企業におけるセキュリティを考える中で、対策が難しいことからEmotetは各企業及び組織で警戒されています。本記事ではそのEmotetについての基本情報や対策法などについて詳しく解説します。
Emotetの基本情報
Emotetは、主にメールを通じて広がっていくマルウェアです。
マルウェアとは、コンピュータに被害をもたらすことを目的とした、悪意のあるソフトウェアです。コンピュータウィルスやワーム、トロイの木馬といったさまざまな種類を総称して「マルウェア」と呼んでいます。
Emotetはメールを通じて感染が広がるマルウェアであることから、企業でメールを使っているのであれば、だれでも感染する可能性のある非常に危険なマルウェアです。
Emotetとは分かりやすく解説
Emotetは、攻撃者から送られたメールに添付されたファイルを開いたり、本文にあるURLをクリックしたりすることで感染します。Emotetに感染すると、過去のメールやアドレス帳はもちろんのこと、端末内のさまざまなデータが盗まれてしまいます。
それだけでなく、メーラーの送受信履歴などから情報を窃取し、さらに他の人へメールを送信することで感染が拡大します。Emotetは過去のやりとりからより自然な本文を生成する場合もあるため、騙されてクリックする可能性が高くなります。
ランサムウェアとの違い
Emotetと並んで、マルウェアとして有名なのが「ランサムウェア」です。ランサムウェアは感染したコンピュータをロックし、操作不能にさせることで身代金を要求することを目的としています。
Emotetとランサムウェアは特性こそ違うものの、組み合わせることで甚大な被害を起こす可能性があります。
Emotetに感染すると、情報窃取だけでなく、他のマルウェアに二次感染するリスクもあります。このマルウェアの中にはランサムウェアも含まれるため、「Emotet経由でランサムウェアに感染する」可能性があるということです。Emotetとランサムウェアは、どちらに対しても十分な対策が必要であるということをしっかりと覚えておきましょう。
Emotetが恐れられる理由とは
Emotetは、これまでのマルウェアと比較しても脅威の度合いが高いといわれています。なぜEmotetがここまで恐れられているのか、その理由について解説します。
検知をすり抜けるケースが多い
Emotetの大きな特徴として、「メール本文に不正なコードを含まない」という点が挙げられます。
端末に導入するウイルス対策やメールフィルタリングソフトは、メールの本文に含まれる不正なコードを発見して遮断します。Emotetはその検知すべき不正なコードが含まれないため、機械的な検知が難しく本文の内容から判断するしかありません。
Emotetに対応したソフトウェアもありますが、Emotetは巧妙な変化を続けており、「100%防げるわけではない」ということを覚えておきましょう。
正規のメールかどうか見分けるのが難しい
Emotetはメールの本文から判断するしかありませんが、一見すると自然なメールのため、見破ることが難しい点がEmotetの恐ろしい点です。
攻撃に利用されたメールの例を見てみましょう。
これまでやり取りをしていたメールに割り込まれて、Emotetのメールが送信されることがあります。
やり取りをしていたメールと同じ件名・本文を引用するだけでなく、これまでのやりとりから自然な本文を生成し送信します。感染者からのメールを本人からの返信と勘違いして添付ファイルを開いてしまう、という可能性もあります。
Emotetは本人から送られた正規のメールに擬態します。過去のメールのタイトルを流用したり、それまでやりとりしていた本文を引用したりすることで、メールの受信者が油断してファイルの開封や、URLのリンクをクリックすることを狙っています。
Emotetに感染した人からのメールを見破るのは非常に難しく、二次被害、三次被害と被害を拡大させるだけでなく、本文が巧妙になっていきます。その巧妙さは、一発で見破るのはかなり難しいと考えてよいでしょう。
また、Emotetは添付ファイルだけでなく多くの方法で攻撃を仕掛けてきます。さまざまな攻撃手法があり、テンプレートのようなメールもありません。どのようなメールが送信されてくるのかを収集し、常に情報をアップデートし続けることが大事です。
Emotetのメール例は以下の記事で紹介していますので、対策時の参考にしてください。
Emotetのメール例や特徴とは?なりすましメールによる攻撃について解説
Emotetの感染経路と感染の仕組み
Emotetの対策をするにも、まずはどのように感染するのか、感染経路やその仕組みについて知っておく必要があります。ここからは、Emotetの感染の仕組みや感染経路について解説します。
Emotetの感染経路とは
Emotetの主な感染経路は、フィッシングメールを通した感染です。攻撃者は、一見正規に見えるメールを大量に送り付けます。そのメールにはURLやファイルが添付されており、受信者はそれを開くことでEmotetに感染します。
