Emotetの感染は、Eメールの不正な添付ファイルによって発生します。Microsoft WordやExcelに仕込まれた悪意のあるマクロによって感染、もしくはzipファイルを装い、解凍時に不正コードを実行することで感染させます。添付ファイルではなく、メール本文・SNS・web掲示板などに記載されたURLにアクセスするよう誘導し、webサイト上に仕込まれた不正コードによって感染させるケースもあります。 不正メールは海外からのスパムメール由来の場合や、銀行・オンラインストアなどからを装ったフィッシングメールといった不特定多数を標的とします。
また、Emotetに感染したPCが、PCに登録されているアドレス帳・連絡先を使い、送信者も感染者を装って、あたかも信頼のある相手からのメール・添付ファイルだと油断させ感染させるケースがあります。 さらに、2022年4月頃から発生した新しい手法として、メール添付ファイルにwindowsのリンクファイル(.lnk)を添付するというケースも発生しています。リンクファイルはwindows以外のOSでは何の影響もない単純なテキストファイルですが、windows上では無警戒にリンク先へアクセスしようとするため、この手法には厳重な注意が必要です。
<Emotetの感染経路>
・Eメールの不正な添付ファイル(Word、Excelのマクロ、lnkファイル)
・Eメールに添付されたzipファイル内
・URLのリンクから不正なwebサイトへアクセス(Eメール、SNS、web掲示板など)
1-2.Emotetの攻撃手法、主な被害事例
Emotetに感染した場合の具体的な被害や影響について説明します。
① 他の端末への伝染(ワーム)
Emotetに最初に感染したPCは、ネットワーク上の他の端末へ同じように感染させるワーム機能を持ちます。
マルウェアとしてはEmotetに限らずよくある攻撃手法ですが、さらにこれより紹介するEmotetの攻撃手法を組み合わせ、同一ネットワーク内に多くのコンピュータを所有する企業や組織ではさらに被害を深刻なものにします。
② なりすましメールを送信する
Emotetに感染した場合の代表的な迷惑行為の一つとして、Emotetを拡散させるような不審メールを送信するものがあります。
このなりすましメール自体は「タイトルや内容がほとんどない」「日本語が不自然である」「メールアドレスが本来のものと違う」など、注意をしていれば不信と気付く点が多いです。しかし、送信者名が受信者にとっては既知の方であることが多いため、油断をして添付ファイルを開く、URLリンクにアクセスして、Emotetの伝染に加担してしまうケースも少なからずあるようです。
③ セキュリティホールを作り他のマルウェアを入りやすくする
Emotetに感染すると、セキュリティホールを生み出すことで通常なら阻止できるはずのマルウェアの侵入ができるようになります。
例えばディスク上に保存されるファイルではなくメモリ(RAM)上に常駐することで検出を難しくすることや、マルウェアや脆弱性を利用した特権昇格などがEmotet感染端末では出来てしまう可能性があります。
④ 情報の盗聴・搾取
Emotetに感染した端末から情報を盗み取り外部へ送信する機能があります。
これ自体は具体的な被害や攻撃とはなりませんが、ここで搾取・盗聴した情報を元にランサムウェアなどのさらに強力なマルウェアを仕掛けたりパスワードを突破したりといった実被害へ波及します。
⑤ 不正ファイルのダウンロード
Emotetに感染した端末は攻撃者が用意した外部サーバに接続することで実際の攻撃を行う不正ファイルをダウンロードさせるような仕組みを用意します。
実被害は不正ファイルで発生する攻撃で発覚するものの、そもそもその不正ファイルが侵入する方法がEmotetであることがあります。また、攻撃者が時間差でEmotetを活動させることで、いつどの経路から感染したのかの調査を困難にさせるといったこともできます。
Emotetの特徴としてはこのように、「組織ネットワークの感染で被害が拡大しやすい」「Emotet自身が直接的な攻撃をするわけではないため、
発覚の遅れや調査を困難にさせる」「Emotet感染以降に非常に重大な攻撃や被害が発生する可能性が高い」といった点が、従来のマルウェアに比べて深刻であると言えます。ある程度のセキュリティ対策をしっかり行っているはずの有名企業でも大きな被害が出てしまうのも納得してしまうような非常に厄介なマルウェアと言えます。
