マルウェアEmotet（エモテット）とは？攻撃の手口・感染対策を解説

はじめに、Emotetの概要を解説します。

Emotetは凶悪に進化したマルウェアの一種

Emotetはマルウェア（ウイルスを含みデバイスやネットワークなどに害を与える、悪意あるソフトウェアの総称）の一種です。確認されてから現在まで、形や手口を変えながら被害を拡大し続けており、昨今のサイバー攻撃による被害報告の中で常に多数を占めています。

現在のEmotetは、アクセスのたびにコードを少しずつ変化させる「ポリモーフィック型（メタモーフィック型）」ウイルスです。従来のマルウェア対策を行うセキュリティ製品はシグネチャベース（既知の攻撃のパターンファイルを読み込み、一致したマルウェアを検知するもの）が多く、短期間で変化を繰り返す高度なマルウェアを検知することは難しくなっています。

また、Emotetは変化を繰り返しつつも、本物と区別のつかない巧妙な偽装メールを使って人為的なミス（ヒューマンエラー）を誘発する特徴は発生当初から変わりません。感染すると「情報が窃取される」「ウイルスメールをばらまく」「デバイスがほかのマルウェアに感染する」「社内ネットワーク全体に感染が広がる」などの被害が確認されています（後述）。

Emotetの被害拡大の経緯と活動パターン

Emotetの最初の被害が観測されたのは約10年前、2014年と言われます。世界中で被害が拡大し、2019年ごろには日本国内でも感染が急増、広く注意喚起されるようになりました。2021年1月にはEUROPOL（欧州刑事警察機構）がEmotetの攻撃基盤をテイクダウン（停止）することにいったん成功し、攻撃は大幅に減少しています。しかし、同年11月には再び攻撃活動が活発化し、日本国内でも休止期を挟んで新たな攻撃が観測されています。2023年3月にも、新たにIPAより注意喚起が発表されました。

これまでの傾向から、Emotetは攻撃の後、数週間～数か月にわたって不定期に活動を休止し、その後変化した形で攻撃を再開するといわれています。しかし、これはあくまでも過去の活動から考えられる「傾向」であり、今後も同様であるかどうかは不明です。

以上から、「自社はセキュリティ製品を導入済だから大丈夫」「今は被害報告が収まっているから問題ない」などと安心せず、最新のセキュリティ対策を施し、定期的・継続的に見直すことが重要です。

Emotetの攻撃は、巧妙にメールを偽装して受け取り手自体にミスを犯させるのが最大の特徴ですが、それ以外にも複数の手口を使います。ここではこれまでに確認されているEmotetの攻撃の手法、手口から代表的なものを解説します。

（1）「なりすましメール」を生成し利用する

Emotetは、正規にやり取りされているメールの返信を偽装する手口を用います。送信されてきたWordやExcel、その他のファイルを開封し「コンテンツの有効化」をクリックすると、Emotet本体に感染します。

図1 : Emotetへの感染を狙う攻撃メールの例

〔出典〕IPA： 「Emotet」と呼ばれるウイルスへの感染を狙うメールについて

Emotetは感染させた端末から、アドレス帳などに登録されたメールアドレス宛てに攻撃メールを送信します。攻撃メールは感染端末にあるユーザーのメールを読み取って生成されるため、一見、本物と見分けがつきません。受信した人は「これまでのやり取りの返信として関係者から届いたメール」だと信じ、迷うことなくメールを開きコンテンツを有効化してしまうことが大半です。このように受信者自身に気づかせないまま感染させることから、被害は拡大し続けています。

（2）ウイルスを仕込んだパスワード付きzipファイルを添付しセキュリティをすり抜ける

Emotetの攻撃に用いられるメールにはほとんどの場合、不正なマクロを埋め込んだWordやExcelなどのファイルが添付されているほか、危険なリンクが含まれます。これらは前述のように知人からの連絡を装ったメールで送信されるため、ヒューマンエラーを引き起こしやすくなっています。

メールに添付されるzipファイルは従来のセキュリティツールのチェックをすり抜けやすいという問題点があり、Emotetはこの脆弱性を悪用しています。メールに添付されるZIPアーカイブが500MBを超えるサイズで展開されることで、ウイルスチェック回避を図っているなどの情報もあります。

