fbpx

EMOTET(エモテット)に感染しない対策は?~感染の仕組みと手口から学ぶ

偽造されたメールの添付ファイルから感染するマルウェアEMOTET(エモテット)が猛威を振るっています。検査をすり抜けるZIPで暗号化されたものも増えました。
EMOTETに感染したら情報漏えい以外にも多くの脅威にさらされてしまいますが、その特徴や感染の手口を知っていれば、十分に対処できます。
EMOTETの特徴から感染方法、そして絶対感染しない唯一の方法や対策などをできるだけやさしくご説明します。
目次
/ins>

急激に拡大するEMOTET(エモテット)の脅威

EMOTETは大企業狙いから、個人も狙う無差別攻撃に移行している!

エモテット(EMOTET)は、2014年頃より活動している、主に「メールの添付ファイル」を悪用する歴史の古いマルウェアです。

「活発な活動」と「影を潜める」時期を繰り返しながら、進化していましたが、新型コロナの混乱に乗じて7月頃から増えはじめ、8月下旬から9月に入って全世界で爆発的に増加しています。

EMOTETには優秀なハッカー達が開発に加わっているようで、セキュリティ対策ソフトもくぐり抜けるように隠ぺい化機能を向上させた新バージョンが次々に生まれてています。

さらに9月以降EMOTETは、セキュリティ対策ソフトの検知をすり抜けるため「パスワード付のZIP添付ファイル」で送られる事例が激増し、ますます危険な状況となっています

かつては企業ユーザーをターゲットにする「標的型攻撃」で使われることが多かったのですが、今は一般向けに「もっともらしい内容のメールに添付された添付ファイル」を無差別に送りつける「ばらまき型攻撃」も行われるようになり、非常に危険なため、世界中で注意喚起が発表されています

個人から中小~大企業までEMOTETの感染は毎日のように報道されています。

アメリカでは大統領選挙をねらったEMOTETが飛び交った!

エモテットの攻撃は人々の興奮に便乗して、時々の大きなイベントや流行を追って広がります。

この春から夏には「新型コロナ対策をかたるEMOTETメール」が目立ちましたが、アメリカでは秋には、大統領選挙に関連した「支持要請」「選挙運動ボランティア募集」といった要件のメールにエモテットを添付し、感染させる手口が流行しました。

一見しただけでは見分けがつかない、政党をよそおった精巧な偽造メールで、選挙に夢中のユーザーに添付ファイルを開かせて、一気に感染を広げているのです。

大統領選挙の支援を装うEMOTETメール出展:Proofpoint社

クリスマスカードもEMOTETに狙われている

またクリスマスやハローウィンといった年中行事の招待メールにEMOTETを紛れ込ませるのも常套手段です。

「詳しくは添付ファイルを開いて読んで」と書かれていると、つい開きたくなってしまいます。

しかし、下記で詳しくご説明していますが、添付ファイルを開いた際に出てくる、「セキュリティ警告」を見逃さず、「コンテンツの有効化」を決してクリックしないようにして下さい。

 

EMOTET(エモテット)とは?

EMOTETはどんなコンピューターウイルスか?感染したらどうなる?

EMOTETは添付ファイルを開かせることで感染を広げる

EMOTETは、メールの添付ファイルでユーザーの手元に届きます。

添付ファイルはマイクロソフトのExcelやWordのファイルで送られてきますが、近年圧縮されたパスワード付ZIPファイルが添付されたものも増えてきました。

  1. メール文面では「至急」「重要」「請求」「見積」「上司に見せて判断を仰ぐように」「人事情報」など、さまざまな表現で、添付ファイルをすぐに開くように誘導します。
  2. 「セキュリティの危険があるので添付ファイルを実行してすぐにWindows Updateを勧める」ものもあります。
  3. ユーザーが文面を信じて、添付されたExcelまたはWordのファイルを開き、マイクロソフトの「セキュリティ警告」を無視して「コンテンツの有効化」クリックすると感染します。

