活動停止と再開を何度も繰り返しているマルウェアであるEmotet(エモテット)。
本記事では、Emotet(エモテット)の手口について紹介するとともに、適切な対策について解説します。自社の対策に抜け漏れがないか、本記事を読んでぜひチェックしてください。
INDEX
- 1.Emotet(エモテット)の特徴
- 1.1.機能が進化する
- 1.2.情報を窃盗する
- 1.3.メールによる拡散
- 1.4.他のマルウェアにも感染させる
- 2.Emotet(エモテット)の実際のメール文面
- 3.Emotet(エモテット)感染の手口
- 3.1.1段階目:添付ファイルまたはURLリンクが付いたフィッシングメールを受信
- 3.2.2段階目:マクロの実行
- 4.Emotet(エモテット)に感染するとどうなる?
- 4.1.情報を窃盗される
- 4.2.マルウェアが次々とダウンロードされる
- 4.3.同じネットワーク内の端末に感染する
- 4.4.偽装メールの拡散
- 5.Emotet(エモテット)に感染しているか確認する方法
- 5.1.(1)「EmoCheck」をダウンロード
- 5.2.(2)「EmoCheck」を実行
- 6.Emotet(エモテット)感染時の対処方法
- 6.1.(1)感染しているPCをネットワークから切り離す
- 6.1.1.有線LANの場合
- 6.1.2.無線LANの場合
- 6.2.(2)同じネットワーク内のPCを「EmoCheck」でチェック
- 6.3.(3)認証情報をリセットする
- 6.4.(4)マルウェア対策ソフトを実行してマルウェアを削除
- 6.5.(5)「EmoCheck」を再実行しエモテットが検出されないことを確認
- 6.6.(6)PCを初期化する
- 7.Emotet(エモテット)の感染を防ぐ方法
- 7.1.メールに対する警戒を強める
- 7.2.基本的なセキュリティ対策を見直そう
- 7.3.高度なセキュリティ製品への投資もおすすめ
- 8.Emotet(エモテット)の被害を最小限に抑える方法
- 8.1.コールドストレージへのバックアップ
- 8.2.アクセス権限を必要最小限にする
- 9.Emotet(エモテット)感染の具体的事例
- 9.1.近畿地方の食品製造会社:被害額約1,800万円
- 9.2.東京都の団体:被害額約2,000万円+2人月
- 10.Emotet(エモテット)の最新ニュース
- 10.1.2023年4月~12月は沈静
- 10.2.2023年3月:新たな感染手口を確認
- 10.2.1.ZIPファイルを解凍すると500MB以上のWordファイルが展開される
- 10.2.2.OneNoteに偽の指示があるもの
- 10.3.マイクロソフトがEmotet(エモテット)対策を強化
Emotet(エモテット)の特徴
まず、Emotet(エモテット)の特徴について見ていきましょう。
機能が進化する
Emotet(エモテット)は、2014年に発見された当初、銀行の認証情報を盗むトロイの木馬として知られていました。しかし、2024年現在は、他のマルウェアを呼び込むためのプラットフォームとして進化を遂げています。
情報を窃盗する
Emotet(エモテット)は、感染したPCから情報を盗み出すことを目的としています。具体的には、ユーザーのメール情報や認証情報です。
メールによる拡散
Emotet(エモテット)は、主に電子メールによって拡散します。特徴的なのは、差出人が偽装されていることです。
この偽装に使われる情報は、感染したPCから盗み出した実際のメールアドレスと名前です。これにより、受信者は知り合いからのメールだと誤認し、添付ファイルやリンクを開いてしまうことが多くなります。
他のマルウェアにも感染させる
Emotet(エモテット)は、ランサムウェアなど、他のマルウェアを呼び込むためのしくみをもっています。このため、Emotet(エモテット)に感染すると、さらに他の有害なマルウェアにも感染するリスクが高まります。
Emotet(エモテット)の実際のメール文面
以下は、Emotet(エモテット)が使用するメールの一例です。
”日頃よりお世話になっております。
請求書を確認後、3営業日後の返金(着金)となります。
しかしながら、頂きましたご請求書ですが、3点修正が必要です。
①手数料が反映されておりませんでしたので、請求書に追記ください。(5%)
②請求書の発行日を記載してください。
③弊社名は「****」です、ご修正をお願いします。
請求書到着日より3営業日後の着金となります。
よろしくお願いいたします。”
出典:IPA
上記のメールが取引先から送られてきたとしたら、添付ファイルを開いてしまう人も少なくないのではないでしょうか。
