No249 Emotetとは？最新状況と有効な対策（22年3月版)

2022年に入って、Emotetというマルウェアが猛烈な勢いで感染を拡げています。

特に22年2月以降の感染は爆発的といって良いレベルで、今後も攻撃が続くものと思われます。

このメルマガのNo245でも末尾で注意喚起しましたが、その後も被害が拡大し続けていますので、改めてEmotetの概要と手口、有効な対策を解説しておきます。


1. Emotet とは？

Emotet（エモテット）はマルウェアでもあり、その作成や拡散を行っているチーム名でもあり、他のマルウェア（ランサムウェアなど）を侵入／感染させるプログラムでもあります。

マルウェア：
　ＰＣ（パソコン）の所有者の知らないうちに裏でコッソリといろいろな悪事を働くソフトウェアの総称です。「ウイルス」の方がまだ一般的ですが、最近は「マルウェア」という表現に替わりつつあります。

ランサムウェア：
　直訳すると「身代金ウェア」。パソコン(PC)内のデータを勝手に暗号化し使えなくし、「元に戻して欲しければ身代金を払え」と請求する非常に迷惑で悪質なマルウェアの一種。

マルウェアの多くは感染すると、それ自身がパソコンやサーバに被害を与えることが多いのですが、Emotetの場合は、自身では被害を与えず、他のマルウェアを侵入させたりメールアドレスやメール内容を盗むといった行動を取ります。

もともと(2014年ごろ）はオンラインバンキングのパスワードを盗むためのマルウェアだったようですが、開発チームが改修を繰り返し2019年には大流行してしまいました。

この時点で、利用者に知られずにEmotetを最新版にする機能、他のマルウェアのダウンロードやインストールができる機能なども実現されており、極めて危険なマルウェアでした。

その仕組みを利用して、他のマルウェア作者たちに「Emotetを使ってあなたのマルウェアも侵入させたげますよ。もちろん有料でね」という商売を行っているそうなのです。

あきれた商売を考え付いたものです。

ですが、2021年1月25日頃にユーロポール（欧州刑事警察機構。インターポールとは別組織）とユーロジャスト（欧州司法機構）によって摘発され、これによってEmotetは一度崩壊しました。

当時の事情は、このメルマガのNo195でも解説しました。
　「No195 祝！Emotetサーバ摘発」
　https://note.com/egao_it/n/n98a17d62552e

これで一安心、だったのですが、この面倒なEmotetが2021年11月頃に復活をしてしまいました。その後も攻撃を繰り返し、2022年2月には2019年当時をはるかに上回る感染状況となっています。


2. Emotetはどのようにやってくるのか？

「いくら悪質なマルウェアと言ったって、最初はメールでしょ？オレはそんなのひっかからないね」と自信のある方もおられることと思います。

ですが、メールがあなたが知っている人からのメールを騙っていたとしたらどうでしょうか？しかも、メール件名も最近にやりとりした件名だとしたら？

それでも絶対にひっかからない、と言えるでしょうか？

Emotetが悪質と言われる理由の一つがこれです。

一般的にマルウェアの作者はいろいろ工夫をして添付書類を開かせようとします。

例えば
・人事担当者宛の応募メールの添付書類（履歴書）
・問合せ窓口宛の苦情メールの添付書類（写真）
・広報担当者宛の取材依頼メールの添付書類（取材内容）
といった具合です。

上記のような知らない人からのメールを定常的に受ける部署では、添付ファイルはネットから遮断された専用ＰＣで開くといった感染を防ぐルールや手順が定められています。
一方で、既知の取引先とのメールが中心の部署であれば、知らない人からメールが来たら慎重に対応するというのが一般的です。

これは現実的で便利な対応ルールですが、既存の人物や件名を騙られるとひっかかる可能性がかなり高くなります。

もちろん、じっくりとながめれば「なんでこの件で添付が付いてるんだ？」とか「もう終わった話じゃないか」とか不審な点に気付くことでしょうが、知っている人からのメールにそこまで神経を使うのも大変です。

Emotetに限らず、最近のマルウェアは「つい添付を開いてしまわせる」工夫をいろいろと重ねているのです。


3. Emotetに添付されたファイルを開くと何が起きるのか？

添付ファイルは多くの場合、マクロ（プログラムの一種）付きのExcelのようですが、一部ではWordも利用されているとのことです。
ですので、添付を開こうとするとExcel（やWord）が起動します。この時、「マクロが無効にされました」という警告が出ます。