感染しても自らは行動せず、痕跡を隠して潜む

感染しても、EMOTET自体はすぐに何もしません。
EMOTETは高度な技術を用いて身を隠し、敵国に潜入したスパイのように、パソコンの中に潜む「トロイの木馬」と呼ばれるマルウェアです。

したがってユーザーは感染したことに全く気がつきません。

EMOTETは通常のウイルスのようにすぐに独自の不正活動はせずに、じっと潜みながら外部の犯人と目立たぬように交信を行い、指示にしたがって、不正プログラムをダウンロードしたり、不正な動作をします。

感染後密かに活動するEMOTETの動作と被害

  1. 感染しても自らの存在がばれないように、痕跡を隠す。
  2. 密かに外部の犯人(C&Cサーバ)と交信し、感染したパソコンの概要(コンピユーター名、どんなソフトが動いているか?など)を伝える。
  3. 感染パソコンの概要を知った外部の犯人が攻撃方法を決め、EMOTETに不正なプログラムを送り、攻撃命令を出す。
  4. EMOTETは不正なプログラムを受け取り、「メールアドレスやパスワードなど個人情報の盗取」「不正なメール送信」「他のパソコンへの感染拡大」「ランサムウェア感染」などの犯人が指示した不正行為を密かに実行する。
  5. 犯罪者がEMOTET経由で実現した不正侵入を、他の犯罪者に貸し出すAaaS (Access-as-a-Service)という動きもある。

このような動作により、EMOTETはいったん感染するとなかなか発見されずに、長期間にわたっていろいろな不正を働くのです。

 

■Androidスマホに感染してエモテットに似た不正活動をする「Joker」とは?

ブログ内の関連記事(新しいウィンドウで開きます)

「Joker」というEMOTETと同様に「密かに感染して被害を広める」凶悪なマルウェアが広まっています。「Joker」の特徴はAndroidのアプリに潜入して広がることで、Google公式ストアでも感染したアプリが発見されています。[…]

 

 

EMOTET(エモテット)に感染しないため、ひとつだけ覚えていただきたいこと

ExcelやWordの「セキュリティ警告」を決して見逃さない!

EMOTETに感染しないためには、以下の「たったひとつのこと」だけを覚えてください

★添付ファイルを開いた際に出てくる、下記の「セキュリティ警告」を見逃さず、「コンテンツの有効化」を決してクリックしない!!★

EMOTETに感染しないための見逃してはならないセキュリティ警告

身元が確かでない添付ファイルの「コンテンツ有効化」のボタンは決して押さない

EMOTETはユーザーが「コンテンツの有効化」をクリックしない限り感染しない

EMOTETは仕組み上、添付ファイルを開いただけでは感染しません。

実はEMOTETの感染源となるメールには「EMOTETはまだ入っていない」のです

EMOTETの感染の仕組みは、以下の3つの段階を経て感染します。

  1. メールに添付されているWord、Excelなど、マイクロソフトのOffice製品のファイルを開かせる。
  2. ユーザー自身に「コンテンツの有効化」ボタンを押させて、ファイルに仕込まれたマクロを動かす。
  3. マクロが外部よりEMOTET本体をダウンロードしてはじめて感染する。

つまり

ユーザーが上記の黄色い帯の右端にある「コンテンツの有効化」ボタンを押してマクロを動かさなければEMOTETは感染しません。

以下、WordとExcelのファイルを開いた画面例でご説明します。

【Wordファイルの「コンテンツの有効化」】

EMOTETに感染しないための見逃してはならないWordのセキュリティ警告

【Excelファイルの「コンテンツの有効化」】

EMOTETに感染しないための見逃してはならないExcelのセキュリティ警告

上のような警告が出た際に、「これは危ない!」と「コンテンツの有効化をクリック」さえしなければ、EMOTETの感染は防げます。

身元が確かでない添付ファイルの「コンテンツ有効化」のボタンは決して押さない


後は不正なメールとダウンロードした添付ファイルを完全に削除してしまえば安心です。

 

Excel、Wordのマクロって何?