メールの内容に疑問を感じた場合は、送信者に直接確認するようにしましょう。
Emotet(エモテット)感染の手口
Emotet(エモテット)への感染は、以下2つのプロセスを経て実行されます。
1段階目:添付ファイルまたはURLリンクが付いたフィッシングメールを受信
Emotet(エモテット)に感染する最初の段階は、以下のいずれかが付いたフィッシングメールを受信することです。
- ・添付ファイル:Word形式・Excel形式・OneNote形式、またはそれらを圧縮したパスワード付きZIPファイル
- ・URLリンク:リンクをクリックすると、悪意のあるファイルがダウンロードされる
これらのメールは、請求書や実際にありそうな業務文書を装うことが多いです。
2段階目:マクロの実行
添付ファイル自体には、Emotet(エモテット)が含まれていません。ExcelやWordを開いたときに「コンテンツの有効化」を実行することで、Emotet(エモテット)本体がダウンロードされるしくみです。
したがって、メールを受信しても「コンテンツの有効化」をしなければ、Emotet(エモテット)に感染することはありません。
不審なメールを受信した場合は、添付ファイルやリンクを開かず、マクロの実行を避けることが重要です。
Emotet(エモテット)に感染するとどうなる?
Emotet(エモテット)に感染すると、以下のような被害が発生します。
情報を窃盗される
Emotet(エモテット)に感染したPCからは、以下の情報が盗まれます。
- ・過去にやり取りしたメール本文・件名・添付ファイル・メールアドレス・名前(表示名)
- ・Webブラウザに保存されたクレジットカード情報
- ・Webブラウザに保存された認証情報(IDとパスワード)
出典:マルウエアEmotetへの対応FAQ – JPCERT/CC Eyes | JPCERTコーディネーションセンター公式ブログ
これらの情報は攻撃者が利用するサーバーに送信され、次の段階の攻撃に悪用されます。
マルウェアが次々とダウンロードされる
Emonet(エモテット)は感染したコンピューターに対し、さまざまなマルウェアをインストールしようとします。
Emotet(エモテット)を介してインストールされるマルウェアのひとつが、身代金要求型ウイルスの「ランサムウェア」です。ランサムウェアに感染すると、パソコン内のファイルやそのパソコンからアクセスできるネットワーク上のファイルが、暗号化され開けなくなってしまいます。
もしファイルを適切にバックアップしていなければ、復旧は困難でしょう。
同じネットワーク内の端末に感染する
Emotet(エモテット)は、感染したパソコンと同じネットワーク上にある端末にも増殖していきます。社内の端末1台が感染しただけで、爆発的に社内全体に広がってしまう可能性があります。
偽装メールの拡散
攻撃者は、盗み出したメール情報を基にフィッシングメールを拡散します。
「感染したPCでメールを利用していた人」または「メールをやり取りしていた相手」が送信元となり、受信者が安心してメールを開くように仕向けられることが特徴です。
実際のやりとりに返信する形で送付するなど、信憑性を高める手法も用いられています。
Emotet(エモテット)に感染しているか確認する方法
Emotet(エモテット)の感染を確認するには、以下の手順を実行してください。
1.「EmoCheck」をダウンロード
JPCERT/CCでは、Emotet(エモテット)への感染を確認できるツール「EmoCheck」を無償で公開しています。以下のリンクから入手しましょう。
JPCERTCC/EmoCheck – GitHub
https://github.com/JPCERTCC/EmoCheck/releases
2.「EmoCheck」を実行
感染が疑われるパソコンで、EmoCheckを実行してください。実行結果に「Emotetのプロセスが見つかりました」と表示される場合は、感染しています。
Emotet(エモテット)感染時の対処方法
Emotet(エモテット)に感染していた場合、以下の手順を実行しましょう。
1.感染しているPCをネットワークから切り離す
Emotet(エモテット)の感染拡大を防ぐため、感染しているパソコンをネットワークから切り離してください。
有線LANの場合
LANケーブルを抜きます。
無線LANの場合
以下の手順を実行してください。
- 1.右下の「∧」をクリック
- 2.ワイヤレスのマークをクリック
- 3.「切断」をクリック
2.同じネットワーク内のPCを「EmoCheck」でチェック
