「Emotetとはどのような攻撃で、どのようなメールが届くのか」
当記事をお読みの方は上記の疑問を持っているのではないでしょうか。当記事ではEmotetによる攻撃の特徴や、被害を防ぐための対策を解説します。実際に届いたEmotetのメール例も示していますので、ぜひ参考にし、社内のセキュリティ強化に努めてください。
Emotetとは?
Emotetとはメールアカウントやメールデータなどの情報窃取に加え、更に他のマルウェアへの二次感染のために悪用されるマルウェアです。
まずEmotetとは何かを、概要と攻撃の仕組みに分けて解説します。Emotetによる被害を防ぐために、まずは前提知識を学んでおきましょう。
Emotetの概要
Emotetはメールアカウントやメールデータなどの情報窃取に加え、更に他のマルウェアへの二次感染のために悪用されるマルウェアです。主に悪意のある攻撃者から送信されたメールを介して感染が拡大しています。Emotetに感染してしまうと、メールアドレスなどの情報が流出します。加えて流出した情報を使い、さらなる攻撃を仕掛けてくるため、立て続けに被害が出る可能性が高いです。
Emotetを利用する攻撃では、攻撃メールに過去にやり取りをしたことがある送信者、件名、メールの内容の一部を踏まえたメールが届くことがあります。こうしたメールの場合、受信者は攻撃だと見抜きにくいため、「URLを開いて」と書かれていれば開いてしまうかもしれません。URLを開くことで、悪意があるファイルのダウンロードやマクロの実行が行われ、被害が発生します。
このように、Emotetは実在する企業や実際の取引先を装い攻撃メールを送信するため、受信者が攻撃を受けていることに気が付きにく、企業として対策が必要です。
Emotetの攻撃の仕組み
Emotetの攻撃の手口は以下の通りです。
- 攻撃者がなりすましたメールを攻撃対象者に送る
- 受信者(攻撃対象者)がメールを開き、書かれている内容の指示に従う例えば
a.ファイルを開く
b.URLを開く - 従った結果、パソコンがマルウェアに感染
- 情報流出やさらなる攻撃を受ける
Emotetはメールが届くだけでパソコンがEmotetに感染するわけではなく、1の時点では感染していません。2の、受信者の行動によって感染します。
2の行動をしなければよいわけですが、先述した通り、Emotetのメールは非常に見抜きにくいケースがあります。その結果、受信者が攻撃だと気が付かずに行動してしまいパソコンが感染し、社内システムへのアクセスや情報流出を許してしまうのです。
Emotetメール例とその特徴
Emotetメールの攻撃例と各特徴と共通点を解説します。Emotetの攻撃メールは大きく分けて、以下2つのパターンです。
- 添付ファイル
- 不正URL
どちらかがEmotetの攻撃メールに記載、または添付されており、受信者が開いてしまうことで感染します。
Emotetの攻撃例:添付ファイルの事例
添付ファイルによるEmotet攻撃事例として、以下があります。
- Microsoft OneNote形式のファイル
- Microsoft Excel形式のファイル
- ショートカットファイル
- パスワード付きZIPファイル
Microsoft OneNote形式のファイル
2023年に、Microsoft OneNote形式(拡張子.one)のファイルでEmotetに感染させようとする攻撃が観測されました。
この事例では、ファイルを開く際に「Viewボタン」を押すように促されます。Viewボタンはボタンではなくボタンを模した画像でした。この画像をクリックすることで、悪意のあるファイルが開かれてしまいます。
このように、Emotetの攻撃メールは見抜きにくいです。送信者名に見覚えがあっても、怪しいファイルは開かないようにする、開いても指示に従わずに閉じるよう社員に教育する必要があります。
Microsoft Excel形式のファイル
2022年に、Microsoft Excel形式(拡張子.xlsx)のファイルでEmotetに感染させようとする攻撃が観測されました。
Excelファイルを開くとマクロが実行され、感染する仕組みになっています。また、ファイルの1行目には「ここのフォルダパスに配置してください」という指示が書かれていました。
Excelからの攻撃を防ぐため、まずは、各パソコンのマクロ実行を無効化させておきましょう。社員がファイルを開いた際に「コンテンツの有効化」をクリックしてしまうと、結局マクロが実行されてしまいます。ファイルを開かないことはもちろんですが、万が一ファイルを開いた際に、コンテンツを有効化してはいけないことを徹底しましょう。
