エモテットはスマホやMacに感染するか?エモチェックは有効か?~最新のEmotet対策を解説

EmotetはスマホやMacに感染するか?
マルウェアエモテット(Emotet)が猛威を振るっています。EmotetはWindowsパソコンに感染しますが、iPhoneやAndroidスマホ、iPadのようなタプレット、またMacに感染するのか?心配になります。またEmotetを発見できるツール「エモチェック(EmoCheck)」はスマホやMacに使えるのか?そんな疑問も含めて、最新のEmotetの状況をやさしく解説します。

エモテット(Emotet)とは

EMOTETはどんなコンピューターウイルスか?

EMOTETは添付ファイルを開かせることで感染を広げる

EMOTETは、メールの添付ファイルでユーザーの手元に届くマルウェア(不正ソフト)です。
Emotetの攻撃メールの添付ファイルは、マイクロソフトのExcel形式のファイルを圧縮してパスワード付ZIPファイルとして添付された形で送られてきます。

また、数は少ないですがWindowsのショートカットファイル(LNKファイル)に偽装したものも発見されています。

エモテットの攻撃メールの本文には、

  1. 「実際に使われているメール」を偽装し「至急」「重要」「請求」「見積」「上司に見せて判断を仰ぐように」「人事情報」など、さまざまな表現で、添付ファイルをすぐに開くように誘導する。
  2. 「セキュリティの危険があるので添付ファイルを実行してすぐにアップデートするように勧める。

など、添付ファイルを開いてみたくなるようなもっともらしい文面が書かれています。
ただ機械的に作成しているようで、文意が整っていないものもあります。

EMOTETは添付ファイルを開いただけでは感染しない?

エモテットの攻撃メールは、「見ただけ」「添付ファイルを開いただけ」では感染しません。
添付されたExcelファイルを開き、マイクロソフトの「セキュリティ警告」を無視して「コンテンツの有効化」クリックすると感染します。

なお、数は少ないとはいえ、「Windowsのショートカットファイル(LNKファイル)に偽装されたエモテット」はダブルクリックしただけで感染するため一層注意が必要です。

窓の杜

 マルウェア「Emotet」にショートカットファイル(.LNK)の亜種が発生しているようだ。一般社団法人JPCERT コ…

EMOTETに感染したらどんな被害をうけるのか?

Emotetの攻撃はメールデータの盗取だけではない

EMOTETは高度な技術を用いて身を隠し、敵国に潜入したスパイのように、Windowsパソコンの中に潜む「トロイの木馬」と呼ばれるマルウェアです。
したがってユーザーは感染したことにすぐには気がつきません。

EMOTETは通常のウイルスのように、被害者のパソコンでは目立った活動はせずに、まず被害者のパソコンのOutlookやThunderbirdからメールデータを盗取して取り込みます。そしてそれを元にメールを偽造して不正メールを発信します。
また外部の犯人と目立たぬように交信を行い、指示にしたがって、不正プログラムをダウンロードし、様々な不正動作をします。

エモテットに感染した被害とは?

  1. パソコン内に潜みながら、同じネットーワーグ内のWindowsパソコンに感染を拡大される。 
  2. MicrosoftのOutlookやThunderbirdのメールデータや、メールアカウントのパスワートを盗み、Emotetのサーバーへ送信される。
  3. エモテットに盗まれたメールのデータを元にいろいろな偽装された攻撃メールを作り送信される。
  4. エモテットのサーバー(C&Cサーバ)とに、感染したパソコンの概要(コンピユーター名、どんなソフトが動いているか?など)を伝えられてしまう。
  5. 感染したパソコンの概要を知った犯人が決めた攻撃方法により、EMOTETが不正なプログラムを受け取り、「メールアドレスやパスワードなど個人情報の盗取」「不正なメール送信」「他のパソコンへの感染拡大」「ランサムウェア感染」などの犯人が指示した不正行為を密かに実行する。