マクロとは、ソフトの動作を自動化する簡単なブログラムのことで、WordやExcelに標準搭載されており、少しOfficeに詳しい方は普通に使っている便利な機能です。

たとえばExcelの表で作業する時、いつも同じ「検索」や「並び替え」といった操作を繰り返す時、これをマクロを使ってExcelに動作を指示すれば、Excelはワンタッチで、自動的に作業を繰り返してくれます。

マクロはオフィスソフトを使うときには大変便利な自動化の仕組みで、操作に慣れている人はしばしば使います。

EMOTETはこのマクロ機能を悪用し、外部からEMOTETの本体をダウンロードさせて、パソコンに感染させてしまうのです。

なぜEMOTETはマクロを悪用するのか?

昔は「添付ファイルを開いた途端に感染したり、画面を見ただけで感染する」ような、悪質なコンピューターウイルスがありました。

しかし、今のパソコンやOSでは、セキュリティがかなり強化され、不正プログラムが侵入しようとすると、すぐに発見されて防御されるようになっています。

そこで、無害なExcelやWordのマクロを使って、「ユーザーをもっともらしいメールでだまして、添付ファイルのマクロを使う許可をもらって、ダウンロードさせる」という、いわば原始的な方法で、最新のコンピューターの防御策を突破しているのです。

2014年頃に登場した古いタイプのウイルスであるEMOTETがずっとマクロを悪用しているのは、これが理由です。

EMOTETは今のスマホ上(iPhone/Android共)では感染しない

スマホやタブレット版にもExcelやWordは搭載されていますが、ファイル中のマクロはAndroidやiPhone(iOS),iPad(iPadOS)のスマホ上では実行することはできません。

そのため今のところ、EMOTETはスマホでは感染しません

 

EMOTET(エモテット)に感染しないための対策

EMOTETの仕組みや弱点を知って感染防止対策をしよう

EMOTETは感染したらやっかいなウイルスですが、感染方法は原始的なため、特徴を逆手にとった有効な対応策が可能です。

「パソコンなど機器やソフトウェア」と「使用するユーザーの心がけ」の2つの対策があります。

対策1.機器やソフトウェアによる対策

1.オフィス製品のマクロの自動実行はオフになっているか?確認する

上に書いたとおり、EMOTETはWordやExcelのマクロを悪用して感染します。

マクロの危険性はMicrosoftも分かっていますので、WordやExcelでは初期設定は「マクロは無効」になっていて、マクロの使用が必要で求められた時には、な時だけ、ユーザーに「警告」を出すよう設定されています。

EMOTETに感染しないための見逃してはならないセキュリティ警告

しかしオフィスなどでマクロを多用する方が「いちいちと警告が出て有効化するのは面倒だ」とこの機能を解除している場合があります。非常に危険ですので、念のため「無効になっているか?」確認しましょう

WordやExcelの「ファイル」-「オプション」-「トラストセンター(またはセキュリティーセンター)」で簡単に確認できます。

【Wordの設定例(バージョンによって異なります)】

EMOTETに感染しないため、Office製品のセキュリティ設定の確認方法

EMOTETに感染しないため、Office製品のセキュリティ設定の確認方法

2.信頼できるセキュリティ対策ソフトを入れる

信用できる大手のセキュリティー製品をいれましょう。

これらの製品は、「添付ファイル付きのメールが届く時」あるいは「マクロを実行してEMOTETがダウンロードされる際」に警告して感染を防いでくれる可能性があります。

しかし、EMOTETのようなマルウェアは常に進化して変化しているため、セキュリティソフトの予防は万全とは言えません。

Windows10をお使いの方はMicrosoftDefenderという対策ソフトが標準で含まれていますし、企業では高価なセキュリティ対策ソフトを導入しています。

