サービスに関する
お問い合わせ

緊急対応 専用窓口

セキュリティの緊急事態が発生したらご遠慮なくお問い合わせください。ご相談は無料です。

SHIFT SECURITY

クラウドセキュリティの
学び場

インシデント多発、Emotetを解説

インシデント多発、Emotetを解説
目次
  • Emotetの感染経路とは
  • Emotetに感染した場合の被害
  • Emotetの被害に遭わないための対策

2022年3月現在、Emotetが再び猛威を振るっています。
Emotet 自体は2014年と比較的古くからあるマルウェアです。一時は収束したように見えたのですが、昨年(2021年)11月頃から再び亜種が流行りはじめ、 2022年2月には大流行する事態となりました。
ここでは Emotetの感染経路、感染した場合の被害、被害に遭わないための対策 について解説します。

Emotetの感染経路とは

Emotetは主にメールの添付ファイルを介して感染します。 もし、皆さんの受信トレイに以下のようなメールが届いていたら要注意です。

 from: エスエス 太郎 <victim@example.com>

 以下メールの添付ファイルの解凍パスワードをお知らせします。
 添付ファイル名: 2022-XX-XX_XXXX.zip
 解凍パスワード: xxxxxxxx

 ご確認をお願いします。

 エスエス 太郎
 Tel xxx-xxx-xxxx Fax xxx-xxx-xxxx
 Mobile xxx-xxxx-xxxx
 Mail taro.ss@example.com

見る人が見れば「怪しいメール」ですが、Emotetの巧妙な所は「関係者からメールが届く場合がある」点です。このため、「知り合いからのメールだから」と不用意に添付ファイルを扱い、マルウェアに感染してしまいます。

メールに添付されたzipファイルはパスワードで暗号化されており、メールサーバ上のマルウェアチェックを困難にしています。zipファイルには細工されたExcelファイルが格納されており、これを開くとExcel上でマクロが起動し、Emotetへ感染します。

Emotetに感染した場合の被害

Emotetに感染した場合の被害は大きく3つ挙げられます。

  1. 1.Emotet感染者が感染源となる被害
  2. 2.ネットバンキング等のパスワードを盗まれる被害
  3. 3.感染端末がボット化し、攻撃者に制御される被害

Emotet感染者が感染源となる被害

1つ目は「Emotet感染者が感染源となる」被害です。特に問題なのは「知り合いの名前を使って感染を広げてしまう」点にあります。先に例示したメール例で送信者名の「エスエス 太郎」はEmotet感染者のアドレス帳に載っている名前です。つまり、Emotetは感染者の知り合いを騙り感染を広げるため、感染者に社会的影響が生じる恐れがあります。

ネットバンキング等のパスワードを盗まれる被害

2つ目は「ネットバンキング等のパスワードが盗まれる」被害です。Emotetに感染するとWebブラウザのキャッシュ等からWebサイトのパスワードが復元され、これを攻撃者へ送信します。これにより、ネットバンキング利用者に金銭的な被害が生じる恐れがあります。

感染端末がボット化し、攻撃者に制御される被害

3つ目は「感染端末がボット化し、攻撃者に制御される」被害です。現在、流行しているEmotetは感染後に追加モジュールで機能追加し、攻撃者に制御された端末(ボット)になります。このように社内ネットワーク上の端末がボット化すると、それを踏み台として攻撃者が侵入し、さらに大きな被害に発展する恐れがあります。

Emotetの被害に遭わないための対策

Emotetの被害に遭わないための代表的な対策を3つ挙げます。

  1. 1.パスワード付zipを扱わない
  2. 2.不審なファイルを開かない
  3. 3.Officeマクロを無効化する

パスワード付zipを扱わない

まず、何よりも「パスワード付zipをやめること」が挙げられます。 パスワード付zipは「PPAP(パスワード付zip送ります。パスワード送ります。暗号化 プロトコル)」として、生産性低下やセキュリティリスクが問題視されています。「パスワード付zipをメールで送る」ことは送信先(取引先)にマルウェア感染リスクを押し付けることです。「送信者の行動により受信者がリスクを負う」ことから、PPAP廃止は社会全体で取り組むことが重要です。

不審なファイルを開かない

不審なファイルを開かない」はフィッシングなどの他のセキュリティリスク対策とも共通します。 Emotetのメールは先に例示したように特徴があります。その特徴を組織で周知するとともに、日ごろから啓発を行い、予防に務める事が重要です。

Officeマクロを無効化する

Officeマクロを無効化する」は属人性を廃した対策であることから、Officeマクロが感染源となるマルウェア対策として効果的です。

万が一、怪しいファイルを開いた場合には、速やかにネットワークから切り離し、組織のセキュリティ規則に従い対応をすることが重要です。Emotetの感染確認ツールとして JPCERT から Emocheck が配布されている他、セキュリティベンダーからも影響調査などのフォレンジックサービスが提供されています。

どうか、本記事が皆さんの Emotet 被害を抑える一助になればと思います。

あなたの疑問を一緒に解決します!

解説してほしい用語や技術、仕組みについての疑問、
みなさまのクラウドセキュリティのお悩みに関して技術者が記事にして回答します!
ぜひご気軽にご投稿ください。

クラウドの脆弱性診断にご興味があるかたはこちら

この記事の著者 中村 丈洋

形式手法および高信頼ソフトウェアの研究に従事、博士号を取得。 2013年より株式会社SHIFTにてソフトウェアテスト支援ツール開発および非機能テストに従事。 SHIFT SECURITY の設立に携わる。同社では脆弱性診断手法とツール開発、およびセキュリティコンサルティング業務に従事。 2018年よりSHIFT SECURITY 執行役員に就任。 現在に至る。

\ 記事をシェアする /

サービスに関する
お問い合わせ