このような動作により、エモテット長期間にわたって様々な不正を働きます。

Emotetに感染すると送られる攻撃メールから感染元は分からない。発信を止めることもできない。

エモテットは盗み取ったメールデータを元に、件名や発信者のアドレス、本文を様々に組み合わせて、新たに様々な膨大な数の攻撃メールを作り、自らのサーバーから送信します。
そのためEmotetの攻撃メールの内容は無数のパターンがあり、届いた攻撃メールから感染源を判定することはできず、攻撃メールの差出人が感染源とは言えません。

またエモテットの攻撃メールはエモテットの自らのサーバーから送信されているため、感染したパソコンからEmotetを駆除しても、攻撃メールの発信は止めることはできず、Emotetが配信を止めるまで続くことになってしまいます。

こうなると、受信者が注意して、感染の拡大を止めるしか対処方法はありません。

 

EMOTETは進化し、ChromeやFirefoxのパスワードリストを盗むようになった!

2022年6月警視庁より衝撃の発表がありました。

ウェブブラウザ「Google Chrome」に保存されたクレジットカード番号や名義人氏名、カード有効期限を盗み、外部に送信する機能が追加されたことを確認しました
■警視庁:Emotetの解析結果について

Emotetが進化し、ChromeやFirefoxに暗号化されて安全に保管されているはずのパスワードやクレジットカード情報を盗み取るようになってしまったということです。

これまで個人の方がEmotetに感染しても「迷惑メールを送られる」ぐらいの被害しかありませんでしたが、これからのクレジットカードの不正使用や、パスワードを使われて不正ログインの対策までしなければならなくなりました。

■Androidスマホに感染してエモテットに似た不正活動をする「Joker」とは?

ブログ内の関連記事(新しいウィンドウで開きます)

「Joker」というEMOTETと同様に「密かに感染して被害を広める」凶悪なマルウェアが広まっています。「Joker」の特徴はAndroidのアプリに潜入して広がることで、Google公式ストアでも感染したアプリが発見されています。[…]

 

Emotetについては多くの情報がありますが、最も信用度の高い以下の
JPCERT/CC、IPA(情報処理推進機構)のサイトをご参照ください。

JPCERT/CC Eyes

本ブログでは、2019年12月時点のEmotetの情報を元に一部情報追加しながら、Emotetに感染した疑いがある場合の…

情報セキュリティ関連情報のユーザー、管理者、技術者に向けた発信、その前提となる情報収集、調査分析、研究開発、技術評価等の…

エモテット(Emotet)はスマホ、タプレット(iPhone、Android、iPad)には感染しない

エモテット(Emotet)がスマホ、タプレット(iPhone、Android、iPad)に感染しない理由

EMOTETはoffice製品のファイルのマクロを悪用して感染する

近年パソコンのセキュリティが強固なものとなり、従来のように不正なプログラムを送りつけて感染させる手法はなかなか成功しなくなりました。そこでEMOTETは感染を成功させるために、ユーザーに「添付ファイルを開かせてマクロを実行させる」という行為を経て初めて感染するように作られています。

EMOTETの感染の仕組みは、以下の3つの段階を経て感染します。

  1. メールに添付されているWord、Excelなど、マイクロソフトのOffice製品のファイルを開かせる。
  2. ユーザー自身に「コンテンツの有効化」ボタンを押させて、ファイルに仕込まれたマクロを動かす。
  3. マクロが外部よりEMOTET本体をダウンロードしてはじめて感染する。

つまり

ユーザーが上記の黄色い帯の右端にある「コンテンツの有効化」ボタンを押してマクロを動かさなければEMOTETは感染しません。

【Wordファイルの「コンテンツの有効化」】

EMOTETに感染しないための見逃してはならないWordのセキュリティ警告

Excel、Wordのマクロって何?