それでもEMOTETは防げないことがしばしばあることが現実です。

またこの頃増えてきた「パスワード付ZIPで圧縮された添付ファイル」の場合、セキュリティソフトの検査ができないため、素通りされてしまいます。

「セキュリティソフトを入れて入るから安心」とは決して思わないでください。

3.Windows UpdateなどOS、アプリのアップデートは常に実行する。

EMOTETに限らず、コンピューターウイルスやマルウェアは、OSやアプリの欠陥・弱点(脆弱性)につけ込んで感染したり被害を生み出します。

それを防ぐために、メーカーが提供するアップデートはできるだけ早く対応することが、セキュリティの基本です。

ブログ内の関連記事(新しいウィンドウで開きます)

2020年9月2日に新型コロナ対策に対応したAppleのiOS13.7、17日にはiOS14にバージョンアップされました。しかし接触確認アプリCOCOAも引き続き必要です。接触感染通知アプリCOCOAと一体化した新しいiOSは何が画期的[…]

OSアップデートのお薦め

対策2.メールに対して常時警戒する

1.EMOTET犯は狡猾で知的レベルが高く、あなたの予想を超えた偽造をします。

Emotetを使った攻撃の特徴は「添付ファイルを開かせるため、差出人や件名など本物のメールと区別がつかない、よくできた偽装メールを使う」事にあります。

上に書いたように、犯人からすると、EMOTETに感染させるためには、メール本文により被害者を完全に信用させ、何の疑いもなく添付ファイルを開かせて、さらに「コンテンツの有効化」をクリックさせなければならないのです。

そのため、メールの本文の偽装は相当気を使ってレベルの高いものを作り上げています。

まずメールを盗み出し、それを参考にしながら、実在する発信者からのメールや、請求書とか見積書といった、それらしいメールを作り上げ、重要そうな添付ファイルへ偽装しています

なお送信元のメールアドレスを偽装することは簡単ですから、全くあてになりません。

9月になってセキュリティ会社のトレンドマイクロからの実物のメールを流用した、個人宛の攻撃も確認されています。

以下のメールのように、一見しただけでは全く偽物と気がつかない精巧なフィッシングメールが送られてきます。

以前、大手航空会社や旅行会社が感染した際は経営トップが謝罪する事態になりました。

万一感染した際にどれだけ大変な事になるかを考えて、「安易に添付ファイルを開いてコンテンツの有効化」をクリックするようなことはお控えください。

トレンドマイクロ社からのアンケートメールを装うEMOTETの文面
■画像引用元:トレンドマイクロ社セキュリティブログ

2.メールの本文だけで判断して信用してはいけない

上記のように、本物のメールの文面を流用した精巧なEMOTETメールが多数確認されています。

以下のような文面が確認されています。

請求書、ボーナス支給、配送情報、新型コロナ対策、次の会議の議題、会議の招待、仕事の依頼、請求書発行・送付依頼、入金通知

さらに海外ではマイクロソフトよりのWordのアップグレードに見せかけて、「編集を有効にするをクリックし、コンテンツを有効にするボタンをクリックするように」と指示するEMOTETメールまで発見されています。

WordのアップグレードをかたるEMOTETメール

信頼できそうな企業から、もっともらしい名目で添付ファイルが送られてきても、完全に信用できるもの以外は、安易に添付ファイルを開いてはいけません。

しかも特定の企業を狙った攻撃では、犯人はまず企業で使われているメールを盗み出して、差出人や文面を流用することまでします。

日本の有名航空会社や大手旅行会社が狙われた手口では、日常的にやりとりされているメールに偽装され、どう読んでも不正メールとは見えないように作られていました。

「メールへの返信ではない、電話などの別の手段」で発信元に真偽を問い合わせる」などしてから対処しましょう。

3.パスワード付の添付ファイルは特に気をつける。

「パスワードで暗号化されたZIPファイル」を添付し「別メールでパスワードを送る」手法は、企業間でしばしば使われています。
しかし暗号化のため、セキュリティ対策ソフトが添付ファイルの中を調査できないため、EMOTETが通り抜けてしまいます。

