マルウェアEmotet（エモテット）とは？攻撃の手口・感染対策を解説

確認されてから現在まで、形や手口を変えながら被害を拡大し続けているEmotet。ここではEmotetの概要を解説します。

Emotetは凶悪に進化したマルウェアの一種

Emotetとはマルウェア（ウイルスを含みデバイスやネットワークなどに害を与える、悪意あるソフトウェアの総称）の一種です。非常に凶悪かつ巧妙な手口で被害が急増しており、昨今のサイバー攻撃による被害報告の中で常に多数を占めています。

マルウェアにはさまざまな種類があり、Emotetは「（自己増殖型モジュール型）トロイの木馬」に分類されます。無害なソフトウェアを装って端末に侵入しウイルス感染させますが、特に、本物と区別のつかない巧妙な偽装メールを使って人為的なミス（ヒューマンエラー）を誘発することが特徴です。感染した場合は「情報が窃取される」「ウイルスメールをばらまく」「デバイスがほかのマルウェアに感染する」「社内ネットワーク全体に感染が広がる」などの被害が確認されています。

Emotetの被害拡大の経緯と活動パターン

Emotetの最初の被害が観測されたのは約10年前、2014年と言われます。世界中で被害が拡大し、2019年ごろには日本国内でも感染が急増、広く注意喚起されるようになりました。2021年1月にはEUROPOL（欧州刑事警察機構）がEmotetの攻撃基盤をテイクダウン（停止）することに成功し、攻撃は大幅に減少しましたが、同年11月には再び攻撃活動が活発化。日本国内でも休止期を挟んで新たな攻撃が観測されています。2023年3月にも、新たにIPAより注意喚起が発表されました。

Emotetは数週間～数か月にかけて不定期に活動を休止し、その後変化した形で攻撃再開するといわれています。被害報告が収まっているからと安心せず、最新のセキュリティ対策を施し、定期的に見直すことが重要です。

Emotetの攻撃は、巧妙にメールを偽装して受け取り手自体にミスを犯させるのが最大の特徴ですが、それ以外にも複数の手口を使います。ここではこれまでに確認されているEmotetの攻撃の手法、手口から代表的なものを解説します。

ウイルスをパスワード付きzipファイルにして添付、セキュリティをすり抜ける手口

Emotetの攻撃は、不正なマクロを埋め込んだWordやExcelファイルをメールで送りつける手法が基本です。最新の情報では、メールに添付されるZIPアーカイブが500MBを超えるサイズで展開されることでウイルスチェック回避を図るなど、さらに変化しているようです。

メール送受信時のセキュリティ対策として、PPAP（暗号化されたパスワード付きzipファイルをメールに添付し、解凍用パスワードは別メールで送信するセキュリティ対策）があります。情報漏えい対策として多くの日本企業が取り入れています。

しかしPPAPの利用においては、ネットワーク上のセキュリティ機器などでファイルスキャンする対策をとっている場合、パスワード付きzipファイルが解凍できないとウイルスチェックをすり抜けてしまうおそれがあります。この脆弱性がEmotetの感染拡大の一因とされています。

図1: パスワード付きzipファイルが添付された攻撃メールの例（2020年9月）

〔出典〕IPA：「Emotet」と呼ばれるウイルスへの感染を狙うメールについて

PPAPについてはEmotetによる被害拡大もあり、不完全なセキュリティ対策であるとして2020年には政府が廃止の方針を発表しました。現在は大手民間企業をはじめとして使用を禁止する流れとなっています。まだPPAPを利用している場合は、早急に対策が必要です。「脱PPAP」のための代替策については以下の記事を参照してください。

「なりすましメール」による手口

Emotetは「正規にやり取りされているメールの返信」を偽装する手口を用います。送信されてきたWordやExcelファイルを開封、「コンテンツの有効化」をクリックさせてEmotet本体に感染します。

図2 : Emotetへの感染を狙う攻撃メールの例

〔出典〕IPA： 「Emotet」と呼ばれるウイルスへの感染を狙うメールについて

また感染した端末からは、アドレス帳にあるメールアドレス宛てに攻撃メールが送信されるケースもあります。受信した人は「これまでのやり取りの返信として関係者から届いたメール」だと信じ、迷うことなくメールを開きコンテンツを有効化してしまうことが大半です。このように受信者自身に気づかせないまま感染させることから、被害は拡大し続けています。

Emotetのメール偽装の実際の手口として、以下のような事例がこれまで確認されています。

• 「協力会社各位」として「先日送付した案内に修正があった」とWordファイルが添付されているもの
• 「消防検査」「ご入金額の通知・ご請求書発行のお願い」「次の会議の議題」など、ウイルスかどうか見極めが難しい件名を付けたもの

