Emotet被害が急拡大。大手企業も続々と被害に

 ウイルス「Emotet(エモテット)」の勢いが止まりません。2022年の2月から3月にかけてNTT西日本、電通大、日本気象協会、沖縄県、東北海道いすゞ自動車、積水ハウス、ライオン、クラシエホールディングスなど大企業の被害が多く出ているほか、中小企業や個人でも被害が出ています。

 IPA・情報処理推進機構へのEmotet相談件数もうなぎのぼりで、2022年の1月-3月は656件で前期の50倍以上に急増。4月にはいったん落ち着いたと思われたものの、4月20日以降にまた活動がさかんになってきています。

Emotetの相談件数。2022年の2月・3月に急増している(IPA・情報処理推進機構)

 Emotetは2019年から2020年にかけて世界中で大きな被害を出したものの、2021年1月に世界8カ国の捜査機関による摘発が行われ、Emotetのコントロールサーバーは無害化されました。活動は一旦停止したのですが、その後2021年11月頃から再燃し、2022年2月以降は日本語のEmotetが大量に出回る状態になりました。

 Emotetが2022年2月から3月にかけて日本国内で大きく流行した背景には、ロシアによるウクライナ侵攻の影響があるでのは? という声もあります。しかしそれ以前からEmotetは世界的に流行していたこと、サイバー犯罪集団が必ずしもロシア支持ではないこともあり、筆者は直接的な関係はなさそうだと考えています。

こちらのメールを引用する巧妙な手口で被害拡大

 Emotetの手口は、主にメール添付のWord・Excelのマクロ(自動実行ファイル)を使ってウイルス感染させるもの。メール添付ファイルのマクロで感染させる手口は15年以上前からある古い手口ですが、それでも大流行するのはメールの巧妙さにあります。

 その手口とは通称「引用返信型」と呼ばれるもので、こちらからのメールを元にして引用返信の形で送られてくるメールです。

引用返信型のメールサンプル。こちらからのメールの引用返信でウイルス付きファイルを添付して送ってくる(IPA・情報処理推進機構による)

 上の図はIPA・情報処理推進機構が作成したEmotetメールのサンプルで、A氏が受け取ったEmotetのメールです。以前にA氏が送ったメールを下に引用し、「取り急ぎ連絡いたします」として不正なファイルが添付されているのです。

 A氏から見ると「こっちが送ったメールの引用返信だな。それなら本物だろう」と思い、添付ファイルを開いてしまいます。しかし添付されているWordやExcelを開き「コンテンツの有効化」というボタンを押してしまうと万事休す。Emotetに感染してしまうのです。

 このようにEmotetの最大の特徴は、取引先・知り合い・友人などから送られてくることにあります。しかも引用返信を使うことがあるため、偽物だとは疑わずに添付ファイルを開いてしまいがちです。

見積もり、企画書、Windowsショートカットを使うタイプも

 この他にも請求書や見積りなどのファイルを装うもの、コロナ対策など公的機関のふりをして送ってくるもの、添付ファイル無しでリンクを記載するもの、Windowsショートカットを使うものなど、様々な手口があります。

Emotetの手口

 コロナ対策が焦点となった2020年前半には保健所を装ってコロナ対策の企業向け文書が添付されたパターンもありました。またクリスマスを狙って「メリークリスマス」という文書を送ってきたこともあります。

 その他にも通称「PPAP方式」で送られてくるパターンもあります。PPAP方式とは暗号化した添付ファイルに加えて別メールでパスワードを送る方式のこと。Emotetに感染させるWordやExcelを暗号化して送ってくるのです。暗号化することでウイルス対策ソフトなどの検知を回避する目的がありそうです。

 このようにサイバー犯罪集団は、様々な手法・文面を試行錯誤しており、成功したものを大量送信する傾向があります。またターゲットは企業が中心のようですが、その足がかりとして個人ユーザーも狙っています。

 2022年3月には筆者の友人、それも複数の人がEmotetだと思われる不正なメールを受け取っています。放送関係者の友人いわく「台本の返しとして送ってきた」「企画書が添付されていた」とのことで、相手に合わせて文面を変えてくるパターンもあるようです。

