エモテット（Emotet）とは？感染経路と対策方法について解説

エモテット（Emotet）とは、情報を盗み、ウイルスを感染させるように設計されている、自己増殖ワーム機能を備えたマルウェアです。主に電子メールを介して、フィッシング詐欺の一環として配布されます。 まずは、コンピュータウイルスの定義から見ていきましょう。

エモテットは、元々、銀行情報を盗み出すマルウェアとして有名でしたが、悪意のある第三者によってEmotetがコンピュータにインストールされると、銀行情報だけでなく個人情報までもが盗まれてしまいます。

Emotetとランサムウェアは、どちらもマルウェアという共通点はあるものの、ランサムウェアは、侵入した端末内のデータを暗号化して身代金を要求するのに対し、 Emotetは、侵入した端末内に他のマルウェアを勝手にダウンロードすることが可能です。そのため、ランサムウェアの運び屋として悪用されるケースがあります。

また、Emotetの配布がソーシャルハッキングに大きく依存していることから、このウイルスがいかに陰湿なものであるかを示しています。Emotetは電子メールを通じて拡散され、ターゲットがリンクをクリックすると、自動的にマルウェアがデバイスにダウンロードされてしまいます。

Emotetは、トロイの木馬型マルウェアです。トロイの木馬の意味は、ギリシア神話のトロイア戦争で用いられた戦法からきています。

トロイの木馬型マルウェアは、その場でコーディングを変更できるため、マルウェアの特定の兆候を検出するアンチウイルスを欺くことが得意であるため、ウイルス対策ソフトウェアやスキャナにとっては、かなり厄介な存在です。多くの場合、Emotetの性質により、アンチウイルスには検出されません。存在が発見された時点では、被害がすでに大きくなっている可能性が高いです。

2014年に発見されて以来、Emotetは多くのサイバー攻撃において一貫した構成要素となっています。検出されないままであることと、作成したバックドアを通じてさらに多くのマルウェアを流すことができることが相まって、Emotetは多くのハッカーにとって魅力的な選択肢であり、すべてのサイバーセキュリティ専門家にとって重大な脅威となっているのです。

Emotetの主な感染経路は、社内外からのなりすましの電子メールによるものです。サイバー犯罪者が、ターゲットのメールアドレスを盗んだり、ダークウェブ上のマーケットで不正に購入したりして、名前やアドレス、内容の一部を悪用するのです。

メールには添付ファイルが含まれており、そのファイルを開くと、ファイルに埋め込まれたマクロの実行を促すプロンプトが表示され、それを実行するとEmotetに感染してしまいます。さらに、Emotetの悪質な点は、感染したコンピュータから周囲のコンピュータへ感染を広げることです。

また過去には、添付ファイルからではなく、電子メールの本文にあるURLリンクからEmotetに感染するケースも確認されています。

2014年に登場したEmotetの最初の姿は、銀行システムに侵入し、電子窃盗に必要な認証情報を吸い上げることを目的とした単なる「トロイの木馬」に過ぎませんでした。

Emotetが最初に世間に知れ渡ったのは、価値の高いヨーロッパ銀行をターゲットにしたことが原因です。2017年になると、Emotetの作成者は、このウイルスを「サービスとしてのマルウェア」として宣伝しました。彼らはEmotetのインフラをベースにボットネットを作成し、他のハッカーにその使用を許可したのです。そして、2019年にEmotetは最も流行している脅威のひとつと言われました。

欧州刑事警察機構のサイバーセキュリティチームの努力により、ボットネットは2021年4月25日にようやく削除されました。しかし、この状態が長く続くことはなく、2021年11月にエモテットが復活したのです。つまり、1度収束したと考えられている場合でも、再び被害が拡大し、甚大な被害をもたらす危険性があるのです。

Emotetに感染したことは、「EmoCheck」というツールを使うことで確認できます。万が一感染してしまった場合は、以下の方法で早急に対処しましょう。

• 感染したデバイスをネットワークから切り離す
• 仕事の関係者に知らせる
• 感染被害の状況を調べる
• オンラインアカウントのパスワードを変更する
• 感染した端末を初期化する
• Emotet駆除に対応したツールを使う

Emotetの対策方法は、基本的に他のコンピュータウイルスと同じです。Emotetの感染によって甚大な被害を被る前に、以下の対策を講じて、脅威を未然に防ぎましょう。

Power Shellを事前にブロックする

Emotetの実行には、PowerShellが使われます。PowerShellは、仕事の作業などで使う人以外はあまり使わないので、事前にPowerShellの実行をブロックすることが対策としては有効と言えます。

実行ポリシーでブロックとマルウェアに改ざんされる可能性があるため、管理者権限でPowerShell自体の起動をブロックすることが推奨されています。

知識をつける

知らないと危険が及ぶサイバー脅威が、いたるところに潜んでいます。従って、日頃から最新のサイバー攻撃のやり方や手口について知ることはとても重要です。

特にソーシャルエンジニアリングに関しては、具体的な手法や過去の被害事例を知ることで、被害を未然に防ぐことが可能です。ハッカーは、積極的にあなたを騙してリンクをクリックさせたり、ファイルをダウンロードさせたりしようとすることを肝に銘じてください。不審なメールや、知らないメールアドレスから送られてきたメールは、そのままゴミ箱に捨てましょう。

多要素認証でアカウントを保護する

多要素認証でアカウントを保護することは、盗まれたデータが悪用されるのを防ぐのに最適な方法です。

アカウント別に強力なパスワードを作成する

Emotetは、管理者パスワードを突破するためにブルートフォース攻撃をしばしば使用しています。したがって、強力なパスワードを作成することによって、アカウントをハッキングされにくくすることができます。パスワードマネージャーを利用すれば、手間なく簡単に強力なパスワードを作成できるので、とても便利です。

セキュリティソフトで保護する

マルウェアを知らないうちにダウンロードすることを防ぐ最善の方法のひとつは、NordVPNの脅威対策機能を使用することです。脅威対策は、ダウンロードファイルをスキャンし、ファイルにマルウェアを検出した場合、自動的に削除する優れた機能です。