ここで「あれ？これはおかしいぞ」と気付いて、Excel（やWord）を終了した場合はセーフです。
ここで止めれば、Emotetはパソコン内部に侵入できていません。

この時に、特に何も警告が表示されなかった場合（ExcelやWordの設定でマクロ実行を無条件ＯＫとしている）や「コンテンツの有効化」ボタンを押した場合は、マルウェアの侵入を許したことになります。

侵入された後のバリエーションはいくつかあるようですが、侵入されたパソコンのアドレス帳とメールを盗んでEmotetのサーバ上にコピーを作るようです。

その後、Emotetのサーバ上では盗んだメールアドレスとメール内容を使って、新たな被害者をさがすべく、メールのばらまきを行います。メールを発信する時には、被害者のパソコンは使わないようです。

また、最近ではランサムウェアによってパソコン内のファイルが暗号化され、身代金を要求されるというパターンも多いようです。

余談
　マクロ機能自体が「悪」なのではありません。
　EmotetなどのマルウェアがExcelマクロという機構を悪用しているのであり、マクロ機能そのものが悪いわけではありません。


4. え？実行してしまったよ...。

もし、上記のような現象に心当たりがある方は組織内のマルウェア担当部署に大至急連絡をしてください。

そのような担当者がいない組織であれば、インストールしているマルウェア対策ソフトのメーカのサポート窓口にスグに連絡し、取るべき対応について相談をしてください。

万一、マルウェア対策ソフトを未導入であったり、無償ソフトでサポートが受けられない場合は、ただちに購入手続きを行い、サポートを受けられるようにしてください。

Emotetについては、Emocheckといったツールもありますが、十分な知識がない方がこういったツール類で状況判断を行うことはかなり危険です。
マルウェア対策に明るい人でもない限り、自己判断での対応は全くおすすめしません。
（医者でもない人が勝手に薬を投与すべきでないのと同様です）


5. （ご参考）怪しいメールの見抜き方

最近のマルウェア付きメールは、かなり文面も洗練されてきていますので100%見抜くことはできません。

それでも怪しげなメールでチェックすべきポイントはいくつかあります。
以下のチェックポイントはEmotetに限らず有効です。

　1. メールアドレスが変
　　いつもと違うアドレスからのメールは限りなく怪しいと言えます。

　2. 添付ファイルがパスワード付きZIP（圧縮ファイル）
　　多くのメールサーバにはマルウェア検出の機能がありますが、対象が暗号化されてしまうとうまく検出できなくなります。
　　逆にマルウェアの暗号化はメールサーバの検出機能をすり抜ける手段としてよく使われます。

　3. 件名と添付ファイル名が合っていない
　　マルウェア付きメールを発信するチームは日本語が読めない場合も多く、矛盾した組み合わせとなっている場合もあります。


6. まとめ

Emotetというマルウェアが2022年2月以降に爆発的に広がっています。
送付元も実在の人物（受信者が知っている人物）であるなど、悪意のあるメールと見抜きにくいことが特徴です。

このような実在の氏名やメールアドレスはEmotetが侵入できた被害者のパソコンから盗み出したものです。
例えば、一台のパソコンから100のメールアドレスが入手できるとします。
Emotet側はさらにその100アドレスにもEmotet付きメールのばらまきを行い、5%（5名）がひっかかったとします。
すると、この段階で500のメールアドレスが入手できることになります。
さらに、この500のメールアドレスにメールを送り、また5%（25名）がひっかかると2500のメールアドレスが、さらに2500メールアドレスで5%がひっかかると12500メールアドレス、その次は62500メールアドレス、という具合にネズミ算式に被害者が増え続けています。
実際、被害者となりうる漏洩メールアドレスが8000を越えているという報告もあります。

こうなると、大企業も中小企業も個人メールアドレスも関係ありません。
現在は全ての人が注意をしなければならない段階と言えます。

実際に、筆者の身近な行政機関も被害に会われました。

皆さんもマクロ付きのExcelファイル付きメールには十分にお気を付けください。
今回は、憂慮すべき状況となっているEmotetについて解説しました。

次回もお楽しみに。

（本稿は 2022年3月に作成しました）