2.Emotetの具体的な被害事例
ここでは、Emotetによる具体的な被害が出た事例について記載します。もちろんEmotetの被害はここに記載したものに限らず数多く発生しています。Emotetに感染した場合に必ずしもそこまでの被害に及ぶというわけではありませんが、Emotetがどれほど恐ろしいものか、どこまでの被害に及ぶのかを正しく知っておくことで、どのような企業・組織であってもEmotetへの適切な対策を実施するべきと考えます。
2-1.Emotetの国内の主な被害事例
Emotetの感染による迷惑行為の例として、先ほど記載した「なりすましメール」があり、単純に組織規模が大きい・従業員数が多い企業では、なりすましメールに関する問い合わせが相次いでいることが想像できます。そのため、Emotet感染によって、関係各所へのなりすましメールを警戒するプレスリリースを行っています。
<Emotet感染による不審メールへの呼びかけを行っている企業の例>
・積水ハウス株式会社
・ライオン株式会社
・ 株式会社紀伊国屋書店
・株式会社マイナビ
なりすましメール以外の具体的な被害が出ている企業もあります。公表されている事例をいくつか紹介します。
<Emotet感染によって具体的被害が出た企業の例>
・イン・プラス株式会社(2022年2月)
Emotetの感染により、メールアドレスの他、当該会社内外の関係者氏名(個人情報)、件名データが流出。これを悪用した不審メール、添付ZIPファイルを含んだなりすましメールが確認された
・西日本電信電話株式会社(NTT西日本)(2022年3月)
Emotet感染により、取引先である愛知県の大学および大学法人のメールアドレスやメール情報が流出。これによる不審なメールが報告された。
・フクシマガリレイ株式会社(2022年3月)
従業員の端末がEmotetに感染し、メールサーバに保存されているメールアドレスが流出し攻撃者が悪用して不審なメールを複数の関係先に送付。
・双葉電子工業株式会社(2022年2月)
タイの子会社の1台がEmotetに感染し、メールアドレスを搾取された。感染PCは即座に切り離し、全台のマルウェアチェックを実施し、他端末への感染がないことを確認。
2-2.Emotetの国外における主な被害事例
日本国内でも多くの企業が影響を受けているEmotetですが、海外ではより深刻な事例も含めて報告されています。Emotetの主要な感染経路はメールですが、日本の場合、日本語のローカライズ(文面の翻訳)が適切ではない場合や、日本独自のメール文化にそぐわない内容であるため、比較的気づきやすいケースが多いです。
しかし海外、特に英語圏ではメールのやりとりは日本よりも気軽で、通常のやり取りの文面とほとんど変わらず気づきにくいケースも多いと思われます。
また、攻撃の性質も2014年ごろの初期型とは変異をしています。
かつては金融機関を主に狙って、Emotetを介した情報搾取によって口座情報を盗み出し利益を得る手法でしたが、現在はEmotet感染に端を発した別のマルウェアに感染しやすくさせ拡散をするモデルとなっています。
これは当初のEmotet攻撃手法への対策がある程度確立されたことにより、特に金融機関のセキュリティが非常に厳密になったことからEmotet(およびEmotetを悪用する攻撃者)がアップデートを行ったことによるものです。
以下では、特に海外で被害・影響の大きかったEmotet事例の一部を記載します。
・クラウス・マッファイ(2018年12月)
ドイツの重機械メーカー、クラウス・マッファイが感染したのはEmotetの亜種でランサムウェア(身代金要求型のファイル暗号)も兼ねているマルウェアに感染したことで、工場のコンピュータの多くが停止し、機械の生産及び組み立て制御ができなくなる被害が発生した。
・ヒュルステンフェルトブルク病院(2018年11月)
ドイツのバイエルン州にあるヒュルステンフェルトブルク病院でEmotetに感染した結果、1週間電子カルテが適切に動作することができず、システムをシャットダウンせざるを得ない状況となりました。一時的に該当病院は統合レスキューコントロールセンター(いわゆる救急搬送先の病院)から登録を解除し、緊急患者は別病院への受け入れへと切り替えました。病院の重要な治療システムなどはインターネットやEmotet感染したネットワークからは切り離されていたため、人命にかかわる被害までには及ばなかったとされます。