Emotet(エモテット)は同じネットワーク内のパソコンに感染する性質があるため、感染しているパソコンと同じネットワーク内にあるすべてのパソコンをチェックする必要があります。
「EmoCheck」を全端末に配布し、実行しましょう。
3.認証情報をリセットする
Emotet(エモテット)は、ブラウザに保存された認証情報を盗み、この認証を悪用する危険があります。
感染したPCで利用していたアプリケーションをリストアップし、認証情報をリセットしましょう。
4.マルウェア対策ソフトを実行してマルウェアを削除
Emotet(エモテット)は、ランサムウェアなどのマルウェアを呼び込む機能があります。マルウェア対策ソフトを実行し、駆除しましょう。
5.「EmoCheck」を再実行しエモテットが検出されないことを確認
他のマルウェアの駆除が終わったら、「EmoCheck」を再度実行し、Emotet(エモテット)が検出されないことを確認してください。
6.PCを初期化する
検出できなかったマルウェアが残っている可能性があるため、最終的にはパソコンを初期化するのがおすすめです。
Emotet(エモテット)の感染を防ぐ方法
Emotet(エモテット)の感染を未然に防ぐためには、以下の対策を講じることが重要です。
メールに対する警戒を強める
Emotet(エモテット)の感染を防ぐには、基本的なセキュリティ対策に加え、メールに対する警戒を強める必要があるでしょう。
メールの添付ファイルをダウンロードしたりURLをクリックしたりしないよう、全社員に呼びかけましょう。さらに最新の手口について、都度周知するようにしてください。
社員のうちだれか一人でも添付ファイルを開いて「コンテンツを有効化」してしまったら、そこから社内や取引先にどんどん感染が広がってしまいます。社員全員のセキュリティ意識の向上なしに、Emotet(エモテット)感染を防ぐことはできません。
基本的なセキュリティ対策を見直そう
Emotet(エモテット)への感染を防ぐには、基本的なセキュリティ対策の再点検をおすすめします。
マルウェア感染や不正アクセスの原因と対策を以下の表にまとめていますので、自社の対応に抜け漏れがないか確認してください。
高度なセキュリティ製品への投資もおすすめ
EDRを使って、さらにセキュリティを強化することもおすすめです。
EDRとは、デバイスやサーバーの動きを常時監視することにより、未知のマルウェアの感染拡大を防ぐセキュリティ製品です。デバイスやサーバーが「マルウェアに感染したようなおかしな動き」をしたときに、管理者に通知を飛ばします。
EDRを使えば感染を迅速に検知できるので、被害が拡大するのを防ぐことができるでしょう。
Emotet(エモテット)の被害を最小限に抑える方法
基本的なセキュリティ対策を施していたとしても、Emotet(エモテット)の感染を完全に防ぎきることは難しいかもしれません。
企業のセキュリティ担当者は、基本的なセキュリティ対策に加え、感染後の対応策をあらかじめ準備しておく必要があるでしょう。感染してから復旧までの時間をできるだけ短くできるよう、復旧までのプロセスを事前に練っておくことをおすすめします。
ここでは復旧のための対策を2つご紹介します。
コールドストレージへのバックアップ
1つ目の対策は、ネットワークから切り離されたストレージ(コールドストレージ)へのバックアップです。Emotet(エモテット)経由でランサムウェアに感染してしまったときに役立ちます。
ランサムウェアに感染したとき、もしファイルサーバーや業務ソフトのバックアップがネットワークドライブ上にあると、そのバックアップさえも暗号化されてしまい、復旧できなくなってしまいます。バックアップ用のストレージは共有設定を解除し、ネットワークとは切り離しておきましょう。
またバックアップから完全に復元できることを確認するため、復元を実際に試してみることをおすすめします。
アクセス権限を必要最小限にする
2つ目は、ユーザーのアクセス権を必要最小限にすることです。これは感染する範囲を最小化するのに役立ちます。
マルウェアの感染で最悪なパターンは、会社のすべての機器に感染が広がることです。ですがもし、感染したパソコンのアクセスできる範囲がある程度絞られていたら、感染はその範囲内に留められるでしょう。
Emotet(エモテット)感染の具体的事例
Emotet(エモテット)感染による具体的な事例を紹介します。
近畿地方の食品製造会社:被害額約1,800万円
自社従業員を名乗った不審なメールが取引先に送られたことで、自社端末がEmotet(エモテット)に感染していることが発覚しました。
この感染の原因は、同僚を装ったメールが従業員に届いたことです。送り主が同僚の名前であったため、従業員は警戒せずに添付されたファイルを開いてしまったと考えられます。
