コラムアーカイブ

◆Emotetとは

Emotetはマルウェアの一種です。Emotetの活動目的は、「感染PCからの情報の窃取」や「別のマルウェアの感染」と言われています。特にこの2つ目の目的である「別のマルウェアの感染」に利用される（＝別のマルウェア感染のためのプラットフォームとして利用される）ことや、企業での感染力の高さなどが問題視されてきました。

Emotetの感染拡大手法ですが、悪意のあるマクロを含むOfficeファイル（ExcelやWord）またはそれらのファイルが圧縮されたパスワード付きZIPファイルをメールに添付して（添付ファイルではなくURLリンクの手段も確認されています）、実在する人や組織からのメールと思った受信者自身の手で悪意のあるプログラムを実行させます。

Emotetは、ビジネス上のメールを装うことが多いため、企業において特に注意が必要です。感染により窃取された過去のメールや認証情報などは、さらなる感染活動に悪用されます。これにより、企業が拡散元とみなされ、他社に悪い印象を与える場合もあり、企業を悩ませる要因の一つとなっています。

◆Emotetの活動再開

2019年以降Emotetは、国内でも確認され、感染活動の停止と再開を繰り返してきました。背景には、捜査機関等によるテイクダウンと呼ばれる感染機能の停止や、Emotet運営者による感染機能の復活など、さまざまな攻防があると言われています。直近では、2022年7月に活動停止が確認されていましたが、2022年11月に活動再開が確認されました。

Emotetは、感染力を維持するために、セキュリティ対策製品に検知されない工夫や、メール受信者に悪意のあるファイルを実行させる工夫をしながら、巧妙に変化をしてきました。11月に活動再開したEmotetでは、メール受信者に悪意のあるマクロを実行させるため、添付のExcelファイル内に「操作の指示」が注意書きとして追加されていると報告されています（本コラム冒頭で紹介の記事参照）。

これまでの状況から、今後のEmotetの変化や感染拡大を想定して、企業は再度Emotetに対して身構えておく必要があるかもしれません。

◆Emotet対策

Emotetの対策として、過去に送信されたメールの特徴を知り、メールに添付されたパスワード付きZIPファイルやExcelやWordを不注意に開かないことが、メール受信者には推奨されます。

企業においてメール受信者の注意力に頼ることは対策として限界がありますので、社内への注意喚起、マクロの実行を制御するポリシーの確認、企業のPC利用において利用者に管理者を付与しない運用にする（権限の制限）、セキュリティ更新プログラム適用の徹底（社内感染防止）、パスワード付きZIPファイルの遮断（いわゆるPPAP禁止/脱PPAP）、メールセキュリティ製品の導入など、さまざまな感染緩和策を取ることも考えられます。対策にはコストがかかりますので、PCなどの感染からの復旧や対応や業務停止により発生するコストとのトレードオフや、社会的なセキュリティ対策の実施責任などを考慮して、追加の対策実施を判断するようにしてください。

さらなる理解のため、Emotetが送信したメールの例や対策について、下記のご参考の情報もぜひご確認ください。注意喚起は過去のEmotetの変化によりさまざまな情報が追記されて長くなっています。メールの例がほしいのか企業としての対策を拾いたいのかなどの目的を最初に意識して、必要な情報を探すように参照するとよいですよ。

ご参考：

IPA「Emotet（エモテット）と呼ばれるウイルスへの感染を狙うメールについて」
https://www.ipa.go.jp/security/announce/20191202.html

JPCERT/CC「マルウェアEmotetの感染再拡大に関する注意喚起」
https://www.jpcert.or.jp/at/2022/at220006.html

JPCERT/CC「マルウエア Emotet の感染に関する注意喚起」
https://blogs.jpcert.or.jp/ja/2019/12/emotetfaq.html

JPCERT/CC「マルウエアEmotetへの対応FAQ」
https://blogs.jpcert.or.jp/ja/2019/12/emotetfaq.html

NISC「インターネットの安全・安心ハンドブック」
https://security-portal.nisc.go.jp/handbook/