犯人もそこを狙って「パスワードで暗号化されたZIPファイルにEMOTETを仕込む」例が激増してきました。

アメリカの公的機関CISAからは「パスワード付の添付ファイルは危険なので、企業は届かないようにブロックすべき」とまで発表されています。

そもそも添付ファイルを暗号化し、パスワードを別メールで送る方法は、セキュリティ的にもあまり意味がありませんので、そろそろ見直すべきと思います。

事実、日本政府でも、平井卓也デジタル改革担当相より2020年11月17日の定例会見官公庁で「パスワード付ZIPファイルを廃止する」方針が打ち出されました。

  • 内閣府、内閣官房では、メールでパスワード付き添付ファイルを送り、パスワードを後から送る方法(いわゆるPPAP)は、26日から廃止する。
  • PPAPはセキュリティ対策や受け取った側の利便性から適切ではない。
  • 代案としては民間のストレージサービスのファイル共有機能を使う。
ブログ内の関連記事(新しいウィンドウで開きます)

「何の意味があるのかな?」と思いつつも、毎日設定して送信している方も多い「パスワード付きZIPファイルの添付」のルール(PPAP方式)を平井デジタル改革担当相が「中央官庁では廃止する」発表しました。この作業は今では無意味なだけでなくかえ[…]

パスワード付きzipファイルは廃止しよう

「この添付ファイルはバスワード付きだから安心」などとくれぐれも誤解しないようにしてください。

4.添付ファイルを開いて、コンテンツの有効化はクリックしない

何度もご説明したとおり、メールの添付ファイルを開いた際に、以下の警告が出た場合は、絶対確実な場合以外は、決して「コンテンツの有効化」をクリックしてはいけません。

EMOTETに感染しないための見逃してはならないセキュリティ警告

万一EMOTET(エモテット)の感染が心配な時は?駆除方法は?

EMOTET専用の感染チェックツールを使おう

EMOTETは一般のセキュリティ対策ソフトも対応していますので、信頼できるセキュリティーソフトを必ず入れましょう。

また「ひょっとして感染したかもしれない」と言うとき、頼りになるEMOTET感染チェックツールが発表されました。

作成したのは日本のセキュリティ対策を主導している機関の1つである「一般社団法人JPCERTコーディネーションセンター」様です。

ダウンロードして実行するだけで、即座にエモテットの感染の可能性をチェックしてくれます。

■Windows OS用感染確認ツール EmoCheck

【使い方】
上のサイトの画面の中程から、ご自身のWindowsの環境に併せて、

●64Bit版のWindowsを利用の方・・・emocheck_v1.0_x64.exe
●64Bit版のWindowsを利用の方・・・emocheck_v1.0_x86.exe

をダウンロードして、実行するだけです。

万一感染していた時は「Emotetのプロセスが見つかりました」と表示されますので、画面表示にしたがって駆除しましょう。

詳細はJPCERTの「マルウエアEmotetへの対応FAQ」も参考になります。

オンラインでスキャンしてくれるサービスもあります

届いたメールの不審なURLや添付ファイルをスキャンしてくれるオンラインサービスがあります。

おすすめは下記のGoogleが運営している「VIRUSTOTAL」。
なんと全世界の100種類近くのセキュリティサービスを同時に使って徹底的にスキャンしてくれますのでかなり安心。しかも無料です。

不審な添付ファイルを「VIRUSTOTAL」にアップロードすると、スキャンして素性を確認してくれます。

使い方は以下の当社ブログ記事をご覧ください。

ブログ内の関連記事(新しいウィンドウで開きます)

