感染拡大中のコンピュータウイルス「Emotet(エモテット)」とは? チェック法も紹介
警視庁のサイバーセキュリティ対策本部も注意喚起を促している。
独立行政法人情報処理推進機構セキュリティーセンターが2022年2月17日に発表した調査結果「コンピュータウイルス・不正アクセスの届出状況」によると、2020年1月〜12月における寄せられたウイルス届出の年間件数は前年の259件から7割増となる449件に増加した。その中でもEmotetによる感染被害は39件と、もっとも多かった。2022年3月には、すでに300件超の被害相談があるという。
なぜ、これほどまでに流行っているのか? そもそもEmotetとは、何なのか?
そこで今回は、Emotetの特徴や感染経路、予防対策、感染チェックについてまとめた。
■Emotetの特徴と感染経路
Emotetは、ロシアを拠点とするマルウェアの亜種。
2014年に初めて検出されて以来、今もなお猛威を振っている。
感染経路は、普段から利用しているメールの添付ファイル。
見かけはマクロ付きのWordやExcelのファイルであるため、パソコンに慣れている人でもコンピュータウイルスだと気付きにくい。
また、過去にやり取りをした人のメールを利用して、メールのタイトルに「RE:」をつけて送信される。なりすましメールであるため、警戒せずに添付ファイルを開いて感染してしまうケースが多い。
Emotetにはワーム機能があるため、1台のパソコンが感染すると、感染したパソコンが接続しているネットワーク上の別のパソコンにも感染する。
感染したパソコンが社内ネットワーク内の1台であった場合、爆発的な感染拡大となる可能性もある。
さらにセキュリティーの専門家でも気付きにくい仕組みも感染拡大の要因となっている。
情報を窃取するモジュールは通常マルウェア本体に仕込まれているが、Emotetは少々異なる。
Emotetは、感染させたあとに攻撃者が用意したサーバーからランサムウェアなどのマルウェアをダウンロードして実行されるため、Emotet本体をチェックしても不正な実行コードが見つけづらい。このためコンピュータウイルスとして検知することが難しいのだ。
■感染したら、どうなる?
Emotetに感染すると、メールアカウントやパスワード、アドレス帳などの情報が抜き取られる。
仕事用のパソコンであれば、アドレス帳から取引先のメールアドレスが抜き取られ、その情報をもとにEmotetの攻撃が仕掛けられる。
個人、企業、いずれの場合も、社会的な信用や損害を被るリスクが高い。
さらにEmotetによる攻撃者はランサムウェアをダウンロードさせ、パソコンへのアクセスを制限し、身代金を要求するなどの損害を与えることもできる。
■感染予防策は?
Emotetの感染予防は、次の3つがあげられる。
・不用意に添付ファイルを開かない
・マクロの自動実行を無効化しておく
・セキュリティーソフトを導入しておく
〇不用意に添付ファイルを開かない
Emotetは、添付ファイルを開かなければ、感染しない。
WordやExcelのファイルを添付したメールが来たら、面倒でも送信元に確認するとよいだろう。
とくに「RE:」が付いているメールは注意したい。
〇マクロの自動実行を無効化しておく
WordやExcelのマクロの自動実行を無効化しておけば、添付ファイルを開いてしまっても、慌てずに済む。
「コンテンツの有効化」というボタンが現れたときは、このボタンを押さない限り、マクロが実行されない。
よく考えてから、ボタンを押そう。
〇セキュリティーソフトを導入しておく
Emotetに対応したセキュリティーソフトをパソコンに入れておけば、Emotetを検出できる可能性がある。
たとえば、ウイルスバスター クラウドはウイルス/ランサムウェア/グレイウェア対策により、Emotetや不正マクロを含むOffice文書ファイルを検出することができる。
ただし、Emotetのようなコンピュータウイルスはセキュリティーソフトに検出されづらく、既存の検出技術を回避するため、日々進化している。
対策としては、こまめにセキュリティーソフトのアップデートを繰り返すしかない。
■感染チェックは?
Emotetに感染しているかどうかは、一般社団法人JPCERTコーディネーションセンターが提供している確認ツール「EmoCheck」でチェックすることができる。
具体的には、EmoCheckの提供サイトから、適切なプログラムをダウンロードして、プログラムを実行する。
・emocheck_v2.1.1_x64.exe 64ビット版
・emocheck_v2.1.1_x86.exe 32ビット版
※原稿執筆時は、v2.1.1が最新版
64ビット版、32ビット版の実行ファイルに加え、ソースコードも提供されている
たとえば、64ビット版のWindows 10を使用していれば、emocheck_v2.1.1_x64.exeを使用する。
Emotetに感染していなければ、「Emotetは検知されませんでした。」と表示される。
EmoCheckを実行した画面。感染をチェックし、ファイルに結果を出力する。
万が一、パソコンがEmotetに感染していた場合、パソコンをネットワークから隔離しよう。そのあと、同じネットワークにあったパソコンの感染をチェックしよう。
EmoCheckはEmotetに感染したファイルが存在する場所を特定できるため、そのファイルを端末から駆除できる。駆除後、メールアカウントや、パソコンに保存しているパスワードは抜き取られている可能性があるため、これらを変更する必要がある。
だたし、状況によっては、パソコンにリモートでパソコンを操作できるバックドアが残っている可能性は否めない。コンピュータウイルスの脅威を排除するため、できれば、パソコンを初期化したほうがよいだろう。
Emotetは一時活動が収束されたが、2021年11月頃から再び活性化しており、今年に入ってからも多数の企業が情報流出の被害に合っている。ターゲットは企業だが、Emotetは個人のパソコンから感染するため、気になる人はEmoCheckでチェックしてみるとよいだろう。
・コンピュータウイルス・不正アクセスの届出状況(PDF)
・確認ツール「EmoCheck」
ITライフハック 関口哲司
