IT時事ネタキーワード「これが気になる!」(第95回) エモテット、ここへきて大流行。対策してみた

脅威・サイバー攻撃 IT・テクノロジー

公開日:2022.05.18

 完全制圧されたといわれたEmotet(エモテット)が10カ月ぶりに復活したと1月のコラム「エモテット10カ月ぶり活動再開」で述べた。IPAの直近の追記「Emotetの攻撃活動の急増」「感染被害の大幅拡大/日本語で書かれた新たな攻撃メール」によると2022年2月から3月にかけて、日本国内組織での感染被害が大幅に拡大しているという。

 IPAの「情報セキュリティ安心相談窓口」では、2022年3月1日~8日に323件もの相談を受けた。これは前月同時期(2月1日~8日)のおよそ7倍に相当し、JPCERT/CC「マルウェアEmotetの感染再拡大に関する注意喚起」のグラフからも激増の様子がうかがえる。記事には、「2022年3月に入り、Emotetに感染しメール送信に悪用される可能性のある.jpメールアドレス数が2020年の感染ピーク時の約5倍以上に急増しています」とある。

 サイバーセキュリティ総研の「Emotet感染の被害にあった企業事例一覧」によれば、2021年12月~2022年3月の感染被害企業一覧には、名だたる企業・団体の名前が並ぶ。

おさらい。マクロ付きメール添付ファイルや、ダウンロードリンクで感染

 エモテットは基本的に、メールに添付されたWordやExcelファイルを開き、「コンテンツの有効化」「マクロを有効にする」を実行することで感染する。メールは流ちょうな日本語を用い、実在の組織や人物をかたったり、コロナ禍などタイムリーな話題を取り入れたりなど、巧妙極まりないのが特徴だ。

 メールの添付ファイルではなく、メール本文に記載されたURLのクリックで感染する場合もある。ショートカットファイル(LNKファイル)またはそれを含むパスワード付きZipファイルを添付したメールが新たに観測されている。エモテットは時代に合わせて常に手口を変えてくるので、常に最新情報のチェックが有効だ。

 エモテットの主たる目的は、メールをきっかけにサーバーのデータをロックしたり、盗んだ情報を公開すると企業を脅したりするランサムウエアとしての活動だ。厳重なシステムやセキュリティ対策をしていて当然と思われる有名大企業が続々と被害に遭うのは、個人を狙ったなりすましメールで誘う「人的ミス」を入り口にしていることが一因だろう。

 感染対策には、先述の「Emotet(エモテット)と呼ばれるウイルスへの感染を狙うメールについて」内の「対策」を参照しよう。これは感染防止にとどまらず、一般的なウイルス対策の基本でもある。自分の“ついつい”な行動で、組織が今まで築き上げた信用や大量の金銭を失うことや組織の存亡に関わる点をよく自覚して、メールのみならずIT周りのセキュリティに心を配り、慎重に行動しよう。

JPCERT/CCのEmoCheckでパソコンをチェックしてみた

 警視庁の「Emotet(エモテット)感染を疑ったら」ページには、「メールに添付されたファイルの『コンテンツの有効化』ボタンを押してしまった」「取引先等から変なメールが送られてきたとの連絡を受けた」「コンテンツの有効化ボタンを押したが、その後何も表示されなかった」などの場合は、「EmoCheck」による確認と、最新の定義ファイルに更新したウイルス対策ソフトによるフルスキャンを実施しましょう、とある。

 EmoCheckアプリでは、Windowsパソコンのエモテット感染の有無をチェックできる。手順は「Emotet感染確認ツールEmoCheckの実行手順」および、JPCERT/CCの動画「Emotet感染の確認方法と対策」を参考にしよう。

 EmoCheckは、JPCERT/CC「マルウエアEmotetへの対応FAQ」の「2-1.EmoCheckによるEmotet感染有無の確認」→「2-1-1.EmoCheckのダウンロード」にあるリンクからダウンロードできる。環境に合ったファイルをダウンロードし、「2-1-2.EmoCheckの実行」に従い、EmoCheckを実行。すると、ウィンドウが開き、「EmoCheck」というタイトルが表示され、そのまま待つと結果が表示される。筆者のパソコンで行ったところ、「Emotetは検知されませんでした」と表示された。

EmoCheckのパソコン画面

感染が確認されたら、まずはシステム部門へ相談!

 もしEmoCheckで「Emotetのプロセスが見つかりました」と表示された場合、先述の「マルウエアEmotetへの対応FAQ」を参照して駆除作業を行う必要がある。「2-1-3.感染時の対応」に従い、タスクマネージャーを起動し、該当するタスクを終了。その後、実行ファイルを探して削除する。そして再度EmoCheckを行い、検知されないことを確認する手順だ。ほかにも、ウイルス対策ソフトでスキャン、端末の自動起動設定の確認、なりすまされた本人へのヒアリングなどが自分で行える手順だが、感染した時点でシステム部門など、しかるべき部署に連絡するのは言うまでもない。

 システム部門は、メールサーバーやネットワークログなどを確認して外部にデータを送信したりしていないかチェックするのはもちろん、「4. Emotet の感染を確認した場合どのように対処すればよいですか?」に従い、感染端末の隔離や被害範囲の調査などの対策を行う必要がある。場合によってはセキュリティベンダーなど専門家に依頼したほうが有効な場合もあるので検討しよう。

 困ったときの公的な相談窓口としては、IPAの「J-CRAT/標的型サイバー攻撃特別相談窓口」がお薦めだ。実際に被害に遭った場合の報告もここから行える。JPCERT/CCの「インシデント対応依頼」でも、マルウエア感染の相談や報告を受け付けている。

 エモテットの攻撃メールは以前にやり取りしたメールの「返信」や「転送」として来る場合もある。普段からやり取りしている相手なら、つい開く可能性も高い。最近では、「メールが少しでも怪しい」と感じたら、電話やメッセージなどほかの手段で送信元に直接問い合わせて真偽を確かめるのが有効な手段とされている。そのほか、オフィスファイルのやり取りに、メール添付以外の手段を探るのも一つの方法だ。

 復活以来激増するエモテット、あらゆる知恵を絞って巧妙に感染を誘う悪質さをよく理解したい。こちらも知恵を絞り最新の情報をチェックし、常に警戒を怠らず、万全の対策を行おう。

執筆=青木 恵美

長野県松本市在住。独学で始めたDTPがきっかけでIT関連の執筆を始める。書籍は「Windows手取り足取りトラブル解決」「自分流ブログ入門」など数十冊。Web媒体はBiz Clip、日経XTECHなど。XTECHの「信州ITラプソディ」は、10年以上にわたって長期連載された人気コラム(バックナンバーあり)。紙媒体は日経PC21、日経パソコン、日本経済新聞など。現在は、日経PC21「青木恵美のIT生活羅針盤」、Biz Clip「IT時事ネタキーワード これが気になる!」「知って得する!話題のトレンドワード」を好評連載中。

【TP】

あわせて読みたい記事

「脅威・サイバー攻撃」カテゴリーから探す

連載バックナンバー

IT時事ネタキーワード「これが気になる!」

もっと見る

カテゴリー 一覧