Emotet（エモテット）とは？特徴や攻撃手法、効果的な対策方法を解説

セキュリティ対策ソフトで検知しにくい

Emotetは、セキュリティ対策ソフトによる検知を回避する能力が高いことが特徴です。

自身のコードを頻繁に変更し、常に変化を繰り返すため、シグネチャベースのパターンマッチングでの検出が困難となります。

また、セキュリティ担当者から見つかりにくいさまざまな工夫が施されていることからも、Emotetを検知するのは容易ではありません。

こうした高度な検知回避能力により、Emotetは多くのデバイスに感染を広げています。

ばらまきメールが非常に巧妙

Emotetは、ばらまきメールを使って感染を拡大することでも知られています。実在する組織や個人になりすまし、受信者を欺くような巧妙な手口が特徴です。

例えば、取引先や顧客、同僚などを装い、あたかも正規のメールであるかのように装います。

メールの件名や本文も、ビジネス上のやり取りを想起させる自然な内容で受信者の警戒心を緩めてくるため、疑うことなくマルウェア感染のリンクや添付ファイルを開いてしまうのです。

また、「利用料金のご案内」「新型コロナウイルスに関するご案内」といったタイトルで、メールを送ってくるケースも確認されています。

重要な情報が漏洩する

Emotetに感染したデバイスからは、機密情報や個人情報などの重要データが盗み出されてしまう危険性があります。

攻撃者にログイン情報が漏洩すると、社内ネットワークへの不正アクセスが行われる恐れがあり、さらに深刻な事態を招きかねません。

大切なデータの漏洩は経済的損失だけでなく、企業の信用失墜にも繋がる可能性があります。

身代金を要求される

Emotetの感染により、ランサムウェアに感染するケースも報告されています。

ランサムウェアは、「Ransom（身代金）」と「Software（ソフトウェア）」を組み合わせた造語で、情報技術の世界において重大な脅威となるマルウェアです。

ファイルが暗号化され使用不能になり、元に戻すことと引き換えに身代金の支払いを要求されます。

身代金を支払わなければデータを取り戻せず、業務が長期間停止に追い込まれるリスクがあります。ランサムウェアの脅威については以下の記事でご確認ください。

【関連記事】ランサムウェアとは？感染経路や被害例、被害防止策や感染時の対処法を徹底解説

他のマルウェアに感染する

Emotetは、他のマルウェアをダウンロードする機能も備えているため、侵入を許すと二次感染のリスクにさらされます。

バックドアやスパイウェアなど、さまざまな脅威が侵入する危険性が高まり、複合的な被害が発生する可能性を否定できません。

多岐にわたるマルウェアの脅威にさらされることで、セキュリティ対策が一層困難になる恐れがあります。

なお、マルウェアの種類や対策方法については以下の記事で詳しく解説しています。

【関連記事】マルウェアとは？種類や感染経路、感染した場合の症状や対処法を解説

ばらまきの踏み台にされる

Emotetに感染したデバイスは、スパムメールの送信に悪用される可能性があります。

気付かないうちに攻撃者に乗っ取られ、大量のスパムメールのばら撒きに利用されるリスクがあるのです。

結果として、自社のデバイスがサイバー犯罪の踏み台となり、法的責任を問われる事態を招く恐れもあるでしょう。

【関連記事】サイバー犯罪とは？代表的な種類や脅威から身を守る5つの方法

NTT西日本のパソコンが感染し関係者のメールアドレスが流出

2022年3月、NTT西日本（西日本電信電話株式会社）は、業務に使用しているパソコンがEmotetに感染したことを発表しました。

過去のメール送受信情報として保存されていた同社社員、愛知県公立大学法人教職員、本受託業務に関する取引先らのメールアドレスなどが流出しました。

この事件では、本受託業務に従事する担当者が不審なメールに添付されたファイルのマクロを実行したことで、Emotetに感染した可能性が高いと考えられています。

首都大学東京で18,843件のメール情報が窃取

2019年11月、首都大学東京教員のパソコンがEmotetに感染し、当該パソコンからメールアドレスが窃取されていたと発表しました。

その結果、当該職員のメールボックス内に保存されていたメール18,843件が外部に流出しました。

この事件の原因は、実在する雑誌社を騙る不審メールの添付ファイルを教員が開封したことにあります。

同大学は、法人教職員に対して不審メール対策に関する注意喚起を行い、パソコンのセキュリティ対策の徹底を図りました。

関西電力株式会社で3,000件以上のメールアドレス流出

2019年12月、関西電力株式会社は同社のパソコンがEmotetに感染し、個人情報等のデータ流出が発生した可能性があることを発表しました。

流出した可能性のあるデータは、449件の社外関係者のメールアドレス、2,969件の社内関係者のメールアドレス、125通のメール本文です。

事件の経緯としては、同年12月6日にセキュリティ機器のアラートを検知し、パソコン1台をネットワークから隔離。

調査した結果、個人情報等のデータ流出の可能性とEmotetの感染が発覚しました。

OS・システムの定期更新

マルウェアの多くは、OSやソフトウェアの脆弱性を突いて感染を広げます。

そのため、OSやシステムを定期的にアップデートし、常に最新の状態に保つことが重要です。

自動更新機能などを活用して、効率的に既知の脆弱性を修正することで、Emotetなどのマルウェアの侵入を防ぐことができるでしょう。

マクロ実行の無効化

Emotetは、Microsoft Officeのマクロ機能を悪用して感染を拡大することが多いため、マクロの無効化は感染防止に有効です。

原則としてマクロ実行を無効にしておき、必要な場合のみ一時的に有効化するようにしましょう。

これにより、不正なマクロが実行されるリスクを大幅に削減できます。マクロ無効化の設定は、感染防止の基本的な対策といえます。

ID・パスワードの適切な管理

Emotet感染による不正ログインを防ぐために、ID・パスワードの適切な管理も重要です。

デバイスがEmotetに感染すると、そのデバイス内に保存されたIDやパスワードが盗み出される危険性があります。

しかし、パスワードの使いまわしを避け、定期的に変更をかけるようにすれば、不正ログインのリスクを最小限に抑えることができるのです。

また、多要素認証を活用することで、仮にパスワードが漏洩しても不正ログインを防げます。多要素認証の種類やメリットについては、以下の記事で詳しく解説しています。

【関連記事】多要素認証（MFA）とは？二要素認証・二段階認証との違いやメリットを解説

セキュリティ対策ソフトの導入

Emotetを検知・駆除するには、セキュリティ対策ソフトの導入が効果的です。

信頼できるセキュリティベンダーの製品を導入し、リアルタイム検知の機能を有効活用しましょう。

ウイルス定義データベースを常に最新に保ち、未知の脅威にも対応することが肝要です。

ただし、セキュリティ対策ソフトは単独で完璧な防御を実現できるわけではないため、他の対策と併せて多層的に実施することが理想的です。