添付ファイルの種類はWordやExcelといったOfficeのファイルが多く、そのファイルのマクロが起動することで感染します。メールの本文が自然であるため、受信者はその添付ファイルを疑うことなく開いてしまい、マクロが起動することで感染してしまいます。
Emotetの感染の仕組み
Emotetはまず端末に潜伏し、利用者からは分からないようにメールソフトの連絡先やメールのデータを外部の攻撃者のサーバーへ送信します。攻撃者は、サーバーへ送信されたデータをもとに自然な本文を作り上げ、盗み出した連絡先へ攻撃メールを送信します。
端末からメールのデータを盗み出すのと同時に、Emotetは端末をさまざまなマルウェアに感染させ、被害を拡大させます。
Emotetは自身のプログラムをアップデートするだけでなく、ランサムウェアをはじめとする他のマルウェアを追加でダウンロードし感染させ、さらに同じネットワーク内へ被害を拡大させます。メール経由だけでなく、同じネットワーク内の他の端末を経由してEmotetに感染する可能性があるという点に注意が必要です。
Emotetによって起こる被害とは
Emotetに感染すると、さまざまな被害をもたらす可能性があります。代表的な被害の例を4つ紹介します。
- 情報の流出
- 他のマルウェアへの感染
- 社内の端末へのEmotet感染
- 社外へのばらまき攻撃
情報の流出
Emotetに感染すると、メールソフトに登録されている連絡先やメールの送受信履歴を盗み出します。もちろん、メールの本文には機密情報が含まれていることも多いでしょう。それらの全てが流出する可能性があります。
また、端末内に保存されているデータであれば、なにが流出するか分かりません。もし、顧客情報や取引先の一覧をローカルのExcelで管理などしていた場合、その全てが攻撃者の元へ送信される可能性もあります。端末のローカルには機密情報を残さないようにすることで、被害を最小限に抑えられます。
他のマルウェアへの感染
Emotetは他のマルウェアをダウンロードする仕組みをもっているため、Emotetを入口として他のマルウェアに感染する可能性があります。
ランサムウェアやトロイの木馬など、さらに深刻なセキュリティ脅威にさらされる可能性が非常に高いです。そのため、Emotetを起点としてさまざまなマルウェアに感染する危険性があるため、Emotetに限らない総合的な対策が必要です。
社内の端末へのEmotet伝染
不正なプログラムが自己増殖し、他の端末に感染を広げるようなマルウェアを「ワーム」と呼びます。Emotetも「ワーム」の機能を持っており、1台の端末がEmotetに感染すると、このワーム機能を利用して他の端末に感染を拡大させます。
もしEmotetの対策が遅れてしまうと感染が一気に広がるため、企業の業務が大幅に遅延することや、最悪の場合全ての業務を停止せざるを得なくなる可能性もあります。
社外へのばらまき攻撃
Emotetの恐ろしい点は、「メール」を悪用しているという点です。メールは社内だけではなく社外とのやり取りに使われることの多いツールであるため、感染者のアドレス帳には社外の取引先や顧客などのメールアドレスやメールの履歴が大量に残っています。
Emotetはそれらを盗み出すだけではなく、社外の人間を感染させるために感染者のメール情報を悪用します。それが原因で取引先がEmotetに感染した場合、企業の信用が失墜したり、最悪の場合は補償対応が求められたりする可能性があります。
【Emotet対策】今すぐすべきこと
Emotetは、あらかじめ対策をすることで被害にあう可能性を低くできます。
Emotetに感染しないためにも、企業として以下のことを実施しましょう。
- メールフィルタリングを実施する
- 従業員への注意喚起とセキュリティ教育を実施する
- 不審なメールを受信した場合の相談窓口を設置する
メールフィルタリングを実施する
企業としてメールを利用するのであれば、従業員をマルウェアから守るためにもメールフィルタリングを導入しましょう。メールフィルタリングを導入することで、少しでも怪しいメールは全て遮断されます。
前述のとおり、メールフィルタリングのみでEmotetの対策が万全になるわけではありません。しかし、メールフィルタリングを導入することで、Emotetだけでなくさまざまな種類のマルウェアを検知し送受信を遮断させるため、Emotet以外のマルウェア感染や、他の従業員への二次被害を最小限に抑えられる可能性があります。
メールフィルタリングの特徴や導入メリットの詳しい解説は、下記の記事を参考にしてください。
メールフィルタリングとは?迷惑メールを防ぎ、メール確認を円滑化
従業員への注意喚起とセキュリティ教育を実施する
Emotetにかぎらず、メールを経由したマルウェア感染の経路は主に「URLリンク」か「添付ファイル」です。つまり、従業員全員が「URLのクリックや添付ファイルを開かない」ことを徹底すれば、Emotetへの感染対策は理論上可能です。