Emotet感染の流れと被害パターン

 Emotetでは具体的にどんな被害が出るのでしょうか。まず典型的なEmotetでは、メールにWordやExcelが添付されてきます。このファイルは自動実行ファイルであるマクロが組み込まれており、「コンテンツの有効化」を押すと実行されます。

 マクロはVBA(Visual Basic for Applications)を使うもの、最近ではExcel4.0マクロのタイプもあります。このマクロがWindowsのコマンドを実行し、Emotetのモジュールがダウンロードされて感染するのです。

 その後はEmotetのモジュールが、犯人が用意しているコマンド&コントロールサーバー(C&Cサーバー)にアクセスし、様々なパターンのウイルスを仕込むという流れです。ここまで来ると被害を受けたパソコンが、犯人によって遠隔操作されているのと同じであり、あらゆる種類のウイルス感染や情報窃取が起きてもおかしくありません。

 その後の典型的な被害は2つあります。1つはメールの盗み取りです。Emotetが被害者のパソコンのメールソフト(Outlookなど)から文面やメールアドレスを読み取ったり、ブラウザからパスワードなどアカウント情報を盗み出してWebメールの文面などを入手します。

 ここで入手した情報から、さらにEmotetの感染を広げるのです。先ほどの引用返信の手口も、実際のメールの文面を読んでいるからこそ実行できる手口です。

 さらに個別のPCから、企業内のサーバーに侵入して感染を広げます。企業のメールサーバーが乗っ取られることもあり、Emotetが企業のメールサーバーから送信されたパターンもありました。

 もう一つの典型的な被害はランサムウェアです。Emotetを足がかりにして、企業のPCやサーバーを暗号化して金銭を脅し取るランサムウェアに感染させるパターンがあります。Emotet経由でランサムウェアに感染させた上で、暗号資産(仮想通貨)を脅し取ろうとするのです。

「コンテンツの有効化」を押さないが最大の対策

 Emotetの多くはWord・Excelのマクロですので、対策はとてもシンプルで「マクロを実行しない」ことに尽きます。

 具体的にはネット経由で入手したファイルで表示されるWord・Excelの黄色い警告表示で「コンテンツの有効化」ボタンを押さないままにすること。そのままで閲覧はできますから被害に遭いません。

「コンテンツの有効化」ボタンを押さないことが一番の対策になる(IPA・情報処理推進機構による)

 どうしても編集したい場合は、相手にメール以外の手段で「本当にファイルを送ったのか?」と確かめましょう。メールでの問い合わせでは、犯人側に知られる可能性があるので危険です。メール以外の手段で連絡し、相手がもし送っていないのであれば、Emotetの感染の疑いがあることを伝えましょう。

 もう一つの対策として、すべてのマクロを無効にする方法があります。具体的にはWord・Excelの「ファイル」→「その他」→「オプション」から「トラストセンター」を開きます(旧バージョンでは「セキュリティセンター」になっている場合もある)。そこにある「マクロの設定」で「すべてのマクロを無効にする」といいでしょう。

Wordでのマクロ無効設定。「ファイル」→「その他」→「オプション」→「トラストセンター」→「マクロの設定」で「すべてのマクロを無効にする」

 ただし職場によってはマクロを常用していて無効にできない場合があるかもしれません。その場合はメール対策のセキュリティソリューションを導入した上で、上記の「コンテンツの有効化ボタンを押さない」という対策を個人が徹底する必要があります。

 なおマイクロソフトでは、マクロでのウイルス感染対策をいくつか実施しています。問題となりやすいVBAマクロを初期状態で無効にするほか、警告表示を黄色から赤色に変更してマクロを有効化しにくくするなどの対策が順次行われています。

 ただしOfficeのバージョンによっては対策が不十分と言える場合があり、完璧とは言えません。マイクロソフト側の対策が実施されても、各企業・ユーザーの対策は続ける必要があります。

 なおEmotetの被害が確認されているのは現時点ではWindowsのみです。macOSやスマートフォン(Android、iOS)での被害は今のところ出ていないので、急ぎの場合はスマートフォンで確認するという対策をとってもいいかもしれません。

※参考記事
「Emotet(エモテット)」と呼ばれるウイルスへの感染を狙うメールについて(IPA・情報処理推進機構)
https://www.ipa.go.jp/security/announce/20191202.html