マルウェア「Emotet」の仕組みとは?また感染を確認する方法とは?
Emotet(エモテット)とは?
Emotetとは、2014年ごろから確認されはじめたマルウェアの一種です。
2020年に日本で被害が急増し、2021年1月に欧州刑事警察機構(Europol)によるテイクダウン作戦が成功したためEmotetの脅威は去ったかと思われました。
しかし、2021年11月に活動再開が確認され、IPA(日本情報処理推進機構)から注意喚起が行われているウイルスです。
以前はネット銀行の認証情報をハッキングするウイルスとして広まっていました。
しかし、現在はマルウェアのプラットフォームのような役割を持っているのが特徴です。
そのため、Emotetに感染してしまうと複数のウイルスに感染してしまうリスクがあることがわかっています。
さらに、感染後はウイルス対策ソフトに発見されにくいよう、ブラウザ系のファイルに見せかけるなど、感染に気付きにくいのも厄介な点です。
すでに乗っ取り済みのC&Cサーバーを使っていることもあり、解析が困難と言われています。
なお、EmotetはWindowsのPowershellという言語で作られたウィルスですので、Mac・iOS・Androidでの感染はありません。
Emotetの感染経路とは?
Emotetは感染したパソコンから顧客情報やメールの内容を抜き取り、実際に送受信をした相手を装ってウイルス入りの添付ファイルを送信します。
そのため、メールを受信した側は実際に存在する顧客・社員からのメールだからと思い込みやすく、警戒が薄くなりやすいのが特徴です。
そして、メールの添付ファイル内にウイルスを仕掛けておき、開いた後にポップアップを実行することで感染します。
セキュリティソフトでの検知が困難のため、1度感染してしまうと被害に気づくまで野放しになってしまうことが多いです。
過去のメール内容が引用された巧妙ななりすまし
Emotetに感染してしまうと、攻撃メールの受信者が過去にメールでやり取りした実際の情報が抜き取られます。
過去に送った文章を引用し、あたかも本人が送信しているかのような文章を使ってくるので、発見しにくいのも特徴です。
また、公的機関を装い、受け取り側の名前が記載されているなど、巧妙な文章で送信してきます。
さらに、本文だけでなく実際に送受信した際の件名を使用して巧みに開かせようとしているため、非常に巧妙だと言えます。
フッターの署名には、実際の送受信したメールアドレスの履歴を載せていることもあり、不審メールと気づきにくいことが、感染拡大の理由としてあげられます。
メールの添付ファイルからEmotetに感染する
メール内のマクロ付きWordファイルを開き、上部にポップアップ表示される「コンテンツの有効化」をクリックすることで、ウイルスに感染します。
もしくは、本文に記載されているURLをクリックすると、マクロ付きのWordファイルをダウンロードするとの報告もあります。
PDFファイルや、暗号化されたZIPファイルの送信もありますが、どのケースにしてもWordやExcel内のコンテンツを有効化することで感染します。
暗号化されたファイルだと、ウイルス対策ソフトでは危険性のあるファイルと認識されないケースも多いため、ウイルス対策ソフトが入っているからといって安心できる訳ではありません。
Emotetに感染した場合の被害とは?
Emotetは感染しても、ウイルス対策ソフトで検知ができない場合があります。
実際にアドレスなどが流出した後や、不正アクセスがあってから被害に気づくことが多いのが現状です。
また、感染元の端末が使用しているアドレス帳から、さらに被害が広がるケースも確認されています。
登録しているWebサイトのログイン情報なども抜き取られるため、不正アクセスされる可能性もあります。
感染したパソコンのアドレス帳から被害が拡大
WordやExcelファイルを開いて「コンテンツの有効化」をクリックすることでマクロが実行され、ウイルスに感染します。
また、添付のURLからダウンロードしたファイルでも同様です。
もし、Outlookなどのメールソフトを使用している状況で感染した場合、メール情報はローカルで管理されているため、メールのやり取りやアドレス帳の情報が流出します。
しかし、GmailなどのWEBメールだと、送受信のたびに添付ファイルのウイルススキャンが行われるため、感染の確率が下がります。
実際に、Gmailの場合は受信時にウイルス付きのメールがブロックされているという情報もあります。
ですが、WEBメールを使用している場合であっても、ウイルス対策ソフトやWEBメールのウイルススキャンを過信せず、不審な添付ファイルは開かないようにしましょう。
対策を強化するのであれば、Emotetの実行にはPowerShellを使うので、PowerShellの実行をあらかじめブロックしておくと良いでしょう。
様々なサイトに勝手にアクセスされる
Emotetに感染すると、Webブラウザのログイン情報を抜き取られるため、さまざまなサイトに勝手にログインされる恐れがあります。
特定のWebサイトへのログイン情報が残っていれば、そのままアクセスできてしまうからです。
また、さらにウイルスを拡大するために、特定のWebサイトへ勝手にアクセスされることも報告されています。
特にオンラインショッピングのアカウント情報をブラウザに保存している場合は、非常に危険です。
他のウイルスなどに感染しやすくなる
Emotetはマルウェアのプラットフォームのような役割もしているので、他のウイルスにも感染しやすくなります。
海外ではすでに、TRICKBOTとRYUKによる被害報告が確認されています。
TRICKBOTは、感染してしまうとC&Cサーバーから複数のモジュールをダウンロードし、情報窃取を行います。
その後、アドレスや各種ID・PASSなどの機密情報やシステム情報を抜き取り、悪用される恐れがあります。
そして、RYUKは身代金要求型のウイルスで、感染した端末と同ネットワーク内の端末にも感染することができます。
pingコマンドを送信し、通信可能な端末を調べ、セキュリティソフトなどを強制終了させているのも確認されています。
Emotetの感染確認方法とは?