また、マクロの無効化をしていても、パソコンとして「信頼できる場所」に配置してしまうとマクロが実行されてしまいます。疑わしいファイルの保存はしないよう徹底しましょう。
ショートカットファイル
2022年に、ショートカット(拡張子.lnk)のファイルでEmotetに感染させようとする攻撃が観測されました。
ショートカットファイルは、作成しておくとファイルにアクセスする際の手間を省略できる便利なファイルです。しかし便利な反面、攻撃を見分けにくい特徴もあります。アイコンがテキストファイルのように偽造されているケースや、拡張子が表示されないケースがあるためです。
対策として、以下を実施すべきです。
- 不審なショートカットファイルは開かない
- ショートカットファイルが添付されているメールをブロックする
- 業務でショートカットファイルをやりとりしないよう、社内ルールを策定する
どうしても必要となるケースを除き、ショートカットファイルをメールでやり取りすることはやめましょう。
パスワード付きZIPファイル
2020年に、パスワード付きZIP(拡張子.zip)のファイルでEmotetに感染させようとする攻撃が観測されました。
攻撃者は、「知っている相手から届いたパスワード付きのファイルだから大丈夫だ」と安心する真理を突いてきています。パスワードを入力してファイルを開き、ファイルのマクロを実行することでEmotetに感染させる攻撃です。
パスワード付きのZIPファイルであっても、警戒を怠らないよう社員に教育する必要があります。
Emotetの攻撃例:不正URLの事例
不正URLによるEmotet攻撃事例として、以下があります。
- 「賞与支払届」を偽装
- PDF閲覧ソフトを偽装
- コロナウイルスに関する情報のメール
「賞与支払届」を偽装
2019年に、「賞与支払届」という件名のメールで不正URLにアクセスさせ、Emotetに感染させる攻撃が観測されました。
受信者は、件名から「自分に関係がある」「社内の給与担当からのメールだ」と判断する可能性が高いです。攻撃者はこうした心理を狙った攻撃を仕掛けています。
Emotetに限った話ではありませんが、攻撃者は「いかにして受信者に開かせるか」と工夫を凝らしています。自分に関係がありそうなメールでも、アドレスや本文などから疑いを持つよう、社員に教育しましょう。
PDF閲覧ソフトを偽装
2021年に、PDF閲覧ソフトによるファイルの閲覧を促して不正URLにアクセスさせ、Emotetに感染させる攻撃が観測されました。
メールの本文に書かれたURLにアクセスすると、PDFファイルを閲覧できるページに遷移します。「ファイルを見る」ボタンをクリックすることで、悪意のあるファイルがダウンロードされて、Emotetに感染してしまう仕組みです。
普段の業務でよくありそうな行動を狙った攻撃といえます。不審なメールのURLには決してアクセスしないよう、社員に注意を呼びかけてください。
コロナウイルスに関する情報のメール
2020年に、コロナウイルスの情報提供を装ったメールでEmotetに感染させようとする攻撃が観測されました。
当時はコロナ禍の真っただ中であり、受信者が感染者情報を集める機関などであれば、そういったメールが届くことは珍しくないでしょう。こうしたトレンドの中で攻撃を仕掛けてくるケースがあります。
関連がありそうな内容でも、攻撃を仕掛けるメールの可能性は十分にあります。受信者がメールの受信後に、攻撃者の指示に従わないよう、教育が必要です。
Emotetメールの共通点
さまざまな例を紹介しましたが、共通点は「自分に関係がありそう」なメールが届いていることです。
受信者はメールを見て「これは確認しなくては」と判断すれば、本文をよく読まずとも添付ファイルを開いたり、URLにアクセスしたりしやすいでしょう。攻撃者はこうした心理を狙ってメールを送信し、Emotetへ感染させます。
企業は、受信者がメールを開いた後でも、促された行動をすぐにさせないよう教育することが大切です。
加えて、怪しいメールを受信者に届かなくするなど、セキュリティ対策を施すことも検討しましょう。
Emotetメールの見分け方と対策
Emotetの攻撃メールかどうかを見分ける方法と対策は、大きく分けて以下2点です。
- 送信元メールアドレスを確認する
- 添付ファイルやURLをすぐに開かない
Emotetメールは、見覚えがある送信者の名前で送られてくることがあります。メールアドレスをよく確認してください。1文字だけ変に追加されていたり、「O」が「0」にすり替えられている可能性も考えられます。
