パソコンがEmotetに感染したらどうなる?
その予防と対策

今再びマルウェアEmotetの感染被害が急増しています。
お使いのPCのみならず、社内/取引先/お客様など多方面の方々に
感染させてしまう被害が報告されています。


PCがウィルス感染したときに知っておきたい対策、感染経路
また起こり得る被害などについてご説明します。
「Aさん、大変です。御社から送られてきたメールの添付ファイルを開いたら会社中のパソコンが感染してしまった!」
「Aさん、うちの会社のパソコンが複数台ランサムウェアに感染してます!
コールセンターに送られてきた電子メールの添付Wordファイルを開封したそうなんです!」
「Aさん、大変!総務部のHさんのPC端末がマルウェアに感染。複数のお得意様にHさんのなりますましメールが大量に発信されちゃってます!」
「Aさん、インシデント発生!!
PC端末がマルウェアに感染して、社内外のメールアドレスなど個人情報データが外部流出してインターネット上に上がっています!調べたらEmotet(エモテット)というマルウェアが原因らしいです。」

「Aさん、インシデント発生!!
PC端末がマルウェアに感染して、社内外のメールアドレスなど個人情報データが外部流出してインターネット上に上がっています!調べたらEmotet(エモテット)というマルウェアが原因らしいです。」

「不審なファイルが添付されたなりすましメールが届いた」と
取引先や社内から報告を受けて気づく感染被害が拡大しています。

  • 様々なサイバー攻撃の中でも、常にランキングのトップ3にある「標的型メール攻撃」。不正なリンクへのアクセスや、あやしげな添付ファイルの開封によりパソコンが感染してしまう被害が後を絶ちません。
    社内やお取引先などから「不審なファイルが添付されたなりすましメールが届いた」と連絡を受けて初めて攻撃に気づくケースも増えています。

    マルウェアEmotetは、実際にビジネスで使用しているメール文や添付ファイルを使用し、なりすましメールにより感染を拡大させます。
    添付のファイルを開き「マクロを有効」にすると、メールデータなどが盗み出され、またそのメールデータを使い、
    社内や取引先など多方面の方々に感染を広げます。


    攻撃被害にあう前のセキュリティ対策は大事ですが、既に感染してしまった時にどう対処すればよいのかについてまとめてみました。
  • なりすましメールや正規のメールサーバーの悪用、マルウェアフリーという攻撃手法を利用するなど、従来の対策方法では完全にEmotetの侵攻を阻止することはできません。
  • なりすましメールや正規のメールサーバーの悪用、マルウェアフリーという攻撃手法を利用するなど、従来の対策方法では完全にEmotetの侵攻を阻止することはできません。
その場合、原因として次の2つのケースが考えられます。

  1. なりすましメールの送信者アカウントの端末がEmotetに感染してアドレス帳を窃取された
  2. メールのやりとりをしたことがある人(取引先など)の端末がEmotetに感染して、なりすましメールの送信者アカウントを含むアドレス帳を窃取された

Emotet感染拡大

欧米で流行しているコンピューターウイルス「Emotet(エモテット)」が日本に本格上陸し、被害が拡大しています。

感染するとメールアドレスや本文を盗まれ、本人になりすましたメールが次々と関係者に送られる被害が多数報告されています。一時的に活動が下火になりました。

しかし、2020年7月下旬頃から活動が活発化し始め、9月に入った途端に爆発的な感染被害をもたらしています。たった3日間で感染したと思われる組織が3000社以上となり、その感染力の高さが伺い知れます。

マルウェア Emotet の感染拡大および新たな攻撃手法について(JPCERT/CC 調べ)
出典:https://www.jpcert.or.jp/newsflash/2020090401.html

マルウェアEmotetの特徴

特徴1 侵入経路

現在確認されている「Emotet」の侵入経路は主に電子メールです。実在する人物や組織を騙り、ユーザーを信用させます。攻撃者の狙いは「Emotetを呼び込む仕掛けを起動させること」です。ビジネスにおける最も普及したコミュニケーション手段である電子メールは目的を遂行する上では非常に有用なツールとなります。