Emotetの感染を確認する場合は、特定の手順でなければ確認できません。
ここでは、Emotetの簡単な感染確認方法をご紹介いたします。
無料の感染確認ツールを使う
レジストリエディタで確認する方法もありますが、簡単にEmotetの感染確認ができるツールがあります。
サイバー攻撃やインシデント関連の対策や支援などを行っている一般社団法人JPCERTコーディネーションセンターが提供している、エモチェック(emocheck)がおすすめです。
こちらの団体は、日本のセキュリティ対策を向上させるために活動しているので、安心して利用ができます。
エモチェックは、githubにて無料配布されています。
ダウンロードサイトはこちら
Emotetに感染してしまった場合の対処法とは?
Emotetの感染が明確になった場合、まずはどの端末が感染しているのかを探します。
ウイルス感染時の基本ですが、これ以上感染した端末を増やさないために、問題となっている端末をネットワークから遮断するためです。
そして、流出した可能性があるメールアドレスのパスワードを、他の端末経由で変更します。
これは、他の端末にも感染する危険性があるためです。
そのため、感染が確認されたら「ネットワークから遮断する」と「各種パスワード変更する」の2つを迅速に行いましょう。
ウイルス感染している可能性がある端末を探す
ウイルスに感染している可能性がある端末は、不審メールの送信を行っている可能性があります。
そのため、まずは身に覚えのないメールを送信していないか確認してください。
または、不審メールを受信したと連絡があったなら、送信先やフッターの署名に記載されているアドレスを調べるのも一つの手です。
その後、不審なメールの送信を確認したら、エモチェックなどを使って感染の有無を確認します。
ウイルス感染している端末をネットワークから遮断する
感染端末の確認ができたのであれば、迅速にネットワークから切り離してください。
有線LANでネットワークをつないでいるのであれば、LANケーブルを物理的に抜きます。
無線LANの場合は、右下のタスクトレイの電波マークをクリックし、Wi-Fiをクリックしグレーアウトさせることで無効化できます。
メールアドレスのパスワードを他の端末から変更する
Emotetは、感染した端末のメールアカウントのパスワードを入手し、なりすましメールなどの送信を始めます。
そのため、感染が確認されていない安全な端末を用意して、メールアカウントのパスワードを変更してください。
この時、感染した端末と同じネットワークにつながれていた他の端末は、感染している可能性があるので注意が必要です。
パスワードの変更をする前には、エモチェックなどを使って感染していないことを確認したうえで行うのが良いでしょう。
感染しない、させない為には?
Emotetは感染力が非常に強く、さらには他のウイルスと同時に感染する恐れのあるとても危険なマルウェアです。
現在は、WindowsOSのみでの確認ですが、今後はMac・iOS、Androidなどでも同様のウイルスが広まる可能性も考えられます。
少しでも不審なメールであれば、添付されているファイルを開かないことを徹底してください。
長野ITサポートでは、企業ごとに適したセキュリティ対策のコンサルタントを行っています。
ウイルスの感染確認や駆除はもちろん、ウイルスに感染しないように事前に対策を行うことも可能です。
ランサムウェアなどに感染し、暗号化されてしまったデータの復旧作業も対応できますので、お気軽にご相談ください。
メールでのお問い合わせはこちら
