Emotetって？

2021年11月ごろ攻撃が再び確認されたEmotet。主にメールが侵入口となり、添付Wordファイルなどに仕込まれた不正なマクロが実行されることで感染するウイルスです。

感染すると、端末内のメール履歴からメールアドレスやパスワード情報を窃取して攻撃者へ送信します。情報を受け取った攻撃者は「なりすましメール」を生成し、取引先など過去にやり取りした相手に送信することで被害を拡大させます。

また、Emotetは端末を攻撃するコードや別のウイルスをダウンロードおよび実行する「ドロッパー」^※として活動する恐れもあります。例えば、ランサムウェアに感染させて重要データを暗号化し、システム停止や身代金要求による金銭被害が発生する可能性があります。

感染を促す巧みな手口

以下のような新たな手口が確認されています。

さらに、過去のメール文を窃取し、違和感がない日本語の文章でメールが作成されていることも特徴です。「請求書」や「取り急ぎご連絡まで」など日本のビジネスメールでよく目にする文言が利用されることで、不信感を抱くことなくメールを開けてしまう可能性が高まります。

Emotetに感染しないためには、知らない宛先や不審な文章のメール、リンク、添付ファイルを開かないことがまずは大切です。

しかし、なりすましメールは見た目だけで判断することは難しい場合もあります。人頼みの判断ではなく、セキュリティ製品をうまく活用して防ぐことが必要です。

不正サイトへのアクセスをブロック

②のようにWebからウイルスファイルをダウンロードさせる場合は、リンク先の不正サイトへアクセスさせない対策が効果的です。

弊社の「InterSafe WebFilter」は網羅率99％以上の高精度URLデータベースでリンク先を判定し、不正サイトへのアクセスを未然にブロック。Emotet感染を狙い一時的にオープンするようなサイトに対しても「高度分類クラウド」で判定し、リスクを限りなくゼロへ近づけます。

また、ファイル無害化オプション「InterSafe FileSanitizer Powered by OPSWAT」と連携することで、ダウンロードファイルのマルチスキャンと無害化が可能です。これにより、ファイル内の不正なマクロなどを取り除き、安全なファイルダウンロードを実現します。

他にも、デバイス制御ソフト「InterSafe DeviceControl」と標的型攻撃対策製品「FireEye NXシリーズ」との連携で、感染後の対策も可能です。NXシリーズが検知した未知のウイルス情報をInterSafe DeviceControlにリアルタイムで登録し、感染端末をネットワークや外部デバイスから即時的に隔離。万が一、Emotetに感染した際も社内での感染拡大を防止することができます。

会社の信頼を維持するために

一度終息したように思えたEmotetですが、手法を変えて引き続き脅威となることが予測されます。Emotetは感染すると社内から社外へと感染を拡大させるため大切な取引先の情報を漏洩させるとともに信頼を失う事態にもなりかねません。

一人の社員がメールを開いたことから始まるEmotet感染。社員にリスクを背負わせないために、適切なセキュリティ対策をご検討ください。

参考：
「Emotet（エモテット）」と呼ばれるウイルスへの感染を狙うメールについて
https://www.ipa.go.jp/security/announce/20191202.html
マルウエアEmotetへの対応FAQ
https://blogs.jpcert.or.jp/ja/2019/12/emotetfaq.html