IT時事ネタキーワード「これが気になる!」(第73回) ウイルス「エモテット」制圧

脅威・サイバー攻撃 資金・経費

公開日:2021.03.29

 1月27日、ユーロポールは、世界中で猛威を振るっていたコンピューターウイルス「エモテット」について、オランダ、ドイツ、米国、英国、フランス、リトアニア、カナダ、ウクライナ各国の警察と協力し、エモテットのメインサーバーを止め、パソコンやハードディスクなどを押収した。サーバーの2台はオランダに、もう1台はウクライナにあった。

 この作戦でエモテットの制圧に成功した、というニュースが世界中に流れた。エモテットのネットワークを効果的に解体して再構築の可能性を阻止するには、関係する複数の国で同時に行動を起こす必要があったという。

 ウクライナでの押収の様子は、YouTubeのウクライナ国家警察の公式チャンネル動画で見られる。コンピューター機器のほか、金塊や札束も大量に押収された。盗んだ情報を公開すると脅す「暴露型」の活動を収入源としていたと思われる(最近よく聞く「暴露型ウイルス」参照)。エモテットの被害は世界で25億ドルに上り、ウクライナ警察に拘束された2人は最大12年の懲役が科されるという。

 エモテットは、メールの添付ファイルやメール中のリンクを開くことで感染する。オランダ警察によれば、押収されたデータの中から、数百万件のパスワード付きメールアドレスが見つかったという。オランダ警察のページのフォームから、押収されたデータに自分のアドレスが含まれるかどうかチェックできる。

 なお、海外の捜査当局から警察庁に対して、日本でエモテットに感染している機器の情報提供があった。2月下旬から情報をISPに提供し、記載されている機器の利用者を特定。注意喚起が行われている。詳しくは警察庁の「マルウェアに感染している機器の利用者に対する注意喚起の実施について」と総務省の「マルウェアに感染している機器の利用者に対する注意喚起の実施」を参照しよう。

そもそも「エモテット」(Emotet)とは?

 エモテットの感染源はメールの添付ファイルやメール内のリンク、というのは先ほど述べた。感染したコンピューターはマルウエアをインストールされ、情報を次々に送信したり他のウイルスの感染を広めたりする“プラットフォーム”にされてしまう。エモテットの大きな特徴は、連絡先やメールの内容を盗み、そのアドレス、名前、内容などを巧みに使い、本人になりすましたメールを連絡先に送りさらに拡散させるところだ。

 エモテットが最初に確認されたのは2014年。当初はインターネットバンキングの情報を盗用することで知られていた。しかし銀行のセキュリティが強化されたため、攻撃方法を変えたという。日本で広がったのは2019年後半ごろから、違和感のない日本語でそれらしい内容を、実在の取引先や実在の人物で送信。実在のメールの返信を装うときもある。つい信じて添付ファイルやリンクを開くと感染する。さらに開いた人の連絡先にそれらしいメールを送信し…といった感じで、感染が感染を呼んだと思われる。

 日本でのエモテットの手口や仕組み、なりすましメールの事例と対策については、IPAセキュリティセンターのページが詳しい。オフィス書類のみならず、PPAP(パスワード付きzipファイルと、そのパスワードを別送するメール送信手法)で問題視されたZIPファイルのケースもある。セキュリティ製品によっては、パスワード付きzipファイルは受信時のマルウエア検査を回避するのでさらに危険だ。知り合いからのメールでなくても、新型コロナ対策についての注意喚起メールを装うなど、時代の潮流を巧みに利用する。

サイバー攻撃の国際組織化という潮流

 以前、感染する添付ファイルが付いたウイルスメールといえば、文面が英語だったり日本語が稚拙だったりで比較的簡単に見破れた。今でもその類いのメールも多いが、巧妙なものも増えてきた。流ちょうに日本語を使える、日本の状況に詳しい事例が起きていて、あらゆるジャンル、国、技術について、エキスパートが集まった組織的な犯行とされる。

 組織の外にも、別組織や個人、組織を抜けた者などが、スクリプトやプログラムを改造して亜種を生み出すことも考えられる。AI時代においては、自身で学習し勝手に増殖する仕組みの可能性もある。金銭目的ならともかく、特定の企業や世の中への恨み、身勝手な世直し意識、愉快犯など、多様な目的と動きで広がり続ける。

 エモテットが制圧されたニュースで胸をなで下ろした人も多いと思うが、メインサーバーは停止したものの、エモテットに感染したコンピューターがまだ世界中で動き続けている。ユーロポールは引き続き不審なメールを開かないよう呼びかける。実際、国内では1月27日以降もなりすましメール送信の事例が続く現状がある。

 ちなみにエモテットは、他の犯罪組織と連携しての犯行も行っていた。エモテットは攻撃メールから情報の盗用までの「運び屋」として動き、その先は他の組織が担当、という方式だ。エモテットを制圧しても、組織化したサイバー攻撃の脅威が今後も続くのは明らかともいえる。

サイバー攻撃の組織化で、100%自前で防ぐのは困難

 エモテットおよび他のウイルス感染についての傾向と対策は、警察庁のサイバーセキュリティ専門サイト「@police」の「Emotetの解析結果について」が分かりやすい。

 基本的には、組織の一人ひとりが危険性を自覚してIT機器の操作に臨むのが第一だが、不自然な点に気付く目を持つことも大切だ。不審な点があれば、自己判断の操作はやめ、すぐに管理者や上司に連絡しよう。セキュリティソフトの導入はもちろん、業務ファイルはメールに頼らないやり取りの選択肢も有効だ。

 とある会社では、攻撃メールの添付ファイルを開いてエモテットに感染し約1時間半にわたり外部に社内情報が送信され続けたものの、UTM(セキュリティ機器)を設置していたため送信はブロックされ事なきを得た。

 組織的なサイバー集団が相手となると、個人や企業独自で防御をしようとしても困難な一面がある。セキュリティに詳しい人材は雇うにしても育てるにしても、大抵の企業にとっては荷が重い。高度化したサイバー攻撃に対抗するには、こちらもやはりプロに任せたほうがよいだろう。

 去年から今年にかけて、テレワークを狙った攻撃も増えている。セキュリティ意識やルールの徹底を普段以上に心掛けるとともに、万が一に備えてすぐ連絡がつき速やかに対策してくれる外部の専門家、保守機関の設置が必須だろう。対策も含め、マニュアルを作っておくのも有効だ。

 攻撃者はあの手この手で狙ってくる。慎重に慎重を重ねても、進化し続ける攻撃を100%避けることは不可能だ。常に最新情報のキャッチと、できる限りの防衛対策、何かあったときの対策という3本立てで防いでいくしかない。

執筆=青木 恵美

長野県松本市在住。独学で始めたDTPがきっかけでIT関連の執筆を始める。書籍は「Windows手取り足取りトラブル解決」「自分流ブログ入門」など数十冊。Web媒体はBiz Clip、日経XTECHなど。XTECHの「信州ITラプソディ」は、10年以上にわたって長期連載された人気コラム(バックナンバーあり)。紙媒体は日経PC21、日経パソコン、日本経済新聞など。現在は、日経PC21「青木恵美のIT生活羅針盤」、Biz Clip「IT時事ネタキーワード これが気になる!」「知って得する!話題のトレンドワード」を好評連載中。

【TP】

あわせて読みたい記事

「脅威・サイバー攻撃」カテゴリーから探す

連載バックナンバー

IT時事ネタキーワード「これが気になる!」

もっと見る

カテゴリー 一覧