〔出典〕：IPA（独立行政法人 情報処理推進機構）

サイバー攻撃の中でもEmotetによる被害拡大が深刻化している理由は、大きく分けて4つあります。

【理由1】攻撃手法が変化し続けている

多くのマルウェアがそうであるように、Emotetの攻撃手法も変化しています。対策が済んでいると安心せず、サイバー攻撃への備えを怠らないことが重要です。

たとえば最近（2022年頃～）の新種として、以下のような例も確認されています。

【例１】リンクファイル（.lnk）を送付するパターン

このケースではファイルを開くといきなりPower Shellが起動され、マクロを有効化しなくても感染してしまいます。

【例２】Microsoft OneNote形式のファイル（.one）をメール添付するパターン

Microsoft OneNote形式のファイル（.one）を攻撃メールに添付し、ファイル内に書かれた内容を実行するとEmotetに感染します。

図3：Microsoft OneNote形式のファイルを悪用した攻撃例

〔出典〕IPA： Microsoft OneNote形式のファイルを悪用した攻撃

【例3】ソフト・アプリのアップデート更新を擬態するパターン

Microsoft Officeユーザーに対し、Windows Server Update Servicesからのメールを送ってOfficeアプリの更新が必要と思わせるものです。こちらもメール内に示されたボタンや、リンクをクリックすると感染します。

ソフトやアプリのアップデートは日常的に行われており、通知が定期的に届くため、特に企業内でこの手口にだまされてしまうケースが見られるようです。

（参考）Daily Emotet IoCs and Notes for 10/14/20

このように、次々に変化し巧妙化する手口によって対策が後手になってしまうことも、被害拡大につながっています。

【理由2】Emotet自身は不正なコードを含まず、検知が難しい

これまで見てきたとおり、Emotetはマクロつきzipファイルなどを悪用し、セキュリティの網をくぐりぬけます。Emotet本体には不正なコードがあまり含まれておらず、セキュリティシステムなどでの検知が難しいことが感染力が高い一因になっています。

システムでの検出ができないとなると各自が注意するしかなく、限界があるのは否めません。また現在、検知できるセキュリティツールはありますが、上記のようにEmotetには変化した亜種も多く、セキュリティシステムの更新を怠っていると、すりぬけてしまう場合があります。

【理由3】他のマルウェアの媒介（プラットフォーム）となる

Emotet（エモテット）は自身を感染させるだけでなく、感染したデバイスにほかのマルウェアを侵入させる、プラットフォーム・足場の役割も持っています。そのため、一度Emotetに感染した場合、他のマルウェアの感染も疑わなけばなりません。

以下の感染後の手順でも解説していますが、Emotetだけを駆除して完了とするのではなく、すべてのマルウェアに対するチェックが必要です。

【理由4】受信者の心理の隙を突く内容のメールでだまされやすい

受け取った人が「つい開いてしまう」メールを偽装する手口が、Emotetの悪質さの最たるものかもしれません。添付されるファイルの種類が変わっても、メールが本物と見まがうような巧妙なものであることは変わっていません。

「少しでも怪しいメールは開かない」「リンクはクリックしない」「添付ファイルの指示を安易に実行しない」「警告画面が出た場合は作業を中断し、サイバー攻撃専門の部署や担当者に相談する」など、日ごろからの心構えが必要です。

サイバー攻撃の中でもEmotetによる被害拡大が深刻化している理由は、大きく分けて4つあります。

（1）重要情報が盗まれる

Emotetに感染すると、デバイスに保存していた情報が窃取されます。

メールソフトに保存していたパスワード、過去のメールのやり取り、アドレス帳に登録された情報などのほか、ブラウザに保存したパスワードやクレジットカード情報なども抜き取られていたケースも発生しています。

（2）Eメールを介してEmotet拡散に利用される

Emotetは、感染した端末のメールソフトが持つ情報を悪用し、メールをやり取りしていた相手に不正なメールを送り付けます。正規の業務用メールが悪用され、取引先や顧客などにマルウェアが拡散するケースも起きています。

顧客が自社のメールによってEmotetに感染する被害に遭ったとなれば、自社は“加害者”となってしまい信頼が著しく損なわれることになりかねません。大きな被害が出る前に対策を講じることは急務といえます。

（3）社内のほかの端末にEmotetが伝染する

同一ネットワーク内の端末に感染を拡大させます。感染が確認されたら早急に該当端末をネットワークから切断しなければなりません（次章で詳しく解説します）。

（4）ほかのマルウェア、ランサムウェアに感染する

不正プログラムを勝手にダウンロードしてしまうため、複数のマルウェアに感染させられてしまうリスクもあります。

Emotetに感染した、あるいは感染の可能性がある場合、どう行動すべきでしょうか。ここではEmotet感染時の行動について具体的に解説します。

【手順1】Emotetを検出する

「怪しいファイルを開いてしまったかもしれない」状況になったら、まずはEmotetに感染したかどうか迅速に確認することが重要です。

既存のウイルス対策ソフトでのスキャンとあわせて実施したいのが、Emotet専用ツール「EmoCheck」を使った感染有無の確認です。これは一般社団法人JPCERT コーディネーションセンター（JPCERT/CC）が提供するツールで、無償で利用できます。

感染が疑われるPCの該当アカウントにて、ツールをダウンロード・実行することで感染の有無が確認できます。ツールは随時バージョンアップが行われているため、感染チェックには最新版かどうか確認のうえ利用しましょう。

