何も知らないと感染済み…悪質な進化を遂げ続けるマルウェア「Emotet」の対策

JPCERTコーディネーションセンターは27日、マルウェア「Emotet（エモテット）」の感染報告が、世界規模で拡大しているとして注意を呼び掛けた。

2014年に初めて確認され、当初はオンラインバンキングのIDとパスワードを窃取するトロイの木馬として利用されていた。

その後、サイバー攻撃グループが繰り返し機能を拡張し、自己拡散機能や感染した被害者のメールを大量に収集することが可能に。

現在ではオンライン詐欺や情報窃取、不正プログラムの拡散など多機能なサイバー攻撃基盤のボットネットと化した。

JPCERTによると、実在の人物や組織になりすましたメールを送り付け、添付ファイル（主にWordファイル）に含まれるマクロと呼ばれるプログラムを動作すると感染。

感染したPCは攻撃側の支配下に置かれ、保存されたメールアドレスの連絡先や本文を盗み取って新たななりすましメールを作成。

このなりすましメールは被害者に無断で送信され、周囲のPCへ次々と感染を広げていく。

しばらく鳴りを潜めていたが、今年9月中旬より活動を再開し、欧米を中心として急速に拡大。

10月後半から国内でも被害が増えており、これまでに400以上の組織を名乗ったなりすましメールを観測。

多くは中小企業で、組織内のシステムにウイルスが感染した結果、情報が外部に流出した可能性があるという。

情報を盗まれるほか、別のウイルスに感染させられてシステムやデータを破壊される、身代金を要求される被害も報告。

また、金銭や機密に関わる重大な情報漏えいにつながる可能性も高まる。

現在、海外の複数の公的機関がアドバイザリを公開しており、JPCERTも手法や感染後の対応を掲示し、拡大防止のための注意喚起を実施中。

基本的な対策としては、マクロの自動実行の無効化、ウイルス対策ソフトによるマルウェア付きメールの検知、定期的なオフラインバックアップの取得などが挙げられる。

自組織のアドレスになりすましたWord添付メールが届いたと外部組織から連絡があった、なりすましメールの大量送信を確認した場合などは、自組織の端末が感染している可能性がある。

感染後の対応としては、感染した端末をネットワークから隔離したり、メールのパスワードを変更したりするなどを推奨。

セキュリティ専門ベンダへ相談した上で、対策ソフトによる全端末のフルスキャン、感染した端末を利用していたアカウントのパスワード変更、調査後の感染した端末の初期化などを行うように。

攻撃者の活動は組織的かつ高度になってきており、新たな攻撃手法を次々と生み出している。

日々の活動の中で一般的なセキュリティ対策を確実に実施するとともに、新たな攻撃手法を理解し備えることが重要。