2023年3月7日より、世界中のコンピューターに脅威をもたらす最も危険なマルウェアの1つである「Emotet」（エモテット）が活動を再開しました。 

Emotetはトロイの木馬型のマルウェアで、電子メールで配信されるスパムメールに添付された悪意のある添付ファイルによって、ユーザーのコンピューターシステムに侵入します。 
感染してしまうと、機密情報や個人情報の漏洩につながり、企業の信頼を失うきっかけになりますので、注意が必要です。 

しかし、マルウェアは日々進化しています。我々は、機密情報や顧客の信頼を守るために「2023年版のEmotet」に対応しなければなりません。 

この記事では、2023年のEmotetの特徴や手口、感染してしまった時の対処についてわかりやすくご紹介します。 

2023年3月のEmotetの特徴

2023年3月以降に確認されたEmotetの特徴はこちらです。 

• EmoCheckで検知できないケースもある 
• 500MBを超えるWordの添付ファイル文書 
• メールの件名や本文に日本語が使われている 

まだ発見されたばかりなので、ウイルスチェックをすり抜けてしまうことも考えられます。添付ファイル付きのメールには十分注意してください。 

どのような特徴があるのか、順番にご紹介しますので対策のご参考になさってください。 

EmoCheckで検知できないケースもある

「Emocheck」はEmotetの脅威に対抗するために、ご使用のPC（Windows）がEmotetに感染していないか確認するツールです。 

しかし、2023年のEmotetは「Emocheck」で検知できないこともあるため、注意しなければなりません。 

「Emocheck」はJPCERT/CCが提供するオープンソースプロジェクトです。「Emocheck」は「GitHub」のリリースページから無償でダウンロードできます。 

JPCERT/CC「EmoCheck」（GitHub）リリースページ 

JPCERT/CCとは  「JPCERT/CC」（ジェーピーサートコーディネーションセンター）は特定の政府機関や企業から独立した中立の組織です。  日本における「情報セキュリティ対策活動の向上」に取り組んでいます。  情報セキュリティに関する脅威も紹介していますので、こまめにチェックすることで最新の脅威を知ることができます。

500MBを超えるWordの添付ファイル文書

Emotetが入り込んだZIPファイルの中には「500MBを超えるWordのファイル」が含まれていることが確認されています。 

「500MBのWordファイル」は、大変ボリュームがあるファイルです。 
具体例を挙げると、文字だけで構成されたファイルなら、億を超える文字数のファイルとなります。 

一般的に考えると、そのような膨大なボリュームの文書が、添付ファイル付きのメールでやりとりされることは少ないでしょう。先方から特に連絡がなく、大容量のWordファイルが送られてきた場合、ウイルスの可能性を疑ってください。 

また、Emotetは感染に気付かずに他人に感染させてしまうこともあります。 
取引先に添付ファイルを送る際は「ウイルスチェックもできるデータのアップロードサービスの利用」がおすすめです。 

【関連記事】

メールの件名や本文に日本語が使われている

マルウェアには日本語以外の言語の件名が使われていることもありますが、今回発見されたEmotetに感染したメールには日本語が使われていました。 
そのため、すでにいくつかの日本企業がEmotetに感染したのではないか、と考察されています。 

メールの件名や本文が日本語だからと安心せずに、よく文字を読んで「開くか」「そのままにするか」判断すること大切です。 

文字化けや、日本語が不自然なメールを見つけたら、メールを開かないことをおすすめします。 

過去に確認されたEmotetの攻撃の手口

過去に確認されたEmotetの主な攻撃な手口はこちらです。 

• Office製品のアップデートを装う 
• ウイルス感染したzipファイルを送ってくる 
• 過去のメールのやりとりを装う 

Emotetは、「Microsoft Office製品のアップデート」を装ったメールを送ってくることがあります。トロイの木馬型のマルウェアは、人をだますという特徴があり、Emotetも同様です。 

メールの添付ファイルも、マルウェアの罠のひとつなので注意してください。 
もし、心当たりのないアドレスからZIPファイルが送られてきた場合は安易に開かないようにしましょう。パスワード付きのZIPファイルでも、安全は保障されていません。 

また、感染したPCのデータから、過去のメールのやりとりを装って、PCに登録されているメールアドレスへメールを送ってしまうことがあります。この場合、返信を表す「RE:」や「Re:」が件名につくことも。 

こちらは他者への被害拡大となりますので、Emotetに感染したPCを使用しないように注意しましょう。 

Emotetの感染を防止する方法

Emotetの感染に対する防止策はこちらです。 

• 社員教育を行う 
• PPAPを止める 
• 「EmoCheck」で確認する 
• ウイルス対策ソフトを最新の状態にアップデートする 
• 添付ファイルはアップロードサービスを利用して送付する 

まずは、PCの取り扱いやメールに関するルールを社内で決めて、社員教育を行うことが大切です。 
常にウイルス対策ソフトのアップデートを行い、添付ファイルをメールでやりとりしないように指導します。 

また、添付ファイルを送るメールとパスワードを送るメールを別々に用意する「PPAP」を採用している場合も安全とは言えないため、脱PPAPを行います。 

脱PPAPとして有効な手段は、添付ファイルを「ファイルのアップロードサービス経由」で送付することです。セキュリティを重視した添付ファイルのやり取りの場合、有料のファイルアップロードサービスの利用をおすすめします。 