この問題に対処するには「メールに添付されたファイルを安易に開封しない、リンクを踏まない」という一人一人の注意のほか、「最新のセキュリティ製品をインストールし、定期的に端末やシステムの脆弱性をチェックする」ことが基本となります。

【参考】PPAPはウイルス対策にならない

メール送受信時のセキュリティ対策・情報漏洩対策として、 PPAP（暗号化されたパスワード付きzipファイルをメールに添付し、解凍用パスワードは別メールで送信するセキュリティ対策）を取り入れている日本企業は多くあるようです。

しかしPPAPの利用においては、ネットワーク上のセキュリティ機器などでファイルスキャンする対策をとっている場合、パスワード付きzipファイルが解凍できないとウイルスチェックをすり抜けてしまうおそれがあります。この脆弱性がEmotetの感染拡大の一因とされています。

図2: パスワード付きzipファイルが添付された攻撃メールの例（2020年9月）

〔出典〕IPA：Emotet（エモテット）攻撃の手口

PPAPについてはEmotetによる被害拡大もあり、不完全なセキュリティ対策であるとして2020年には政府が廃止の方針を発表しました。現在は大手民間企業をはじめとして使用を禁止する流れとなっています。まだPPAPを利用している場合は、早急に対策が必要です。「脱PPAP」のための代替策については以下の記事を参照してください。

関連記事

脱PPAP！代替策「純国産オンラインストレージ GigaCC」

サイバー攻撃の中でもEmotetによる被害拡大が深刻化している理由は、大きく分けて4つあります。

【理由1】攻撃手法が変化し続けている

Emotetの攻撃手法は変化し続けています。対策が済んでいると安心せず、攻撃への備えを怠らないことが重要です。最近（2022年頃～）の新種として、以下のような例も確認されています。

【例１】リンクファイル（.lnk）を送付するパターン

このケースではファイルを開くといきなりPower Shellが起動され、マクロを有効化しなくても感染してしまいます。

【例２】Microsoft OneNote形式のファイル（.one）をメール添付するパターン

Microsoft OneNote形式のファイル（.one）を攻撃メールに添付し、ファイル内に書かれた内容を実行するとEmotetに感染します。

図3：Microsoft OneNote形式のファイルを悪用した攻撃例

〔出典〕IPA： Microsoft OneNote形式のファイルを悪用した攻撃

【例3】ソフト・アプリのアップデート更新を擬態するパターン

Microsoft Officeユーザーに対し、Windows Server Update Servicesからのメールを送ってOfficeアプリの更新が必要と思わせるものです。こちらもメール内に示されたボタンや、リンクをクリックすると感染します。

ソフトやアプリのアップデートは日常的に行われており、通知が定期的に届くため、特に企業内でこの手口にだまされてしまうケースが見られるようです。

このように、次々に変化し巧妙化する手口によって対策が後手になってしまうことも、被害拡大につながっています。

【理由2】Emotet自身は不正なコードを含まず、検知が難しい

これまで見てきたとおり、Emotetはマクロつきzipファイルなどを悪用し、セキュリティの網をくぐりぬけます。Emotet本体には不正なコードがあまり含まれておらず、従来のセキュリティシステムなどでは検知が難しいことが感染力の高い一因になっています。

システムでの検出ができないとなると各自が注意するしかなく、限界があるのは否めません。また現在、Emotetを検知できるセキュリティツールはありますが、上記のようにEmotetには変化した亜種が多く、セキュリティシステムの更新を怠っているとすりぬけてしまう場合があります。

【理由3】他のマルウェアの媒介（プラットフォーム）となる

Emotet（エモテット）は自身を感染させるだけでなく、感染したデバイスに他のマルウェアを侵入させるプラットフォームの役割も持っています。そのため、一度Emotetに感染した場合、他のマルウェアの感染も疑わなければなりません。

後述の「感染後の手順」でも解説していますが、Emotetだけを駆除して完了とするのではなく、全てのマルウェアに対するチェックが必要です。

【理由4】受信者の心理の隙を突く内容のメールでだまされやすい

受け取った人が「つい開いてしまう」メールを偽装する手口が、Emotetの悪質性の最たるものかもしれません。添付されるファイルの種類が変わっても、メールが本物と見まがうような巧妙なものであることは変わっていません。

