いま世間を騒がせているEmotetとは

Emotetとはなにか？

Emotetとは主にコンピュータウイルスやマルウェアを送り込むのに使われるメール攻撃の手法です。相手のコンピュータに侵入し、そのユーザのメールアカウントを利用し他の関係者に返信する形で悪意を持ったマクロが含まれたドキュメントを送りつけます。

過去にも大きな被害を世界中の組織に与え、その結果２０２１年に各国の捜査機関が協力しEmotetのサーバを乗っ取る形でボットネットを停止に追い込みました。

しかしEmotetは残念ながら２０２１年の年末に活動を再開しました。前回は送信されたメールの文面が不自然で違和感を感じる事もありました。しかし、今回の攻撃では送信されたメールの文面に違和感がありません。そのため今回は添付されたエクセルを開いてしまうケースが頻発しています。

IPA（独立行政法人情報処理推進機構）は今年の３月に送られたメールの文面を公開しました。以下が実際のメール例ですが自然な日本語で書かれており不審さは感じさせません。

https://www.ipa.go.jp/security/announce/20191202.html#L19

どのような被害が報道されているのか？

トレンドマイクロの調査によると２０２２年に入ってからEMOTETの被害が急速に広がっていることが見て取れます。

https://blog.trendmicro.co.jp/archives/30728

３月は多数の企業がEmotetの被害を受けたことが報道されています。

2022/03/08 Emotet感染で実在従業員名乗る不審メール、フクシマガリレイ

2022/03/08 日本倉庫協会もEmotet感染、感染急拡大の動き

2022/03/09 不審メール開封しマルウェア感染、グローバルキッズ

2022/03/09 不審メール開封で約888名のアドレス流出、東商株式会社

2022/03/11 メルアカ不正アクセスでスパムメール、クリエイティブマシン

2022/03/14 「辛ラーメン」メーカーで「Emotet」感染 - 通販を一時停止

2022/03/14 実在従業員名乗る不審メール、Emotetでメールデータ流出の可能性

2022/03/15 約1週間で323件の被害相談、IPAがEmotet拡大の注意喚起

2022/03/16 HIS、なりすましメールに注意喚起 - 「Emotet」に感染か

2022/03/16 NTT西日本もEmotet感染、攻撃メール公開し注意促す

2022/03/18 小野組もEmotet感染、取引先に従業員名乗る不審メール

2022/03/22 株式会社シダー、Emotet感染で不審メール発生

2022/03/23 Melody BasKetがEmotet感染、個人向けの相談先も案内

2022/03/23 フューチャー・アンティークスがEmotet感染、不審メール例公開する

2022/03/23 東京辰巳国際水泳場の指定管理者がマルウェア感染 - 利用者情報が流出か

2022/03/23 複数サーバにサイバー攻撃、顧客情報流出の可能性 - 森永製菓

2022/03/24 小坂建設株式会社もEmotet感染、なりすましメール確認される

2022/03/24 森永が不正アクセス被害、通販ユーザー約165万人の情報流出か

出典

https://www.security-next.com/

https://cybersecurity-jp-com/

引き続きEmotetの被害が拡大していくことが予想されます。

どのように感染するのか？

Emotetは悪意を持ったスクリプトを持つオフィスファイル（Execlだけとは限りません）を開いて実行する事で相手のコンピュータに侵入を行います。

オフィスファイルには外部からマルウェア本体をダウンロードするプログラムが仕込んであります。ユーザがマクロの実行を許可する事で侵入のためのプログラムの動作が開始します。

感染するとどうなるか？

実際に仮想環境の中で感染させてみた様子を三井物産セキュアディレクション株式会社がYoutubeで公開しています。

https://youtu.be/rBEG8pdWwXY

感染後はC２サーバ（Command and Control serve)からの指示が来るまでコンピュータの中に常駐しています。その後会社のLANに接続されている他のコンピュータへの侵入を試みたり、メールアカウントを乗っ取り同様のメールを連絡先に送信したり、ランサムウェアを実行し全社のドライブを暗号化して脅迫を行ったりします。

防ぐ方法は？

日に日に巧妙になってくるEmotetですが、このような被害に合わないために次の点に留意すると良いでしょう。

• オフィスのマクロをすべて禁止する。

• ウェブメールを使用しクラウドでオフィスドキュメントを開く（Google docs/Office365 web等）

• ドキュメントを開く前に送信者に確認する。

などが考えられます。

すでに業務プロセスをマクロで構築してしまいマクロの仕様を禁止するということが現実的ではないケースもあると思います。そのような場合は完全に隔離された仮想環境で実行したり、マクロを外部アプリとして再構築したりする方法が考えられます。

弊社では開発とセキュリティを得意としております、お気軽にお問い合わせください。