エモテットはスマホやMacに感染するか?エモチェックは有効か?~最新のEmotet対策を解説

EmotetはスマホやMacに感染するか?
マルウェアエモテット(Emotet)が猛威を振るっています。EmotetはWindowsパソコンに感染しますが、iPhoneやAndroidスマホ、iPadのようなタプレット、またMacに感染するのか?心配になります。またEmotetを発見できるツール「エモチェック(EmoCheck)」はスマホやMacに使えるのか?そんな疑問も含めて、最新のEmotetの状況をやさしく解説します。

エモテット(Emotet)とは

EMOTETはどんなコンピューターウイルスか?

EMOTETは添付ファイルを開かせることで感染を広げる

EMOTETは、メールの添付ファイルでユーザーの手元に届くマルウェア(不正ソフト)です。
Emotetの攻撃メールの添付ファイルは、マイクロソフトのExcel形式のファイルを圧縮してパスワード付ZIPファイルとして添付された形で送られてきます。

また、数は少ないですがWindowsのショートカットファイル(LNKファイル)に偽装したものも発見されています。

エモテットの攻撃メールの本文には、

  1. 「実際に使われているメール」を偽装し「至急」「重要」「請求」「見積」「上司に見せて判断を仰ぐように」「人事情報」など、さまざまな表現で、添付ファイルをすぐに開くように誘導する。
  2. 「セキュリティの危険があるので添付ファイルを実行してすぐにアップデートするように勧める。

など、添付ファイルを開いてみたくなるようなもっともらしい文面が書かれています。
ただ機械的に作成しているようで、文意が整っていないものもあります。

EMOTETは添付ファイルを開いただけでは感染しない?

エモテットの攻撃メールは、「見ただけ」「添付ファイルを開いただけ」では感染しません。
添付されたExcelファイルを開き、マイクロソフトの「セキュリティ警告」を無視して「コンテンツの有効化」クリックすると感染します。

なお、数は少ないとはいえ、「Windowsのショートカットファイル(LNKファイル)に偽装されたエモテット」はダブルクリックしただけで感染するため一層注意が必要です。

窓の杜
「Microsoft Office」がなくても感染する「Emotet」の亜種 ~ショートカットファイル実行で感染/VBAマクロに警戒・ブロックすれば感染しないという思い込みは禁物

 マルウェア「Emotet」にショートカットファイル(.LNK)の亜種が発生しているようだ。一般社団法人JPCERT コ…

EMOTETに感染したらどんな被害をうけるのか?

Emotetの攻撃はメールデータの盗取だけではない

EMOTETは高度な技術を用いて身を隠し、敵国に潜入したスパイのように、Windowsパソコンの中に潜む「トロイの木馬」と呼ばれるマルウェアです。
したがってユーザーは感染したことにすぐには気がつきません。

EMOTETは通常のウイルスのように、被害者のパソコンでは目立った活動はせずに、まず被害者のパソコンのOutlookやThunderbirdからメールデータを盗取して取り込みます。そしてそれを元にメールを偽造して不正メールを発信します。
また外部の犯人と目立たぬように交信を行い、指示にしたがって、不正プログラムをダウンロードし、様々な不正動作をします。

エモテットに感染した被害とは?

  1. パソコン内に潜みながら、同じネットーワーグ内のWindowsパソコンに感染を拡大される。 
  2. MicrosoftのOutlookやThunderbirdのメールデータや、メールアカウントのパスワートを盗み、Emotetのサーバーへ送信される。
  3. エモテットに盗まれたメールのデータを元にいろいろな偽装された攻撃メールを作り送信される。
  4. エモテットのサーバー(C&Cサーバ)とに、感染したパソコンの概要(コンピユーター名、どんなソフトが動いているか?など)を伝えられてしまう。
  5. 感染したパソコンの概要を知った犯人が決めた攻撃方法により、EMOTETが不正なプログラムを受け取り、「メールアドレスやパスワードなど個人情報の盗取」「不正なメール送信」「他のパソコンへの感染拡大」「ランサムウェア感染」などの犯人が指示した不正行為を密かに実行する。

このような動作により、エモテット長期間にわたって様々な不正を働きます。

Emotetに感染すると送られる攻撃メールから感染元は分からない。発信を止めることもできない。

エモテットは盗み取ったメールデータを元に、件名や発信者のアドレス、本文を様々に組み合わせて、新たに様々な膨大な数の攻撃メールを作り、自らのサーバーから送信します。
そのためEmotetの攻撃メールの内容は無数のパターンがあり、届いた攻撃メールから感染源を判定することはできず、攻撃メールの差出人が感染源とは言えません。

またエモテットの攻撃メールはエモテットの自らのサーバーから送信されているため、感染したパソコンからEmotetを駆除しても、攻撃メールの発信は止めることはできず、Emotetが配信を止めるまで続くことになってしまいます。

こうなると、受信者が注意して、感染の拡大を止めるしか対処方法はありません。

 

EMOTETは進化し、ChromeやFirefoxのパスワードリストを盗むようになった!