この事態に対処するため、ネットショップでの販売を一時休止し、PCの初期化や入れ替え、そして18,000人にQUOカードを配布するなどの対策が実施されました。その結果、約1,800万円の損害が発生したと報告されています。
東京都の団体:被害額約2,000万円+2人月
Emotet(エモテット)感染の原因は、顧客を名乗ったメールが職員宛に届いたことです。
このメールにはWordファイルが添付されており、職員がそのファイルを開き「コンテンツの有効化(マクロの有効化)」を実行した結果、Emotetに感染しました。セキュリティ対策が不十分であったため、被害範囲を把握するためには組織内の全端末を調査する必要があり、これには相当の費用が必要であったと報告されています。
再発防止のため、EDR(エンドポイント検出および対応)や資産管理ソフトの導入、ウイルス対策ソフトの入れ替えも実施されました。実際に発生した費用は2,000万円ですが、さらに2人月分の工数も必要だったとのことです。
Emotet(エモテット)の最新ニュース
Emotet(エモテット)の最新動向を見ていきましょう。
2023年3月、Emotet(エモテット)の新たな感染手法が確認されています。
2023年4月~12月は沈静
IPA(情報処理推進機構)の「コンピュータウイルス・ 不正アクセスの届出事例[2023 年下半期(7 月~12 月)」によると、2023年4月~12月において、Emotet(エモテット)の被害届はなかったとのことです。
Emotet(エモテット)の活動は、一時的に停止しているとみられます。
参考:コンピュータウイルス・ 不正アクセスの届出事例[2023 年下半期(7 月~12 月)]P.3
2023年3月:新たな感染手口を確認
2023年3月時点では、エモテットの新たな手口として以下の点が注目されています。
ZIPファイルを解凍すると500MB以上のWordファイルが展開される
1つ目の手口は、メールに添付されたZIPファイルを解凍すると、500MB以上のWordファイルが現れるというものです。
このWordファイルのマクロを有効にすることで、Emotetに感染してしまいます。一部のセキュリティ製品では大容量ファイルのスキャンが一部のみ行われるため、この手口はそれらの製品の検知を回避することを狙っています。
参考:Emotetの攻撃活動再開について(2023年3月9日)-IPA
OneNoteに偽の指示があるもの
もう1つの手口は、マイクロソフトのノートアプリケーションであるOneNote(.one)を悪用したものです。この手口では、次のような手順で感染します。
- 1.メールに添付されたファイルを開く
- 2.ノート内にある「View」ボタンをクリックする
- 3.「添付ファイルを開くとコンピューターやデータに問題を起こす可能性があります。」という警告ポップアップが表示される
- 4.OKボタンを押す
- 5.ウイルスに感染する
2でクリックするボタンは実際にはボタンを模した画像であり、その下には悪意のあるファイルが仕込まれています。.one形式のファイルが送られてきた場合は、特に注意が必要です。
参考:Microsoft OneNote形式のファイルを悪用した攻撃(2023年3月17日)-IPA
マイクロソフトがEmotet(エモテット)対策を強化
2022年7月27日以降、Windowsアップデートを適用することにより、インターネットやメールから入手したOfficeファイルについては標準でマクロが無効化されるようになりました。
この変更により、ファイルを開いても、「編集を有効にする」「コンテンツの有効化」ボタンが表示されなくなったのです。
ユーザーが誤ってクリックしてしまうことを回避でき、Emotetに感染するリスクも低減されています。
まとめ
エモテットは休止と再開を繰り返しており、今後も大規模な攻撃が始まる可能性があります。 不審なメールには十分警戒するよう、社内に呼びかけましょう。 基本的なセキュリティ対策を再点検するとともに、バックアップを適切に設定し、アクセス権を見直すことが推奨されます。
※記載している内容は、掲載日時点のものです
山岳でもストレスなしの通信環境を!山間部をカバーしているキャリアと対策を解説
2025-11-13
-
# お役立ち資料# トラブル# DoRACOON# お役立ち資料# リモートワーク# インターネット# テレワーク# WiFi# セキュリティ# 繋がらない# 繋がりにくい# 解説# メリット# デメリット# 仕組み# 快適# 回線速度# 目安# クラウドSIM# WiFiルーター