「少しでも怪しいと感じるメールは開かない」「メールに記載されたリンクはクリックしない」「添付ファイルの指示を安易に実行しない」「警告画面が出た場合は作業を中断し、情報セキュリティ専門の部署や担当者に相談する」など、日頃からの心構えが必要です。

Emotetに感染した場合、どのような被害が起こるのでしょうか。ここではEmotet感染によって引き起こされる代表的な被害について解説します。

（1）重要情報が盗まれる

Emotetに感染すると、デバイスに保存していた重要情報が窃取されます。

メールソフトに保存していたパスワード、過去のメールのやり取り、アドレス帳に登録された情報などのほか、ブラウザに保存したパスワードやクレジットカード情報などが抜き取られていたケースも発生しています。

（2）Eメールを介してEmotet拡散に利用される

Emotetは、感染した端末のメールソフトが持つ情報を悪用し、メールをやり取りしていた相手に不正なメールを送り付けます。正規の業務用メールが悪用され、取引先や顧客などにマルウェアが拡散するケースも起きています。

（3）社内のほかの端末にEmotetが伝染する

同一ネットワーク内のほかの端末に感染を拡大させます。感染が確認されたら早急に該当端末をネットワークから切断します（次章で詳しく解説します）。

（4）ほかのマルウェア、ランサムウェアに感染する

不正プログラムを勝手にダウンロードしてしまうため、複数のマルウェアに感染させられてしまうリスクもあります。

（5）顧客からの信頼や社会的な信用が失われる

副次的な被害ですが、感染によって顧客などのステークホルダーにEmotetをばらまいてしまうおそれがあります。自社が“加害者”となってしまうため、顧客からの信頼が著しく損なわれかねません。また社会的にも、十分なセキュリティ対策を行わなかったと見なされ信頼が失墜するおそれがあります。被害が出る前に対策を講じることは急務といえます。

Emotetに感染した、あるいは感染の可能性がある場合、どう行動すべきでしょうか。ここではEmotet感染時の行動について具体的に解説します。

なお企業内にCSIRTやSOCを設置している場合、あるいは外部のセキュリティベンダと契約している場合は、何かおかしいと感じた場合は速やかに連携をとってください。ここで紹介するのはCSIRTやSOCなどの専用のセキュリティ部門が無い場合に「どう行動すべきか」の基本的な手順例となります。

【手順1】Emotetを検出する

「怪しいファイルを開いてしまった、またはリンクを踏んでしまったかもしれない」状況になったら、まずは慌てず、Emotetに感染したかどうか迅速に確認することが重要です。

既存のウイルス対策ソフトでのスキャンとあわせて実施したいのが、Emotet専用ツール「EmoCheck」を使った感染有無の確認です。これは一般社団法人JPCERT コーディネーションセンター（JPCERT/CC）が提供するツールで、無償で利用できます。

感染が疑われるPCの該当アカウントにて、ツールをダウンロード・実行することで感染の有無が確認できます。ツールは随時バージョンアップが行われているため、感染チェックには最新版かどうか確認のうえ利用しましょう。

図4: EmoCheckがEmotetを検知した際に出力されるテキスト例

〔出典〕警視庁サイバーセキュリティ対策本部： Emotet感染確認ツール「EmoCheck」の実行手順

【手順2】該当端末をネットワークから遮断する

Emotetに感染していることが確実になったら、すぐに該当端末を社内ネットワークおよび外部インターネットから遮断します。感染初期に遮断を早急に行うことで、感染拡大を防ぐ効果が上がります。

【手順3】他のマルウェアの感染有無を確認する

Emotet感染が確認された端末については、ウイルス対策ソフトのスキャンなどでほかのマルウェアの感染有無も改めてチェックします。

【手順4】Emotet（および他の感染しているマルウェア）を駆除する

Emotetを駆除します。具体的な駆除方法は「EmoCheckの使い方の手引き（警視庁 サイバーセキュリティ対策本部）」や「マルウェアEmotetへの対応FAQ（JPCERT/CCEyes 2019/12/02）」を参照してください。他のマルウェアに感染していることが分かっている場合は、そちらも駆除対応します。

