活動再開したEmotet(エモテット)とは?対策と感染したらとるべき駆除方法をわかりやすく解説
2023年04月20日 08時00分IT小ネタ帳

活動再開したEmotet(エモテット)とは?対策と感染したらとるべき駆除方法をわかりやすく解説
パソコンの安全性を脅かすマルウェアにはさまざまな種類がありますが、近年は「エモテット」の存在が目立っています。エモテットの感染経路は巧妙で、対策をしていないと知らない間に感染し、個人情報や機密情報が盗まれる危険性が高くなっています。
昨年11月以降活動を停止していましたが、3月に入り新たな手口で再開が確認されました。
情報セキュリティー機関JPCERT/CCによると、今回の手口はメールに添付されたZIPファイルを展開すると、500MBを超えるdocファイルが展開されるというものです。ファイルサイズを大きくすることで検知回避を図っていると考えられています。
また、メールに添付されたMicrosoft OneNote形式のファイルを実行後に画面上のボタンを押すと、ボタンの裏に隠れているスクリプトが実行され、感染に繋がるパターンも確認されています。
感染対策の詳細は「常時安全セキュリティ24」にて確認いただけます。
本記事ではエモテットとはどのようなマルウェアなのか、感染した場合の症状や駆除対策をわかりやすく解説します。
エモテットに有効なセキュリティ対策はこちら
Emotet(エモテット)とはEmotet(エモテット)とは、主にメールの添付ファイルを感染経路としたマルウェア(ウイルス)の一種です。
Emotet(エモテット)は2019年11月に広く知られるようになりましたが、初めて発見されたのは2014年です。発見された頃は、金融データを盗むマルウェアとして知られていました。
エモテットの手口は「なりすましメール」を用いたものが主流です。なりすましメールのパターンは複数あり、マルウェアの感染経路も2種類あります。
なりすましメールとは、有名な企業や公的機関を装った詐欺のメールを指します。例を挙げると、以下のようなものがなりすましメールに該当します。
2.公的機関を装い、話題のテーマを用いた重要連絡と偽った内容
3.宅配業者を装い「ご不在でしたのでご連絡致しました」と連絡する
上記のような、なりすましメールの本文にURLを記載したパターンがエモテットの攻撃手法の主流となっています。
例えば、携帯会社を装ったなりすましメールを受信したとしましょう。携帯会社を装うパターンでは、以下の文面を用いて記載のURLに誘導します。
「電話代が高額になっています」
「プレゼントがあります」
しかし、記載されているURLにアクセスすると、勝手にマルウェアをダウンロードさせられ感染に至ります。なりすましメールでURLへ誘導する手口やパターンが増えているので注意が必要です。
https://koneta.nifty.com/koneta_detail/1141008014470_1.htm
メールの添付ファイルから感染
以前はなりすましメールに添付されているファイルからマルウェアに感染するパターンが定番でした。会社内ではファイルを暗号化するため、ZIPファイルへ暗号化してデータをやり取りします。しかし、この手法を悪用して会社内での業務メールと装い、マルウェアを添付したZIPファイルを送信してくる事例がありました。
偽の業務メールから添付ファイルを開くと、マルウェアに感染してしまうというケースもあるので注意しましょう。
https://koneta.nifty.com/koneta_detail/1141008015129_1.htm
Emotet(エモテット)の症状ここからはエモテットに感染するとどうなるのか、どのような症状が発生するのかを確認していきましょう。
・個人情報や機密情報の流出
・他のデバイスへの伝染
・サーバーのデータを失う
症状がどれであっても損害は小さくありません。順番に見ていきましょう。
エモテットに感染しただけでも情報漏洩のリスクは高まりますが、さらに他のマルウェアをダウンロードさせられる恐れもあります。エモテットへの感染がきっかけになり、デバイスを人質にするランサムウェアに感染して身代金を要求される危険も生じます。ランサムウェアに感染すると、デバイスに保存しているデータが暗号化されてしまい利用することができなくなります。
エモテットでは、情報を盗むためのモジュールをデバイスにダウンロードさせるため、感染するとインターネット上で利用する認証情報が盗み取られます。認証情報とは、個人情報を扱うサイトにログインするIDやパスワードが該当します。認証情報が盗まれると、住所や電話番号、クレジットカードやネットバンキング情報の流出が避けられません。
エモテットには他の端末へ伝染する危険性もあります。会社内で1つのネットワークを複数のデバイスで共有しているとします。この状況で1台のデバイスがエモテットに感染すると、同一のネットワークを利用しているデバイスにも伝染しかねません。
エモテットには自己増殖できるワーム機能があるからです。ワーム機能があるマルウェアは自らで複製が可能で、単独で行動できます。そのため、1台のデバイスに感染すると、複製されたマルウェアが他のデバイスへ移動する可能性があります。
会社内のネットワークでエモテットに感染した場合、サーバーのデータを盗んだうえで破壊する恐れが生じます。会社内のサーバーに機密情報を保存している場合、万が一に備えてバックアップを取っておきたいところです。
Emotet(エモテット)の感染を確かめる方法
エモテットに感染していないか確かめたい場合、以下の方法で確認しましょう。
続きは IT小ネタ帳 で