2022年6月警視庁より衝撃の発表がありました。

ウェブブラウザ「Google Chrome」に保存されたクレジットカード番号や名義人氏名、カード有効期限を盗み、外部に送信する機能が追加されたことを確認しました
■警視庁:Emotetの解析結果について

Emotetが進化し、ChromeやFirefoxに暗号化されて安全に保管されているはずのパスワードやクレジットカード情報を盗み取るようになってしまったということです。

これまで個人の方がEmotetに感染しても「迷惑メールを送られる」ぐらいの被害しかありませんでしたが、これからのクレジットカードの不正使用や、パスワードを使われて不正ログインの対策までしなければならなくなりました。

■Androidスマホに感染してエモテットに似た不正活動をする「Joker」とは?

ブログ内の関連記事(新しいウィンドウで開きます)
アプリに潜むマルウェア「Joker」からAndroidアプリの弱点と対策を知ろう

「Joker」というEMOTETと同様に「密かに感染して被害を広める」凶悪なマルウェアが広まっています。「Joker」の特徴はAndroidのアプリに潜入して広がることで、Google公式ストアでも感染したアプリが発見されています。[…]

 

Emotetについては多くの情報がありますが、最も信用度の高い以下の
JPCERT/CC、IPA(情報処理推進機構)のサイトをご参照ください。

JPCERT/CC Eyes
マルウエアEmotetへの対応FAQ - JPCERT/CC Eyes

本ブログでは、2019年12月時点のEmotetの情報を元に一部情報追加しながら、Emotetに感染した疑いがある場合の…

IPA 独立行政法人 情報処理推進機構
Emotet(エモテット)関連情報 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構

情報処理推進機構(IPA)の「Emotet(エモテット)関連情報」に関する情報です。…

エモテット(Emotet)はスマホ、タプレット(iPhone、Android、iPad)には感染しない

エモテット(Emotet)がスマホ、タプレット(iPhone、Android、iPad)に感染しない理由

EMOTETはoffice製品のファイルのマクロを悪用して感染する

近年パソコンのセキュリティが強固なものとなり、従来のように不正なプログラムを送りつけて感染させる手法はなかなか成功しなくなりました。そこでEMOTETは感染を成功させるために、ユーザーに「添付ファイルを開かせてマクロを実行させる」という行為を経て初めて感染するように作られています。

EMOTETの感染の仕組みは、以下の3つの段階を経て感染します。

  1. メールに添付されているWord、Excelなど、マイクロソフトのOffice製品のファイルを開かせる。
  2. ユーザー自身に「コンテンツの有効化」ボタンを押させて、ファイルに仕込まれたマクロを動かす。
  3. マクロが外部よりEMOTET本体をダウンロードしてはじめて感染する。

つまり

ユーザーが上記の黄色い帯の右端にある「コンテンツの有効化」ボタンを押してマクロを動かさなければEMOTETは感染しません。

【Wordファイルの「コンテンツの有効化」】

EMOTETに感染しないための見逃してはならないWordのセキュリティ警告

Excel、Wordのマクロって何?

マクロとは、ソフトの動作を自動化する簡単なブログラムのことで、WordやExcelに標準搭載されており、Officeに詳しい方は普通に使っている便利な機能です。

たとえばExcelの表で作業する時、いつも同じ「検索」や「並び替え」といった操作を繰り返す時、これをマクロを使ってExcelに動作を指示すれば、Excelはワンタッチで、自動的に作業を繰り返してくれます。

マクロはオフィスソフトを使うときには大変便利な自動化の仕組みで、操作に慣れている人はしばしば使います。

EMOTETはこのマクロ機能を悪用し、外部からEMOTETの本体をダウンロードさせて、パソコンに感染させてしまうのです。

 

スマホやタブレットではマクロは動かないためEMOTETは感染しない

上記で説明したとおり、EmotetはOffice製品のマクロを悪用して感染します。
スマホやタブレット版にもExcelやWordは搭載されていますが、ファイル中のマクロはAndroidやiPhone(iOS),iPad(iPadOS)のスマホ上では実行できません。

したがってEMOTETはスマホでは感染しません。

受信したEmotetメールをタップして開いても感染の心配は無く、削除してしまえば大丈夫です。

 

エモテット(Emotet)は今のところMacに感染しない

EmotetがMacには今のところ感染しない理由は

Emotetの感染の仕組みを知るとスマホに感染しないことは理解できますが、MacではOffice製品のマクロは動きます。Macは感染しないのでしょうか?