なお、自社内で駆除が難しい場合は、契約しているセキュリティベンダに相談することをおすすめします。

エンドポイント型 サイバー攻撃対策 Cybereason

【手順5】同一ネットワークに所属する全端末をチェックする

感染した端末と同じネットワークに所属する全端末についても、Emotetに感染していないか確認します。この作業は、手順1でEmotetが検出された場合、手順2からと並行してすぐに行ってください。

【手順6】パスワードなどを変更する

感染した端末すべてで、メールやブラウザに保存していたパスワードも窃取されていると考え、すべて変更します。

令和4年より（4月1日施行）、個人情報の漏えい等が発生した場合は、個人情報保護委員会への報告及び本人への通知が必須となっています。法令やガイドラインに則り、関係各処へ連絡を迅速に行わなければなりません。Emotet感染が確認された際に連絡や報告をすべき手順を解説します。

〔参考〕厚生労働省：個人情報保護法改正に伴う漏えい等報告の義務化と対応について（令和4年5月27日　個人情報保護委員会事務局）

取引先や顧客への連絡および情報公開

取引先や顧客には、感染した端末からマルウェアを送付してしまった可能性を鑑み、注意喚起の連絡を行います。

〔出典〕総務省： サイバー攻撃被害に係る情報の共有・公表ガイダンスP8図5

また感染が広範囲に影響を及ぼすと判断される場合は、二次被害を防止するため速やかに経緯および被害状況、再発防止の取り組み等について、法令やガイドラインに基づき公表します。

〔出典〕総務省： サイバー攻撃被害に係る情報の共有・公表ガイダンスP7図2

行政機関への報告・届出、警察への通報等を行う

状況に応じて、個人情報保護委員会およびIPAへの報告、被害状況によっては警察への通報等も行います。

〔参考〕
総務省：サイバー攻撃被害に係る情報の共有・公表ガイダンス（令和5年3月8日）

IPA：コンピュータウイルス・不正アクセスに関する届出について

企業としてEmotetに対策するならば、有効となるのは「複数のセキュリティの仕組みを整え運用する対策」です。以下の3つは、基本的な施策とともに取り入れることをおすすめします。

• Emotetに対応した最新のウイルス対策製品を導入しログ収集を行う
• EDR（Endpoint Detection and Response）、XDRなどの不審な挙動を検知できる製品を導入する
• ファイル添付を避けるため、ファイルのやり取りをオンラインストレージに集約する（＝メール添付されてきたファイルはすべて不審なものとして扱う）

WordやExcelファイルのマクロを悪用するEmotetの手口から、対策としてマクロの無効化が有効とされています。ただし、一つの予防策として有効ではあるものの、全社でマクロを一律禁止するのは難しいケースも少なくありません。また個人レベルの対策は、どんなに周知徹底しても限界があります。以下のように総合的に企業のシステムやネットワークを守る仕組みを備える方法もあります。

• 企業内にCSIRTやSOCなどのセキュリティ対策専門チームを立ち上げる
• セキュリティ対策に詳しい外部ベンダに相談し、アウトソーシングサービスを活用することも検討する

Emotetが人為的なミスを誘発する巧妙な仕掛けで攻撃してくるからには、それを防ぐために個人の注意に委ねるのではなく、強力なシステムを用いて対抗しなければならないといえるでしょう。

IT資産管理とエンドポイントを実現する「Ivanti」

この記事では、Emotetとは何か、感染の手口、起こり得る被害、具体的な対策方法について解説しました。

Emotetへの感染対策は、これまでのマルウェア同様「不審なメールやファイルを開かない」「怪しいリンクを踏まない、ファイルのコンテンツ有効化を実行しない」「OSやセキュリティソフトなどはアップデートを欠かさず、常に最新の状態を維持する」ことが基本になります。また企業は社員全員に対してセキュリティ教育を継続的に行い、周知徹底することは必須です。

日々変化するEmotetは個人が注意するだけで防ぎきれるものではありません。少し前まで有効とされていたコンテンツ無効化などの対策も、しばらく経つとそれをかいくぐるケースが確認されています。一人ひとりが注意することはもちろん、組織としてセキュリティ体制を整えること、信頼できるセキュリティサービスを利用すること、常に最新の脅威情報をチェックすることを忘れずに行ってください。