特徴2 攻撃手法

攻撃者はユーザーを「Emotet」に感染させるため「マルウェアフリー」と呼ばれる攻撃手法を用います。「マルウェアフリー」はアンチウイルス等に代表される従来のセキュリティ対策ソリューションの検知手法を回避することを目的として利用されます。サイバー攻撃全体に占める割当は年々増加傾向にあり、今やサイバー攻撃の主流となる攻撃手法となっています。

特徴3 想定される被害
Emotet感染後の侵害行為に基づくと感染者を出した組織においては「情報漏洩」が発生したことになります。また、侵害行為によって以下の事象が発生する可能性があることを認識しておく必要があります。
  • メールアカウント窃取
  • メールボックス内の情報窃取
  • ブラウザの認証情報窃取
  • ネットワークの認証情報窃取
特徴4 感染拡大
Emotetは感染を拡大・拡散させる特性があるため、自組織の感染をきっかけとして他の端末や組織に対して被害を飛び火させてしまうリスクがあります
特徴5 「運び屋」の働き

国内よりも早く活動が確認されていた海外では「運び屋」として使われることがあり、ランサムウェアや情報窃取機能を持つ他のマルウェア等を呼び込む存在して認知されています。

特徴6 検知されにくい
  • 攻撃に利用するモジュールをファイルとして保持しないので検知されにくいです。
  • C&Cサーバーと交信し、Emotet自体を更新するので、ブラックリスト化が困難です。
  • 別のマルウェア(ランサムウェア等)を呼んでくることがあります。
特徴3 想定される被害
Emotet感染後の侵害行為に基づくと感染者を出した組織においては「情報漏洩」が発生したことになります。また、侵害行為によって以下の事象が発生する可能性があることを認識しておく必要があります。
  • メールアカウント窃取
  • メールボックス内の情報窃取
  • ブラウザの認証情報窃取
  • ネットワークの認証情報窃取

よくあるご質問

Emotetの被害は増えているのですか?

これまで日本国内では2019年11月から2020年2月にかけて被害が確認されていましたが一時的に活動が下火になりました。しかし、2020年7月下旬頃から活動が活発化し始め、9月に入った途端に爆発的な感染被害をもたらしています。たった3日間で感染したと思われる組織が3000社以上となり、その感染力の高さが伺い知れます。

○ JPCERT/CC「マルウェア Emotet の感染拡大および新たな攻撃手法について」参照
https://www.jpcert.or.jp/newsflash/2020090401.html



Emotetは何からどのように感染するのですか?

<侵入経路>
ほとんどがメール経由です(不正マクロを内包したWordファイルなどを添付ファイルまたはメールに記載されたURLをクリック)。

<攻撃内容>
端末情報(認証情報、メール情報など)を搾取、または他のマルウェアの感染を図ります。
搾取したメール情報から実際にやり取りしていたメールアドレス、氏名、本文など、 返信の様な形のなりすましメールを作成し、マルウェアを添付して拡散を図ります。
同じネットワーク内の端末に自身の横展開を図ります。
不正送金マルウェアやトロイの木馬、ランサムウェアなど別のマルウェアの二次感染を図ります。

漏洩した情報はどうなりますか?

漏洩した情報を取り返したり削除させたりすることはできません。今後もなりすましメールを各所にばら撒かれるリスクと向き合わなければなりません。

送信者アカウントの端末以外から送られているからです。
該当端末のEmotetを駆除しても送られ続けます。

漏洩した情報はどうなりますか?

漏洩した情報を取り返したり削除させたりすることはできません。今後もなりすましメールを各所にばら撒かれるリスクと向き合わなければなりません。

送信者アカウントの端末以外から送られているからです。
該当端末のEmotetを駆除しても送られ続けます。

なぜ防ぐのが難しいのですか?

