エモテットとは？単なるウィルスとの違い、特徴、対策について解説

エモテットとは、情報の窃取や他のマルウェアへの感染を目的としたウイルスの一種です。

近年、日本国内で多くの企業や組織が被害に遭っているマルウェア「エモテット」。このマルウェアは、なりすましメールを使って感染を拡大し、情報窃取や他のマルウェアへの感染のために悪用されます。

2020年2月以降は沈静化していましたが、2021年11月に活動を再開し、2022年2月から被害が急増しています。本記事では、エモテットの特徴と感染経路、既存の脅威との違いを解説します。

エモテットは「なりすましメール」を使って感染拡大する

エモテットは、感染した端末から、過去のメールのやり取りをした相手に対して、返信メールや業務連絡メールなどに偽装したメールが送信されます。

メールには悪意のあるマクロが仕込まれたOffice文書ファイルやパスワード付きZIPファイルが添付されています。

エモテットは「自己増殖」する

エモテットは、感染した端末からメールアドレスやメールの内容を盗み出し、それらを利用して他の端末にも攻撃メールを送信します。

また、感染した端末が同一ネットワークにある他の端末にも感染を広げることができます。

このように、エモテットは自分自身を増やすことができる自己増殖機能を持っています。

エモテットには「媒介機能」がある

エモテットは、自分自身が情報を盗むだけでなく、他のマルウェアをダウンロードして感染させる媒介機能を持っています。
この媒介機能により、エモテットは他のマルウェアの「ゲートウェイ」となります。
つまり、エモテットに感染した端末は、他のマルウェアにも感染する可能性が高くなります。
例えば、エモテットはランサムウェアやバンキング型トロイの木馬などのマルウェアをダウンロードして実行します。
このように、エモテットは単なるマルウェアではなく、他のマルウェアへの入り口となる危険なマルウェアです。

セキュリティ担当者はエモテットにどう向き合うべきか

エモテットは、メールの添付ファイルやリンクを開くことで感染し、情報漏洩やランサムウェアの感染などの被害をもたらすマルウェアです。
エモテットは自己増殖機能を持ち、感染した端末から他の端末にも攻撃メールを送信します。
また、感染した端末が同一ネットワークにある他の端末にも感染を広げることができます。

企業のセキュリティ担当者は、このような特徴を持つエモテットの感染対策・情報保全について以下のような取り組みを行うべきといえます。

• 社員研修を実施し、不審なメールや添付ファイルに対する注意喚起や対応方法を教育する。
• 受信可能なメール添付ファイル形式や拡張子を制限し、不正なファイルの受信を防ぐ。
• 導入済みのセキュリティ製品やサービスの設定や運用状況を確認し、効果的な防御設定を行う。
• ログの取得設定と取得手順を確認し、インシデント発生時に必要な情報が取得できるようにする。
• インシデント発生時の体制や外部サービスの活用方法を整備し、迅速かつ適切な対応ができるようにする。
• インシデント発生時の予行演習を実施し、対応能力を高める。

まとめ

エモテットは、メールの添付ファイルやリンクを開くことで感染し、情報漏洩やランサムウェアの感染などの被害をもたらすマルウェアです。
エモテットは自己増殖機能を持ち、感染した端末から他の端末にも攻撃メールを送信し、感染を拡大します。

企業のセキュリティ担当者は、社員研修やメール添付ファイル形式の制限、セキュリティ製品やサービスの設定や運用、ログの取得設定と取得手順、インシデント発生時の体制や外部サービスの活用方法、インシデント発生時の予行演習などの取り組みを行うべきといえます。