図4: EmoCheckがEmotetを検知した際に出力されるテキスト例

〔出典〕警視庁サイバーセキュリティ対策本部： Emotet感染確認ツール「EmoCheck」の実行手順

【手順2】該当端末をネットワークから遮断する

Emotetに感染していることが確実になったら、すぐに該当端末を社内ネットワークおよび外部インターネットから遮断しましょう。感染初期に遮断を早急に行うことで、感染拡大を防ぐ効果が上がります。

【手順3】他のマルウェアの感染有無を確認する

Emotet感染が確認された端末については、ウイルス対策ソフトのスキャンなどでほかのマルウェアの感染有無も改めてチェックします。

【手順4】Emotet（および他の感染しているマルウェア）を駆除する

Emotetを駆除します。具体的な駆除方法は「EmoCheckの使い方の手引き（警視庁 サイバーセキュリティ対策本部）」や「マルウェアEmotetへの対応FAQ（JPCERT/CCEyes 2019/12/02）」を参照してください。他のマルウェアに感染していることが分かっている場合は、そちらも駆除対応します。

なお、自社内で駆除が難しい場合は、契約しているセキュリティベンダに相談することをおすすめします。

エンドポイント型 サイバー攻撃対策 Cybereason

【手順5】同一ネットワークに所属する全端末をチェックする

感染した端末と同じネットワークに所属する全端末についても、Emotetに感染していないか確認します。この作業は、手順1でEmotetが検出された場合、手順2からと並行してすぐに行ってください。

【手順6】パスワードなどを変更する

感染した端末すべてで、メールやブラウザに保存していたパスワードも窃取されていると考え、すべて変更します。

令和4年より（4月1日施行）、個人情報の漏えい等が発生した場合は、個人情報保護委員会への報告及び本人への通知が必須となっています。法令やガイドラインに則り、関係各処へ連絡を迅速に行わなければなりません。Emotet感染が確認された際に連絡や報告をすべき手順を解説します。

〔参考〕厚生労働省：個人情報保護法改正に伴う漏えい等報告の義務化と対応について（令和4年5月27日　個人情報保護委員会事務局）

取引先や顧客への連絡および情報公開

取引先や顧客には、感染した端末からマルウェアを送付してしまった可能性を鑑み、注意喚起の連絡を行います。

〔出典〕総務省： サイバー攻撃被害に係る情報の共有・公表ガイダンスP8図5

また感染が広範囲に影響を及ぼすと判断される場合は、二次被害を防止するため速やかに経緯および被害状況、再発防止の取り組み等について、法令やガイドラインに基づき公表します。

〔出典〕総務省： サイバー攻撃被害に係る情報の共有・公表ガイダンスP8図5

行政機関への報告・届出、警察への通報等を行う

状況に応じて、個人情報保護委員会およびIPAへの報告、被害状況によっては警察への通報等も行います。

〔参考〕
総務省：サイバー攻撃被害に係る情報の共有・公表ガイダンス（令和5年3月8日）

IPA：コンピュータウイルス・不正アクセスに関する届出について

企業としてEmotetに対策するならば、有効となるのは「複数のセキュリティの仕組みを整え運用する対策」です。以下の3つは、基本的な施策とともに取り入れることをおすすめします。

• Emotetに対応した最新のウイルス対策製品を導入しログ収集を行う
• EDR（Endpoint Detection and Response）、XDRなどの不審な挙動を検知できる製品を導入する
• ファイル添付を避けるため、ファイルのやり取りをオンラインストレージに集約する（＝メール添付されてきたファイルはすべて不審なものとして扱う）

WordやExcelファイルのマクロを悪用するEmotetの手口から、対策としてマクロの無効化が有効とされています。ただし、一つの予防策として有効ではあるものの、全社でマクロを一律禁止するのは難しいケースも少なくありません。また個人レベルの対策は、どんなに周知徹底しても限界があります。

Emotetが人為的なミスを誘発する巧妙な仕掛けで攻撃してくるからには、それを防ぐために個人の注意に委ねるのではなく、強力なシステムを用いて対抗しなければならないといえるでしょう。

EDRについては、以下の記事もぜひ参照してください。

IT資産管理とエンドポイントを実現する「Ivanti」

Emotetへの感染対策は、これまでのマルウェア同様「不審なメールやファイルを開かない」「怪しいリンクを踏まない、ファイルのコンテンツ有効化を実行しない」「OSやセキュリティソフトなどはアップデートを欠かさず、常に最新の状態を維持する」ことが基本になります。また企業は社員全員に対してセキュリティ教育を継続的に行い、周知徹底することは必須です。

とはいえ、日々進化するEmotetは個人が注意するだけで防ぎきれるものではありません。少し前まで有効とされていたコンテンツ無効化などの対策も、しばらく経つとそれをかいくぐるケースが確認されています。一人ひとりが注意することはもちろん、組織として体制を整えること、信頼できるセキュリティサービスを利用すること、常に最新の脅威情報をチェックすることを忘れずに行ってください。