  • コマンドプロンプトやPowerShellなど正規のプロセスを悪用しているため検出が困難なため
  • 本体に悪意のあるコードをできるだけ持たないのでアンチウイルスで検知されにくい特徴があるため
  • Emotetは攻撃モジュールをファイルとして保存せずメモリ上に配備するため検知が困難なため
Emotetに感染しているか確認する方法はありますか?

JPCERT/CCより、Emotet感染有無の確認を行うツール「EmoCheck」をダウンロードし、実行して感染の有無を確認してみてください。

Emotetチェック用プログラム EmoCheckのダウンロード
JPCERTCC/EmoCheck – GitHub
https://github.com/JPCERTCC/EmoCheck/releases

○ JPCERT/CCとは
JPCERT/CCは、「一般社団法人 JPCERTコーディネーションセンター」の略称。 コンピュータセキュリティの情報を収集し、インシデント対応の支援、コンピュータセキュリティ関連情報の発信などを行う一般社団法人。

☆マルウエアEmotetへの対応FAQ
https://blogs.jpcert.or.jp/ja/2019/12/emotetfaq.html


感染者を出した組織として何をすべきですか?

Emotetに感染し、自社の社員を騙る「なりすましメール」が取引先やお客様に届く可能性があることを速やかに通知することが推奨されます。

感染を確認した場合の対応策(推奨)

  • 感染端末の隔離、証拠保全および被害範囲の調査
  • 感染端末で利用していたメールアカウントなどのパスワード変更
  • 感染端末が接続していた組織内ネットワークの全端末の調査
  • ネットワークトラフィックログの監視
  • 他のウイルスの感染有無の確認
  • なりすましメールを送られる可能性がある関係者への注意喚起
  • --------------------------------------------------------
  • 【参照】なりすましメールが届いたと言われたら?Emotetの対処方法をJPCERTが伝授
    https://xtech.nikkei.com/atcl/nxt/news/18/06598/

    JPCERT/CC:マルウェアEmotetへの対応FAQ
    https://blogs.jpcert.or.jp/ja/2019/12/emotetfaq.html
  • なりすましメールを送られる可能性がある関係者への注意喚起

今後感染をさせないために。
未然にEmotetの脅威から守るために。
OSプロテクト型AppGuard


AppGuard
システムに害を与える行為を完全に阻止


AppGuardとは


お客様や取引先を装ったメールの添付ファイルを万が一開いても安心です。

AppGuardは従来の「検知」型ではなく、攻撃の段階で脅威を遮断する「OSプロテクト」型のセキュリティ製品です。

OS プロテクト型とは、検知・検出を行うことはせずにOSのコアをまもり、未知・既知を問わずいかなる脅威からもPCをまもります。AppGuardはOSそのものをまもりシステムに害を与えることがありません。
つまりファイルを1つ1つチェックするのではなく、マルウェアが疑われるような異常な処理を行おうとする時点で即座にシャットアウトして、システムを守ることに徹する仕組みです。

AppGuardは、米政府機関で20年以上破られたことがない、サイバーセキュリティ技術を採用した製品です。

AppGuard
システムに害を与える行為を完全に阻止

なりすましメールや正規のメールサーバーの悪用、マルウェアフリーという攻撃手法を利用するなど、従来の対策方法では完全にEmotetの侵攻を阻止することはできません。

AppGuardがインストールされていればEmotetの生成ファイルがダウンロードされても信頼できないアプリケーションファイルとして100%起動させません。

教育やリテラシーではマルウェアは防げません

AppGuardなら
  • 怪しい広告をクリックしても
  • 騙されて怪しいアプリを実行しても
  • 怪しいURLをクリックしても
  • 怪しい添付ファイルを実行しても
  • 怪しいマクロを有効化しても
  • マルウエア入りUSBメモリを挿しても
不正アクセスは成立させません/実行させません