・ノースカロライナ州の学区(2017年)
アメリカ、ノースカロライナ州の学区で大規模なEmotetの被害が発生し、学校のコンピュータが被害を受け(具体的な被害は非公表)、2週間運用が停止したと言われています。これによる損失は140万ドル(当時の日本円で約1億5千万)といわれ、アメリカでは代表的なEmotet実例被害としてアメリカ合衆国の広報ページでも紹介されています。
Emotetは2020年ごろに感染のピークを迎え多くの被害や影響をもたらしましたが、2021年1月に欧州刑事警察機構をはじめとする欧米8ヵ国の法執行機関・司法当局の国際的な共同作戦によりEmotetの「テイクダウン(無害化)」が成功したことが報道されました。
これによりEmotetの活動は急速に鎮静化されたことが日本国内でも確認されています。
しかし、2021年末頃より再びEmotetの活動が確認され、特に日本国内の感染が顕著とされ、2022年3月には過去の流行時の約5倍に及ぶ感染・被害報告が行われています。
ちょうど2022年2月にはロシアによるウクライナ侵攻が始まりました。このロシア侵攻とEmotet再流行は、直接的な事実関係が判明しているわけではないものの、もともとEmotet自体がロシア発のマルウェアであること、この侵攻の時期と同じくして世界各国でサイバー攻撃が活発になっているという背景もあり、完全に無関係とも言えない状況と言えます。ロシアのサイバー犯罪グループもロシア侵攻を皮切りにロシア政府の全面支持を表明し、ウクライナ支援をする国家への攻撃をほのめかしています。
なぜ日本で顕著にEmotetが感染拡大しているかについては、まだ正確な調査が行われているわけではありませんが、メールを主要感染経路に持つEmotetにとって、偽装メールの精度が高くなったことが一因といえます。 例えば以前であれば明らかに不自然な日本語、日本語のメール文化にそぐわない内容、アドレスが明らかに違う、など気づきやすいポイントがあったものの、これら日本語へのローカライズ精度が上がり、一見しただけでは区別がつかないような内容、いかにもありそうなメール文面などを巧妙化することで、これまで「英語圏ほど」警戒心がなかった日本に、効果が広まってしまったと言えるでしょう。
3.Emotetの脅威から逃れる方法
Emotetは過去のマルウェアとは一線を画す、非常に脅威の高いマルウェアでありインターネットに接続するすべての企業は警戒しなければならない存在です。
しかし、先にも述べた通り、Emotet自体が具体的な攻撃や破壊活動を行うのではなく、巧妙に姿を隠し、情報を搾取し、より攻撃力の高いマルウェアに活動を促すという非常に厄介な性質を持ちます。セキュリティシステムでの対策はもちろん必要ですが、最後の人間の判断が誤れば、いかに高度な対策を打っていても感染は100%防ぐことは困難です。
EmotetはEメールでの悪質な添付ファイル、および不正ツールを配布するようなwebサイトのリンク経由で感染します。そのため、Eメールの取り扱い、そして危険なサイトに近づかないようにすることがEmotet対策の第一歩であり、最大の防御策です。インターネットを使用する業務に携わっている方は、以下のような注意を徹底して実施してください。
・不審なメールは開かずに破棄する、迷惑メールフィルタなどを活用する
・心当たりのない添付ファイルは、既知の人物からであってもむやみに開かない
・Microsoft Officeのマクロ機能は無効にする。マクロ機能が必要な場合、メールでマクロ付きOfficeファイル(.docm、.xlsm)をメール添付で受け取らない
・Office2007以前形式のOfficeファイル(.doc、.xls)をメール添付で受け取らない
・メールなどに記載された不明なURLにむやみにアクセスしない
まとめ
Emotetの具体的な影響や被害事例、直近(2022年5月執筆時点)の状況などをまとめました。
Emotetは本項執筆時点で今なお感染が拡大しています。Emotetの感染は自組織にはさらに未知の被害に及ぶ可能性が、外部関係者には迷惑メールを送おくりつけるといったことで、多方面への影響が懸念されます。 感染しないためにも不審なEメール、添付ファイル、URLに注意するよう、企業内・組織内の周知徹底が急務と言えます。