Emotet

Emotetとは、マルウェア（悪意のあるソフトウェアや悪質なコード）の一種です。元々は、インターネットバンキングなどの金融取引の情報を標的としていましたが、2017年以降、他のマルウェアの感染や拡散を媒介するプラットフォームの役割を果たすものに変化しました。2020年2月7日にJPCERTコーディネーションセンターが発表した報告では、国内でEmotetに感染した組織は約3,200にも及んだとされています。

Emotetの特徴と仕組み

メールに添付されたOfficeファイルのマクロ機能を利用し、端末へ感染や侵入をすることで、メール情報を盗み取ります。窃取される情報は、メールアドレスのほか、メールのタイトルや本文も含まれ、それらを元に巧妙な偽装メールを送信します。受信者が添付されたファイルを開いてマクロを実行すると、マルウェアに感染し、さらに被害が拡大することになります。

また、Emotet本体は不正なコードを含んでいないのも特徴の一つです。Emotetは他のマルウェアを感染させるプラットフォームとして機能し、不正な動作をするモジュール（部品など）を攻撃者が用意したC&Cサーバ（※1）からダウンロードして活動します。このとき、C&Cサーバに感染先の情報を送り、解析される可能性がある端末かどうかを判定することにより、感染が見つかりにくくなます。さらに感染後もC&Cサーバと通信を行うことでバージョンアップされる仕組みになっています。

Emotetへの感染が疑われる場合には、以下のような対応策が挙げられます。

• パソコンなどの端末をネットワークから切り離す
• メールに使用しているパスワードを変更する

まずは端末を早急にネットワークから切り離し、他の端末への感染拡大を防止します。また、メールによる感染が主な経路となるため、感染したと思われる端末の使用しているメールアドレスのパスワードを変更することが必要です。ただし、当該端末で操作を行うと変更したパスワードを窃取される危険性があるので、別の端末を使用して行うことをおすすめします。

Emotetは2021年1月、司令塔となるC&Cサーバが特定され、停止したことが発表されました。世界各国の警察や司法機関によって結成された捜査チームの連携によるもので、Emotetの脅威は収束に向かうとみられています。

しかし、今後も新たなマルウェアが生み出され、感染リスクや被害にあう可能性は否定できません。サイバー攻撃を受けたとしても、被害を最小限に食い止め、組織を守ることができるように対策を行っておく必要があります。

セキュリティツールの導入に加え、組織的に情報リテラシーを高める教育などを行うことも有効な手段となります。マルウェアに関する最新情報の収集、ソフトウェアなどのアップデート、重要なデータを定期的にバックアップするなど、基本的な対策も継続して実施しておきましょう。

※1 C&Cサーバ：「コマンド&コントロールサーバ」の略。マルウェア感染によって乗っ取ったコンピュータに、命令を出したり制御を行ったりするサーバのこと。