感染してしまった時の対処

業務で使用するPCや自宅のPCがEmotetに感染してしまったら、そのPCにつながるネットワークを切断することが大切です。 
また、感染した端末は初期化しましょう。データが消えてしまうため、日ごろからバックアップを取るようにしておくと安心です。 
こちらでは「Emotetに感染した時に直ちに行うべき対処」について、いくつかご紹介します。 

感染した端末につながるネットワークを切断する

「Emotetに感染してしまったかもしれない…」と思ったら、まず、ネットワークの切断を行います。 
感染した端末が、いつまでもインターネットや社内ネットワークにつながっていると、同じ回線を使っている他の端末にEmotetをうつします。 

社内や社外に感染を広めないために、感染した端末を一刻も早くネットワークから遮断してください。 

感染確認には「EmoCheck」が便利です。 

Emotet以外のマルウェアの感染がないか確認する

マルウェアはEmotet以外にも存在します。 
Emotetは2023年３月に活動を再開するまで、しばらく息をひそめていましたが、その間もマルウェアによる情報漏洩やデータ破壊の被害は絶えませんでした。 

ウイルスソフトでスキャン（完全スキャン）を行い、ウイルスの感染を確認します。 
感染が危ぶまれる場合は、社内全ての端末をチェックすることが、被害拡大防止の上で大切です。 

また、最近はEDR（Endpoint Detection and Response）と呼ばれる、ユーザーが利用するパソコンやサーバー（エンドポイント）における不審な挙動を検知するソフトも種類が増えているので活用できます。

「ウイルスかな？」と思う怪しい動きを発見したら、セキュリティベンダーと契約している場合はすぐに連絡を入れ対処法の指示を受けてください。 

セキュリティベンダーと契約していない場合は、すぐに上長に報告を入れましょう。 

メールアドレスやパスワードの変更

Emotetは、メールを媒介とするマルウェアです。感染した、または感染の疑いがある場合、該当メールアドレスは、パスワードも含めて変更しなければなりません。すでに感染が広まってしまった場合は、その端末のメールアドレスの変更も必要です。 

メールアドレスの変更は、二次感染を防ぐために行います。業務に支障が出ない場合、アカウント自体の変更、削除も有効です

他の端末にうつさないように注意喚起を行う

Emotetに感染してしまったら、感染の事実を隠さずに注意喚起を行ってください。 

注意喚起の方法 

• 上長やシステムの管理者に報告（社内ルールに従う） 
• 取引先に連絡する（自社のメールを開封しないようにお願いする） 
• 自社サイトにお知らせを掲載する 
• SNSを使って発信する 

おすすめの添付ファイルアップロードサービス

Emotetの感染を防ぐために、添付ファイルを送る際は、添付ファイルのアップロードサービスが便利です。 
添付ファイルのアップロードサービスをお探しの方には、サイバーウェイブジャパンの「Mail File Link」（メールファイルリンク）をおすすめします。 

添付ファイル付きのメールを送ると、一旦「ASFilter」にファイルが保存されます。 
ASFilterでは「ウイルスチェック」と「通信・ファイルの暗号化」を行いますので、不正なファイルを送受信しません。Emotet対策としてご利用いただけます。 

「Mail File Link」（メールファイルリンク）をご利用いただくと、ASFilterから「ダウンロードURLとパスワード」が送信者に送られます。ウイルスチェックを行ったファイルを受信していただくことになりますので、先方にウイルスを送り付けることがありません。 

公式サイト「Mail File Link」（メールファイルリンク） 

Emotetの感染機会は工夫で減らせる

活動を再開した「Emotet」の感染を防ぐために、受信したメールの添付ファイルを安易に開かないことはもちろん、添付ファイルを送る際に直接メールに添付しないようにします。 

社内でメールのルールを作成し、添付ファイルの送受信方法を工夫することで、Emotet感染の機会を減らすことは可能ですので早めに対策しましょう。 

Emotet対策、脱PPAPにはサイバーウェイブジャパンの「Mail File Link」（メールファイルリンク）のご利用をおすすめします。 

お問い合わせはこちら

この記事のポイント

• 1:2023年のEmotetの特徴は？

  今までのEmotetにはない、2023年3月以降に新たに確認されたEmotetの特徴はこちらです。

  • EmoCheckで検知できないケースもある
  • 500MBを超えるWordの添付ファイル文書
  • メールの件名や本文に日本語が使われている

  詳しくは「2023年3月のEmotetの特徴」」をご覧ください。

• 2:Emotetの感染を防止するには？

  Emotetの感染を防止する方法はこちらです。

  • 社員教育を行う
  • PPAPを止める
  • 「EmoCheck」で確認する
  • ウイルス対策ソフトを最新の状態にアップデートする
  • 添付ファイルはアップロードサービスを利用して送付する

  Emotetに感染しないために、添付ファイル付きのメールを安易に開かないよう、また添付ファイルを直接メールでやりとりしないよう社員教育を行うことが大切です。

  詳しくは「Emotetの感染を防止する方法」をご覧ください。

  また、サイバーウェイブジャパンでは、添付ファイルのアップロードサービス「Mail File Link（メールファイルリンク）」をご用意しております。詳細はお問い合わせください。