また、添付ファイルやURLの記載があるメールは、送信元メールアドレスが正しくても十分に警戒しましょう。
しかし、受信者だけでEmotetメールの被害を防ぐには限界があります。後述する「Emotetに感染しないためにできること」も含めて、企業として対策を練っていきましょう。
Emotet感染のリスクと影響
Emotetに感染してしまった場合のリスクや影響として、以下があります。
- 社内の情報漏えい
- 他のマルウェアへの感染
- 感染被害の拡大
社内の情報漏えい
社員のパソコンやスマートフォンがEmotetに感染してしまった場合、社内の情報漏えいにつながる可能性があります。
利用しているデバイスは、社内網に接続されているケースや社内情報にアクセスできるケースが多いでしょう。情報漏えいは、Emotetに感染してしまったデバイスから社内の情報にアクセスし、外部にメール送信や外部ストレージへのアクセスを通して起こります。
情報漏えいは社会的信頼の低下など、企業にとって大きな損失をもたらすでしょう。
他のマルウェアへの感染
Emotetに感染してしまった場合、さらに別のマルウェアの感染を引き起こす可能性があります。
Emotet感染後に、デバイスの中でどういった被害がもたらされるのかは分かりません。例えば、外部から悪意のあるファイルをダウンロードしてしまったり、パソコンのセキュリティ機能を無効化してしまったりするリスクがあるでしょう。
Emotetに感染することで、他のマルウェアにも感染し、被害が大きくなる可能性があります。
感染被害の拡大
Emotet感染後は、さらなる感染拡大の可能性も十分にあります。
Emotetは、1台のデバイスが感染するだけで、社内網や社内データにアクセスします。そうなると、感染したデバイスから別の社員に対して攻撃メールを送り、感染拡大を狙ってくるでしょう。受け取った社員は、社内ユーザーから届くメールに対して警戒が薄い可能性が高いため、新たな被害が生み出されてしまいます。
1台のデバイスがEmotetに感染するだけで、社内全体が脅威にさらされることを頭に入れておきましょう。
Emotetに感染しないためにできること
Emotetに感染しないために企業としてできることには、以下があります。
- セキュリティサービスの導入
- マクロ実行の無効化
- 定期的なセキュリティアップデートの義務化
- 社員へのセキュリティ教育
セキュリティサービスの導入
セキュリティサービスの導入は、Emotetの感染対策として最有力になります。
先述した通り、Emotetのメールは見分けにくいものが多いです。社員に対して教育をして、一人ひとりのセキュリティ意識を高めることは大切ですが、限界があるでしょう。
そこでアプローチを変えて、Emotetのメールが社員に届きにくくする仕組みを整えてください。セキュリティサービスを導入することで、不審なメールのブロックや、添付ファイルの除外をしてくれます。
コストはかかる方法ですが、セキュリティ対策にお金をかけてリスクを下げることは、企業にとって必要な選択肢といえます。
マクロ実行の無効化
各デバイスでマクロの実行を無効化しておくことで、Emotetのメールを受信し、ファイルを開いてしまった場合の対策ができます。
Emotetの攻撃例にある「Microsoft Excel形式のファイル」は、開いた後のマクロ実行によってEmotet感染が引き起こされるものです。マクロ実行を無効化しておけば、万一ファイルを開いてしまっても、感染を防げる可能性があります。
ただし、指示に従って、強制的にマクロが実行されるフォルダにファイルを移動してしまっては、元も子もありません。マクロの有効化と、社員のセキュリティ意識向上はセットで実施すべき対策です。
定期的なセキュリティアップデートの義務化
社員に対して、OSやセキュリティソフトのセキュリティアップデートを義務化しておきましょう。
Emotetに感染してしまった場合でも、OSやセキュリティの機能で被害を小さくできる可能性があります。社員にセキュリティアップデートを定期的に通知する、社員はアップデート実施を報告するなど、運用ルールを整えましょう。
Emotetに限った話ではありませんが、攻撃者はセキュリティの脆弱性を狙って攻撃を仕掛けてきます。当然、どんな攻撃が来るのかは分かりません。だからこそ「セキュリティ対策としてできることは全てやる」という体制を、企業全体で構えておく必要があります。
社員へのセキュリティ教育
社員へのセキュリティ教育を実施することも、企業にとって重要なセキュリティ対策です。