マクロとは、ソフトの動作を自動化する簡単なブログラムのことで、WordやExcelに標準搭載されており、Officeに詳しい方は普通に使っている便利な機能です。

たとえばExcelの表で作業する時、いつも同じ「検索」や「並び替え」といった操作を繰り返す時、これをマクロを使ってExcelに動作を指示すれば、Excelはワンタッチで、自動的に作業を繰り返してくれます。

マクロはオフィスソフトを使うときには大変便利な自動化の仕組みで、操作に慣れている人はしばしば使います。

EMOTETはこのマクロ機能を悪用し、外部からEMOTETの本体をダウンロードさせて、パソコンに感染させてしまうのです。

 

スマホやタブレットではマクロは動かないためEMOTETは感染しない

上記で説明したとおり、EmotetはOffice製品のマクロを悪用して感染します。
スマホやタブレット版にもExcelやWordは搭載されていますが、ファイル中のマクロはAndroidやiPhone(iOS),iPad(iPadOS)のスマホ上では実行できません。

したがってEMOTETはスマホでは感染しません。

受信したEmotetメールをタップして開いても感染の心配は無く、削除してしまえば大丈夫です。

 

エモテット(Emotet)は今のところMacに感染しない

EmotetがMacには今のところ感染しない理由は

Emotetの感染の仕組みを知るとスマホに感染しないことは理解できますが、MacではOffice製品のマクロは動きます。Macは感染しないのでしょうか?

Emotetの動作を解析すると、マクロが実行されると、次々のWindowsのコマンドプロンプトやPowerShellないでコマンドが実行されて、外部の不正サーバへ接続し、Emotetの本体のダウンロードに至ることが分かります。

先進あるいは新解釈に基づくサイバーセキュリティ動向を当社スペシャリストがわかりやすく解説します。…

つまり現状のEmotetは、Windows独自の機能を悪用して感染しているため、WIndows以外のOS、たとえばMacやLinuxには感染しません。

しかし、これはあくまで「今のところ」というただし書きがつきます。

JPCERT/CCの「マルウエアEmotetへの対応FAQ」にも

3. EmotetはWindows OS以外に感染しますか?
現時点では、Windows OS以外(Mac OS, Linux, iOS, Android等)での感染は確認されていません。 (2020.1.23 追加情報)
■「https://blogs.jpcert.or.jp/ja/2019/12/emotetfaq.html」より引用

にも「現時点では」と書かれています。

EmotetがWindowsで使っている同様の機能はMacやLinuxにも存在しているため、今後MacやLinuxを狙う新種のEmotetが登場する危険性はあります。

MacやLinuxユーザーも、「不用意に添付ファイルを実行しない」と言った注意は怠るべきではありません。

 

エモチェック(EmoCheck)はスマホ、タブレット(iPhone、Android、iPad)には使えません

エモチェック(EmoCheck)とは?

EmoCheckは、JPCERT/CCが提供しているEmotet感染有無をすぐに確認できるツールです。

一般のウイルス対策ソフトはスキャンに時間がかかりますが、EmoCheckはEmotetに特化しているため実行するとすぐに結果が判明します。

EmoCheckはJPCERT/CCのページからリンクされているGitHubのページよりダウンロードできます。

感染が疑われる端末へコピーして使いますが、端末のWindowsに応じてemocheck_x86.exeまたはemocheck_x64.exeを使用しますが、不明な場合はemocheck_x86.exeを使いましょう。

新種のエモテットに対応するためエモチェック(EmoCheck)しばしばバージョンアップがされます。使用するときは必ず最新版を使いましょう。

EmoCheckはWindows版だけが提供されている。

上記でご説明した通り、EmotetはWindowsパソコンだけに感染するため、EmoCheckもWIndows版だけが提供されています。
Macにはエモテットの感染が確認されていないため、EmoCheckは用意されていません。

スマホ(iOS、Android)にはEmotetは感染しないため、確認は不要です。

 

Emotetに感染しないためには

Emotetは感染するとやっかいなmalwareですが、少し注意することで容易に防ぐことができます。JPCERT/CCの「マルウエア Emotet の感染に関する注意喚起」を参考に対策を簡単にご説明します。

  1. 「不用意に添付ファイルを開かない」「コンテンツの有効かボタンを押さない」など注意喚起
  2.  「Wordのマクロの自動実行」は無効にしておく
  3. Outlookのようなメールソフトの仕様を中止し、GmailのようなWEBメールへの移行を進める(迷惑メール対策としても有効)。
  4. セキュリティ対策ソフトの導入
  5. Windowsアップデートのアップデートを必ず実施。

 