AppGuard導入のメリット

未知マルウエアへの耐性が大幅向上

「検知型」ソリューションは過去の情報に依存しているため、未知のマルウエアを完全に防ぎきれません。AppGuardはOSを守ることにフォーカスし、OSが乗っ取られることを防ぎます。
定義ファイル更新やフルスキャン不要


脅威を「検知」しないため、煩わしい定義ファイルの更新や定期的なファイルスキャンを必要としません。OSに対して疑わしい動作をブロックすることで、OSの安全性を確保します。
メールや添付ファイル開封も安心


さまざまな脅威の中でも、常にランキングのトップにある「標的型メール攻撃」。不正なリンクへのアクセスや、あやしげな添付ファイルの開封により発動する攻撃からもOSを守ります。
米国政府機関での長年の利用実績


過去20年以上、一度も破られたことがなく、米国の政府機関において長年の実績があります。米国国防総省並びに陸軍の高水準なセキュリティ・スタンダードを満たしたことを示すCoN認証も取得済みです。
米国政府機関での長年の利用実績


過去20年以上、一度も破られたことがなく、米国の政府機関において長年の実績があります。米国国防総省並びに陸軍の高水準なセキュリティ・スタンダードを満たしたことを示すCoN認証も取得済みです。
本製品は、既にお使いのセキュリティソフトと併用してお使いいただけます。
最大20%オフ AppGuard Solo 複数年一括購入キャンペーン

資料ダウンロード

AppGuard カタログ
AppGuard Enterpriseの新しい概念”OSプロテクト型”や、製品の特徴について簡易的にご紹介しているカタログです。
AppGuard Soloチラシ

AppGuard Enterpriseの新しい概念”OSプロテクト型”や、製品の特徴について簡易的にご紹介しているカタログです。


ホワイトペーパー
Emotetをどのように未然に攻撃から防ぐのか
AppGuardテクノロジーについてなど
ホワイトペーパー各種ダウンロードいただけます。
導入事例
AppGuard Enterprise/Soloを導入された事例資料です。
導入事例
AppGuard Enterprise/Soloを導入された事例資料です。

AppGuard 製品ラインナップ

製品に関する詳細は弊社または販売パートナーまでお気軽にお問い合わせください。
AppGuard Enterprise

管理コンソールを使用しエンドポイントの集中管理が可能
300名以上の企業様におすすめ

AppGuard SBE

集中管理機能を備え、ポリシーを初期値としてプリセット
1~300名以下の中小企業様におすすめ

AppGuard Solo

PCへインストールするだけで「簡単」にマルウェアを封じ込め
1~30名規模の集中管理体制を必要としない企業様におすすめ

AppGuard Solo

PCへインストールするだけで「簡単」にマルウェアを封じ込め
1~30名規模の集中管理体制を必要としない企業様におすすめ

お問い合わせ

セキュリティ対策や製品に関するお問い合わせがございましたら
お気軽にご相談ください。
AppGuardの無償トライアルも実施しております。
フォームから送信された内容はマイページの「フォーム」ボタンから確認できます。
送信
利用規約・プライバシーポリシーをお読みの上、同意して送信して下さい。

【お客様情報に関する取り扱いについて】

本申込フォームによりご提供いただいたお客様情報は、以下の目的において利用いたします。

1.利用目的:個人情報は、以下の目的において必要な範囲で利用いたします。
(1) ​​ダイレクトメール、電話またはE-mail等による製品・サービス・セミナー等のご案内
(2) 製品・サービスに関するアンケート調査
(3) 製品・サービスに関する品質向上のための評価及び分析
※上記のため、製品​の販売​・製造元との間で​​共同利用することがあります。

2.提供および取扱いの委託:法令に定める場合を除き、お客様の同意を得ることなく、個人情報を第三者に提供しません。
また、個人情報の取扱いを委託する場合、安全性確認や秘密保持契約の締結等、適切な措置を行うものとします。
最大20%オフ AppGuard Solo 複数年一括購入キャンペーン
無償トライアルのお申込みはこちらから
まずはお気軽にお問い合わせください