Emotetの感染は、メールが届き、社員が行動することによって引き起こされるものです。先述したセキュリティサービスで防げれば問題ありませんが、防げない場合もあります。社員は最後のとりでとして、感染しないための行動をしなければなりません。
企業は、社員がそういった行動ができるように、教育が必要です。また万一感染してしまった場合でも、社員が適切な行動をすれば被害を最小限に食い止められる可能性があります。
感染しないための行動には実施方針が必要なため、日頃から十分に教育をしておきましょう。
実際にEmotetに感染したときの対処法
どれだけ気をつけていても、Emotetに感染してしまうリスクを
ゼロにはできません。もしもEmotetに感染してしまったときは、以下を実施してください。
- セキュリティ担当者に報告する
- ネットワークから遮断する
- 社内の感染状況を確認する
- アカウントの無効化やパスワード変更を実施
セキュリティ担当者に報告する
Emotetにかぎらず、なりすましメールが届いた場合には社内ルールに則りセキュリティ担当者へ報告をすることを徹底しましょう。被害を未然に防げたとしても、セキュリティ担当者はこのようなメールが届いたということを、社員へ周知しておくことが重要です。注意喚起することで、事前に被害が防げることがあります。
ネットワークから遮断する
Emotetに感染したと思われる場合には、ネットワークから遮断しましょう。LANケーブルを利用している場合はケーブルを抜き、Wi-Fiの場合はオフにしてください。
デバイスが感染した場合、ネットワークを通じて社内の別のデバイスやサーバーにアクセスしてしまいます。ネットワークから遮断することで、新たな被害を生み出せなくなるため、すぐに実施しましょう。
社員が自ら実施することが望ましいですが、デバイス監視部隊が通知や遮断を実施できると、被害を抑えやすくなります。
社内の感染状況を確認する
Emotet感染の報告を受け取ったら、管理者やセキュリティ担当者はすぐに社内の感染状況を確認してください。
各デバイスをネットワークから遮断し、その時点での感染状況を報告してもらいましょう。報告は社内ネットワーク以外の経路(電話など)で受け取ることが望ましいです。場合によっては社内だけでなく、社外のユーザーにも影響が及びます。
すぐに感染状況を確認して、どの程度の影響があるのかを見積もり、次の行動に移ってください。
アカウントの無効化やパスワード変更を実施
Emotetに感染したデバイスは、アカウントの情報が抜き取られてしまっている可能性があります。アカウント自体の無効化やパスワード変更によって、さらなる被害を防ぎましょう。
社内ネットワークとはいえ、多くの場合はアカウントで認証が必要なはずです。情報を盗まれているアカウントの無効化やパスワードを変更すれば、認証を通れなくなり、社内ネットワークへのアクセスを防げる可能性があります。
場合によっては、パソコン自体の初期化やデバイスの交換も検討してください。
【HENNGE One】E-Mail Security Editionでできること
HENNGEが提供するHENNGE E-Mail Security Editionは、受信するメールに対して、スキャンを行い、怪しいファイルやURLを検知します。当記事で扱ったEmotetも検知して、組織内への侵入を防ぎ、注意を促すことが可能です。
また、HENNGE E-Mail Security Editionは他にも以下の機能が搭載されています。
- メール誤送信対策
- 脱PPAPを実現するファイル送信
- メール監査
- Box連携
クラウド型であり、ネットワークの制約が少ないことや連携できるサービスが多いことも本サービスの特長です。
下記URLから、資料請求や評価機の申し込みができます。
https://hennge.com/jp/service/one/emailsecurity/
まとめ
Emotetは、なりすましメールの添付ファイルやURLを開かせて、受信者に行動させることで感染するマルウェアです。たった1台のデバイスが感染しただけでも、社内全体に広がり、大きな被害をもたらす可能性があります。
当記事で解説した対策を頭に入れ、まずは被害を未然に防ぎましょう。特にセキュリティサービスは、被害を食い止めることはもちろん、社内全体のセキュリティ意識の統一にもつながります。ぜひ導入を検討してみてください。
HENNGE E-Mail Security Editionは、下記URLから資料請求や評価機の申し込みが可能なので、ぜひご覧ください。