個人情報を盗んだり、ウイルスを感染させようする詐欺メール(フィッシングメール)や詐欺SMS(スミッシング)、そして「SNSのメッセンジャーで友達から届く詐欺動画」など、あなたをだますメッセージが毎日たくさん飛んできます。変な日本語もなく[…]

 

まとめ:
EMOTET(エモテット)は脅威だが、実は感染を防ぐことは容易

EMOTETは進化した強力なマルウェアですが、感染の仕組みは「人の隙につけ込んだソーシャルエンジニアリング的」な手口で感染するので、各自が注意することで、容易に感染を防ぐことができます。

添付ファイルを慎重に扱うべき事は、EMOTETに限らず、現在では当然のルールであり、慣れるしかありません。

  • どうしてもマクロが含まれたメールを送る時は、別途内容について打ち合わせる
  • 添付ファイルを暗号化してパスワードをつける事は止める

など、仕事のルールも見直して配慮しつつ感染拡大を防ぎましょう。

ブログ内の関連記事(新しいウィンドウで開きます)

EMOTET(エモテット)に引き続き、検査をすり抜けるためパスワードのついたZIP添付ファイルで感染するマルウェアIcedID(アイスドアイディー)が拡大しています。IcedIDもEMOTET同様、情報漏えい以外にも多くの被害を生み出す[…]

新たな脅威「IcedID」のイメージ
ブログ内の関連記事(新しいウィンドウで開きます)

 2019年7月16日、オバマ前大統領やビル・ゲイツ氏など世界的な有名人の公式アカウントが乗っ取られ、偽Twitterメッセージが全世界に送られて大きな被害が発生しました。「犯行の手口はソーシャルエンジニアリング」とされています。ソ[…]

socialengineering ソーシャルエンジニアリングのイメージ

 

Digital Keeperお薦めのセキュリティソフト

セキュリティ専門ソフトがやっばり必要です

今ではWindows10のようなOSは標準でセキュリティ機能が含まれており、コンピューターウイルスやマルウェアの侵入を防御してくれますが、セキュリティ専門ソフトは、より強力な防御力とさまざまな追加機能であなたとご家族を守ってくれます。

たとえば

  • フィッシングメールに惑わされてうっかりURLをクリックしても「警告して先に進むことを止める」。
  • 仮に感染しても重要な個人情報の流出や不正送金を食い止める。
  • 子供のネットの利用時間や不健全なサイト利用を制限する。
  • スマホを紛失時に探したり、データを削除する。
  • 外出時に使う公衆wifiをVPNを使って安全に使用する。

といった機能です。

セキュリティソフトの選び方、買い方

いろいろなセキュリティソフトがありますが、選択に当たっては、価格や広告上の性能だけでなく、

  • 老舗で世界各国で使用されてきた実績が豊富で、ユーザー数の多いもの
  • ご本人のパソコンだけでなく、ご家族のスマートフォン、タブレットもすべてカバーできるもの

を選択して下さい。
こうしておくと「機械に不慣れな奥様がスマホを紛失した際にご主人が探し出す」事など家中の機器をもれなく一括してセキュリティ管理できてしまいます

またセキュリティソフトは店頭で箱に入っているパッケージ版より、ダウンロード販売の方が価格も安く、ご自宅の環境に併せてライセンス内容を選択できるため便利です

家庭のパソコンやスマホの数(1台~10台)や使用期間(1年~3年)にあったものをお選び下さい。

Digital Keeperが社内でも使用し、おすすめしているのは「Kaspersky」の製品です。

もっとも大切な防御力は世界各地の第三者機関のテストで常に「最上」の評価を受けるなど間違いなくNo.1です。

また付属する機能も豊富で「これだけ入れておけば他のセキュリティ製品は不要」なほどですが、それでいて動作も重くないのがすばらしいです。

下記のバナーで無料の30日間体験版がダウンロードできます。使ってみて性能を実感してみてください。