場合、まずはネットワークから切り離すことが大切です。なぜならEmotetは他のパソコンに感染を拡大させる特徴があり、被害が拡大する恐れがあるからです。感染が疑われる場合、まず端末をネットワークから切り離して、感染が疑われるメディア（PC接続の外付けHDD・SDカード・USB）の使用も即座に中止しましょう。

特に企業で使用しているパソコンに感染が疑われる場合、同じネットワークに接続している端末への感染が懸念されるため、直ちにネットワークから切り離しましょう。

パスワードの変更とアカウントの停止をおこなう

認証情報が漏えいすると、IDやパスワードを悪用される恐れがあります。特にIDやパスワードを使いまわしている場合は、そのリスクが高まります。

Emotetを含め、マルウェアに感染していることが分かった（または疑われている）時点で、速やかにパスワードを変更しましょう。また、メールアカウントは「Emotetをばらまく発信源」として悪用されている恐れが高いため、感染を防止するため、いったんアカウントを停止しましょう。

Emotet感染確認ツール｢EmoCheck2.1｣を使う

Emotetへの感染が疑われる場合は感染確認ツール「EmoCheck2.1」で感染の有無を確認しましょう（旧バージョンの1.0では検出不可の場合もあるので、ver2.1を使うようにしてください）。

感染が確認された場合は、実行画面に「Emotetのプロセスが見つかりました」と表示されます。この際、駆除が必要ですが、すでに複数のマルウェアに感染していたり、情報が抜き取られたりしている可能性があります。よってセキュリティソフトでのフルスキャンと、情報漏えい調査をおすすめします。

Emotetの調査・駆除方法

セキュリティツールでウイルスを駆除する

EmoCheckを使用しても感染が確認できない場合は、他のウイルスに感染している可能性も高いため、Windows Defenderなど別のセキュリティソフトを使用してスキャンを行いましょう（ウイルスは日々増え続けているため、ウイルスソフトやOSのアップデートは欠かさず行いましょう。）。

なお、調査する範囲は感染の広がっている範囲を特定するために、「同一ネットワークでつながっている全端末を対象に、フルスキャンを実行する」ことを強くおすすめします。しかし、数百台以上におよぶなど現実的でない場合は、専門業者が提供する「ファストフォレンジック」という技術を活用するのも1つの手です。

専門家に相談する・調査を依頼する

個人で行うウイルス駆除は、インシデントの根本的な解決になりません。また不適切な手順を踏むと、被害を拡大させるだけでなく、侵入経路などの被害実態が解明できなくなる恐れがあります。重要なのはウイルスの侵入経路や感染状況を解明し、セキュリティの脆弱性を発見、再発を防止することです。

安全かつ適切な調査を行いたい場合は、犯罪調査における法的証拠の収集を行う「フォレンジック業者」に依頼するのも一つの方法といえます。

「フォレンジック業者」では、高度なIT知識と技術を持った専門家が多数在籍しており、Emotetによって生じた被害状況を正確に把握でき「被害拡大防止」と「再発防止」の手助けとなります。専門業者によるウイルス駆除・調査・再発防止策は、非常に信頼が置けるものだといえるでしょう。

フォレンジック調査サービスについては下記の記事で詳しく解説しています。

おすすめのEmotet感染調査会社

Emotetの感染調査に対応しており、実績のある調査会社としてデジタルデータフォレンジックを紹介します。捜査機関への協力もあり、セキュリティ面でも国際規格のISOを取得しているので信頼がおけます。万一、自社でEmotet感染が疑われる場合は、一度相談してみるといいでしょう。

■警視庁からの捜査協力依頼実績が多数あり
■法人/個人問わず幅広く対応
■ 国際標準規格「ISO27001」取得
■ 11年連続国内売上No.1のデータ復元サービスの技術力を活用