とはいえ、業務上必要であればURLのリンク共有やファイル添付はあり得ます。Emotetは非常に巧妙な本文で送信されるため、必要なメールと勘違いして開いてしまう可能性は高いでしょう。メールが本物かの判断をするのは従業員本人であり、感染を最大限防ぐように各自が意識する必要があります。
また、万一感染してしまった場合でも、従業員が適切な行動をすれば被害を最小限に食い止められる可能性があります。
感染しないためには実施方針が大切であり、日頃から従業員への十分な教育が必要といえるでしょう。
不審なメールを受信した場合の相談窓口を設置する
従業員のうち1人の行動によってEmotetの感染を未然に防げたとしても、別の従業員が同じような行動ができるとは限りません。
不審なメールを受信した場合、セキュリティ担当者へ報告できるような社内ルールを整備しましょう。相談窓口に情報が集まるように社内ルールを整備し、メール本文を社内に共有して注意喚起をしたり、メールフィルタリングのブラックリストへメールを登録したりすることで追加の感染対策を実施できます。
なお、窓口への連絡手段をメールのみにしないよう注意してください。不審なメールを受信した従業員の端末がすでに感染している可能性があるため、二次被害を抑えるためにもメールは使わず、電話や対面などで情報を受け取れるようにしましょう。
Emotetに感染したらすぐにすべきこと
繰り返しとなりますが、Emotetに対して完璧な対策をすることは不可能です。「感染した場合にどうするか」ということをあらかじめ決めておくことで被害を最小限に抑えられます。
感染した場合に実施すべき代表例を紹介します。
- セキュリティ担当への報告
- 社内のネットワークからの遮断
- 社内の感染状況の確認
ここで紹介する内容を踏まえ、Emotet感染時のセキュリティ対策を整備しましょう。
セキュリティ担当への報告
Emotetにかぎらず、怪しいメールが届いたら社内ルールに則り相談窓口へ相談するように徹底してください。
その場の被害が抑えられたとしても安心してはいけません。セキュリティ担当者は「怪しいメールが届いた」ということを認知し、従業員へ注意喚起することが重要です。注意喚起が徹底されることで、従業員の意識がより高まり、被害を事前に防げる可能性が高まります。
社内の情報セキュリティを守るためにも、情報を収集するだけでなく、社内に対して継続的な啓蒙活動を行うようにしましょう。
社内のネットワークからの遮断
マルウェアに感染した場合や、感染の疑惑がある場合には、まずネットワークを遮断してください。LANケーブルを利用している場合にはケーブルを抜き、Wi-Fiを利用している場合にはOFFにします。
端末が感染した場合、ネットワークを通じて他の端末やサーバーにアクセスされることで、さらなる被害が発生する可能性があります。そのため、「感染が疑われたらすぐに遮断する」と周知しましょう。
従業員が自らネットワーク遮断を実施できることが理想ですが、端末監視や遠隔操作ソフトウェアを併用することで管理者がネットワークを遮断させることも可能です。より強固な対策を求める場合には、それらのツール導入も視野に入れるとよいでしょう。
社内の感染状況の確認
Emotet感染の報告を受け取ったら、管理者やセキュリティ担当者はすぐに社内の感染状況を確認してください。
1台の端末の感染が確認された場合、同じネットワークに接続されている全ての端末も同様に感染している可能性があります。メールを媒介としているため、取引先をはじめとする他社への影響も懸念されます。
焦らず感染状況を確認し、どの程度の影響があるのかを見積もった上で次の行動へ移りましょう。冷静に対策するためにも、対策マニュアルの作成や、日ごろからの対策訓練が大切です。
【HENNGE One】DLP EditionでEmotet対策を
HENNGEが提供するCybersecurity Editionは、受信するメールに対して、スキャンを行い、怪しいファイルやURLを検知します。当記事で扱ったEmotetも検知し、メールが従業員に届く前に遮断したり、注意を促したりすることが可能です。
HENNGE OneのCybersecurity Editionは以下の機能を提供します。
- Exchangeアイテムへのマルウェア対策
- サンドボックス機能
- 標的型攻撃メール訓練
クラウド型であり、すでに社内で運用しているメールサービスに対して柔軟に対応できるため、容易な導入が可能です。
まとめ
Emotetは、メールの添付ファイルやURLを開かせることで感染するマルウェアです。感染すると企業に対して甚大な被害をもたらす可能性があるため、対策は必須といえるでしょう。
当記事で解説した対策を実施し、まずは被害を未然に防ぎましょう。特にセキュリティサービスの導入は、被害を防ぐことはもちろん、社内全体のセキュリティ意識の統一にもつながります。ぜひ導入を検討してみてください。
HENNGE OneのCybersecurity Editionは、下記URLから資料請求の申し込みが可能です。
https://hennge.com/jp/service/one/cybersecurity/