まとめ:
Emotetは正しく対応すれば怖くない

近年、OSやデジタル機器のセキュリティは大幅に強化されたため、パソコンは簡単にウイルスやマルウェアに感染するようなことはありません。

Emotetにしても、不用意に暗号化された添付ファイルを開き、警告を無視して実行して初めて感染します。ただ見ただけ受け取っただけでは全く感染する心配はありませんし、スマホではそもそも感染しません。

「不用意に添付ファイルを開かない」という簡単な知識があれば防げるのです。

むしろ不安に駆られて、不要なサービスやアプリを入れてしまうことの方が危険につながりますので、ぜひ正しい知識を元に「正しく怖がって」下さい。

 

 

「私のスマホやパソコンがハッキングされているかも、、」不安な時の強い味方をご紹介!

今のスマホやパソコンは安全ですが、どうしても不安が拭えないこともあります。またデジタル社会では、デバイスのロック解除が必要になったり、不正行為の証拠を集めるなければならない事態もあります。
ただしネット上には不確かな情報や怪しい業者も目立ちます。セキュリティに関わる調査は絶対に信頼できるプロに任せなければいけません。

デジタルキーパーも貴重な情報を提供いただいている「DDFデジタルデータソリューション株式会社 の《デジタルフォレンジング》」は、官公庁、警察・捜査機関からの信頼も厚い、国内随一の高い技術と実績を持つサービスです。

各種マルウェア・ハッキング調査はデジタルフォレンジングへ
パスワード解析はデジタルフォレンジングへ

 

 

■おすすめセキュリティソフト

 

Digital Keeperお薦めのセキュリティソフト

やはりセキュリティ対策ソフトは必要です

今では、サイバー攻撃の主流はユーザーをだまして、不正プログラムをインストールさせたり、偽サイトに誘導し個人情報を盗み取る手法に移行しています。

Windows10のセキュリティ機能(Windows Defender)は、ウイルスの侵入は防ぎますが、ユーザーをだますフィッシング対策はありません。

セキュリティ専門ソフトは、より強力な防御力と以下のような追加機能で、あなたとご家族の危険を確実に減らしてくれます。

  • フィッシングサイト等、ネット上の危険なコンテンツへのアクセスを止める。
  • フィッシングメールにだまされてURLをクリックしても「警告」して止める。
  • 感染しても重要な個人情報の流出や不正送金を食い止める。
  • ネット上にあなたの個人情報が流出していないか調査する。
  • お子様のネットの利用時間や不健全なサイト利用を制限する。
  • 紛失したスマホを探したり、データを削除する。
  • 外出時に使う公衆wifiをVPNを使って安全に使用する。
  • サイバー攻撃にあった時、ユーザーサポートの支援が受けられる。

※iPhoneは強固な構造のためセキュリティアプリは不要ですが、Androidにはセキュリティアプリは必要です。

セキュリティソフトの選び方、買い方

セキュリティソフトの選択は、価格や広告で選んではいけません!無料なアプリはかえって危険につながることもあります。

  • 世界各国で使用実績が豊富で、要求が厳しい企業向け製品にも実績のある
  • 運営会社が信頼でき、国家からの干渉がなく、個人情報やデータの秘密が守られる
  • 動作が軽く、機器使用の障害にならない
  • ご自身だけでなく、ご家族のスマートフォン、タブレットもすべてカバーできる
  • ユーザーサポートがしっかりしている。

製品がおすすめです。

また、タブレットやスマホまで、トータルでカバーできて「子供が無くしたスマホを探す」など家中の機器すべてをまとめてセキュリティ管理でき、費用も大幅に安くできます。
購入は、ダウンロード販売が使用環境に併せて、数や機能を選択できるため、安くて便利です。ご家庭のパソコンやスマホの数(1台~10台)や使用期間(1年~3年)にあったものをお選びください。

お奨めのセキュリティソフトはノートン

Digital Keeperがおすすめしているのは世界で一番売れているーノートン の製品です。

ノートンは1990年から販売されている世界でも指折りのセキュリティ対策ツールです。防御力は世界各地の第三者機関のテストで常に「最上」の評価で、ノートン セキュア VPNという、wifiを安全に使えるVPN機能も標準で含まれています。