Emotetの動作を解析すると、マクロが実行されると、次々のWindowsのコマンドプロンプトやPowerShellないでコマンドが実行されて、外部の不正サーバへ接続し、Emotetの本体のダウンロードに至ることが分かります。

三井物産セキュアディレクション株式会社
流行マルウェア「EMOTET」の内部構造を紐解く | 技術者ブログ | 三井物産セキュアディレクション株式会社

EMOTETというマルウェアは2014年にはじめて確認されて以来、様々な変化を遂げてきました。当初はオンライン銀行の認証…

つまり現状のEmotetは、Windows独自の機能を悪用して感染しているため、WIndows以外のOS、たとえばMacやLinuxには感染しません。

しかし、これはあくまで「今のところ」というただし書きがつきます。

JPCERT/CCの「マルウエアEmotetへの対応FAQ」にも

3. EmotetはWindows OS以外に感染しますか?
現時点では、Windows OS以外(Mac OS, Linux, iOS, Android等)での感染は確認されていません。 (2020.1.23 追加情報)
■「https://blogs.jpcert.or.jp/ja/2019/12/emotetfaq.html」より引用

にも「現時点では」と書かれています。

EmotetがWindowsで使っている同様の機能はMacやLinuxにも存在しているため、今後MacやLinuxを狙う新種のEmotetが登場する危険性はあります。

MacやLinuxユーザーも、「不用意に添付ファイルを実行しない」と言った注意は怠るべきではありません。

 

エモチェック(EmoCheck)はスマホ、タブレット(iPhone、Android、iPad)には使えません

エモチェック(EmoCheck)とは?

EmoCheckは、JPCERT/CCが提供しているEmotet感染有無をすぐに確認できるツールです。

一般のウイルス対策ソフトはスキャンに時間がかかりますが、EmoCheckはEmotetに特化しているため実行するとすぐに結果が判明します。

EmoCheckはJPCERT/CCのページからリンクされているGitHubのページよりダウンロードできます。

感染が疑われる端末へコピーして使いますが、端末のWindowsに応じてemocheck_x86.exeまたはemocheck_x64.exeを使用しますが、不明な場合はemocheck_x86.exeを使いましょう。

新種のエモテットに対応するためエモチェック(EmoCheck)しばしばバージョンアップがされます。使用するときは必ず最新版を使いましょう。

EmoCheckはWindows版だけが提供されている。

上記でご説明した通り、EmotetはWindowsパソコンだけに感染するため、EmoCheckもWIndows版だけが提供されています。
Macにはエモテットの感染が確認されていないため、EmoCheckは用意されていません。

スマホ(iOS、Android)にはEmotetは感染しないため、確認は不要です。

 

Emotetに感染しないためには

Emotetは感染するとやっかいなmalwareですが、少し注意することで容易に防ぐことができます。JPCERT/CCの「マルウエア Emotet の感染に関する注意喚起」を参考に対策を簡単にご説明します。

  1. 「不用意に添付ファイルを開かない」「コンテンツの有効かボタンを押さない」など注意喚起
  2.  「Wordのマクロの自動実行」は無効にしておく
  3. Outlookのようなメールソフトの仕様を中止し、GmailのようなWEBメールへの移行を進める(迷惑メール対策としても有効)。
  4. セキュリティ対策ソフトの導入
  5. Windowsアップデートのアップデートを必ず実施。

 

まとめ:
Emotetは正しく対応すれば怖くない

近年、OSやデジタル機器のセキュリティは大幅に強化されたため、パソコンは簡単にウイルスやマルウェアに感染するようなことはありません。

Emotetにしても、不用意に暗号化された添付ファイルを開き、警告を無視して実行して初めて感染します。ただ見ただけ受け取っただけでは全く感染する心配はありませんし、スマホではそもそも感染しません。

「不用意に添付ファイルを開かない」という簡単な知識があれば防げるのです。

むしろ不安に駆られて、不要なサービスやアプリを入れてしまうことの方が危険につながりますので、ぜひ正しい知識を元に「正しく怖がって」下さい。

 

 

「私のスマホやパソコンがハッキング、感染しているかも、、」本当にハッキングされているか確実に調べる方法は?

ネット上のデマや悪質業者の広告を信じてはいけない!

当ブログでご説明しているとおり、スマホやパソコンに突然現れる「ハッキングやウイルスの警告」は広告目的の詐欺警告がほとんどです。

しかし、まれとは言え、時には「不正なアプリをインストールされた」「アカウントを乗っ取られた」などが原因で本当にハッキングされることもあります。

本当にハッキングされているかも、、」とどうしても心配なときは、ハッキングやウイルス感染などの調査を行っている専門会社に調査を依頼しましょう。

しかし、ネットで調べると、ハッキング調査を探偵や興信所が行っているところが見つかりますが、パソコンやスマホのセキュリティが強化されている現在、ログ解析などのハッキング調査は高度な技術と実績を持つ専門家しかできません。

より正確な情報を安全に調べるには、ハッキング調査の専門業者に相談しましょう。

おすすめのハッキング調査会社:デジタルデータフォレンジック

デジタルキーパーも貴重な情報を提供いただいている「デジタルデータソリューション株式会社 の《デジタルデータフォレンジック》」は、官公庁、警察・捜査機関からの信頼も厚い、国内随一の高い技術と実績を持つサービスです。

累計の相談件数は1万4,000件以上。国内売上11年連続No.1のデータ復旧技術を利用して、デジタル遺品の調査・データ抽出を受け付けています。

相談~調査の見積もりまでは無料で対応してくれるので、まずは一度相談してみるとよいのではないでしょうか。

「※本サイトはアフィリエイト広告を利用しています。」

おすすめの調査会社:デジタルデータフォレンジック

トロイの木馬の感染調査、マルウェア感染調査の専門業者への依頼はこちら

 

■おすすめセキュリティソフト