Emotetは、他のマルウェアと比較して、感染を拡散する能力が高く、感染すると個人情報が漏洩する可能性があります。

最近は、企業の個人情報の管理について厳しい規制があるため、Emotetに感染した場合、被害状況や感染経路を調査し、関係者や個人情報保護委員会に報告する必要があります。

感染した場合は、冷静に対応し、抜け漏れがないように適切な手順を踏みましょう。この記事では、Emotetの手口、感染確認方法、および対応策を詳しく説明します。

＼サイバーセキュリティ専門家へ24時間365日で無料相談／

Emotet（エモテット）とは：トロイの木馬

Emotetは、なりすましメールの添付ファイルから感染するトロイの木馬型のマルウェアです。遠隔操作でコンピュータを制御し、パスワードやクレジットカード番号などの情報を収集するため、さまざまなマルウェアをダウンロードします。

盗まれた情報は、外部のコマンド＆コントロール（C2）サーバーに送信されます。企業の場合、盗まれたデータに顧客や取引先の情報が含まれている場合、広範囲に被害が及ぶ恐れがあるため、企業は被害範囲や脆弱性を特定し、関係者や行政に周知する必要があります。

この際、サイバーセキュリティの専門業者でデータ漏えいの経路や被害範囲を特定することが重要です。また、不正アクセスのログから攻撃者が行った操作を解析することで、攻撃手法や脆弱性の特定にも繋がります。セキュリティ上の問題に対処するためには、早期に調査を実施することが重要です。

デジタルデータフォレンジックは、官公庁、上場企業、捜査機関等を含む幅広いインシデント対応経験を持つ専門の担当者とエンジニアが対応しており、安心して調査を任せることができます。まずはお気軽にご相談ください。状況のヒアリングと対応方法、お見積りを、24時間365日体制で無料で受け付けております。

【重要】被害調査は専門家と提携することが重要

Emotetに感染した場合、個人で操作、初期化すると感染痕跡が上書きされ、被害の全容が掴みにくくなる恐れがあります。なぜ被害の全容が掴みにくくなることがリスクになるのかというと、脆弱性の把握はもとより、漏えいしたデータなどが分からなくなるからです。2022年4月には改正個人情報保護法が施行され、個人データの漏えい等が発生した場合の報告義務及び本人に対する通知義務が新設されました（22条の2、1項）。

よってフォレンジック調査を活用して被害実態を調査することが望ましいです。

フォレンジック調査で出来ること

フォレンジックは端末に残されたログから、流出情報などを調査する技術です。フォレンジック調査は、情報漏えいやサイバー攻撃などの事件発生時に被害状況を正確に把握し、対処するために非常に有用な手段となります。

たとえばフォレンジック調査では、以下のようなことが可能です。

• 不正アクセスのログ解析：不正アクセスされた経路や侵入時刻、犯人の行動履歴などを特定することができます。
• データ復元：削除されたデータやファイルを復元することができます。
• マルウェア解析：感染しているマルウェアの種類や挙動を分析することができます。
• パスワード解析：暗号化されたファイルやデータベースのパスワードを解析することができます。
• 不正利用の証拠発見：不正行為の痕跡や証拠を発見することができます。

これにより端末に残されたログから漏えいデータや感染経路（脆弱性）を特定できます。また、ネットワーク内に広がる感染状況を確認することで再発防止策を練ることもできます。

なお、Emotet感染時のフォレンジック調査を行うメリットは、主に次の2つがあります。

①専門エンジニアの詳細な調査結果が得られる

フォレンジック調査の専門会社は、専門エンジニアが正しい手順でEmotetの感染被害を確認できます。社内や個人で調査するよりも、より正確にハッキング被害の実態を確認できます。自社調査だけでは不適切なケースがありますが、フォレンジック専門業者と提携することで、調査結果をまとめた報告書を作成し、公的機関や法廷に提出することができます。

②セキュリティの脆弱性を発見し対策できる

フォレンジック調査では、Emotetによる感染経路や被害の範囲を正確に把握することが可能です。たとえば具体的にどのような経路でEmotetが侵入し、感染によってどのような被害が発生したのかを詳細に調べることができます。さらには、Emotetによって盗まれた情報の詳細や、感染が拡大した組織内の部署や端末、情報流出の有無も把握できます。

また調査によりセキュリティ設定が不適切だったと発覚した場合、今後の改善点を明確にすることができ、同様のサイバーインシデントを防止することができます。

Emotet（エモテット）は「なりすましメール」で感染する

Emotet（エモテット）は「なりすましメール」で感染します。

Emotetによるなりすましメールの特徴は、送信元アドレスや日付が不審なものであることや、内容が不自然であることです。また文面に誤字脱字が多く、不自然な表現が含まれている場合もあります。不自然な文面の例としては、「ご利用のアカウントに異常があったため、ログインの確認をお願いします」「添付ファイルに関する重要なお知らせがありますので、ご確認ください」など、通常のメールと異なる内容が含まれていることが多いです。

注意深くメールを確認し、不審なものがあれば開封しないようにすることが、Emotetによる感染を防ぐための重要な対策のひとつです。

Emotet（エモテット）のなりすまし攻撃9選

Emotetの攻撃パターンは、大きく分けて次の通りとなっています。

いずれも過去に、知人や取引先とやりとりした文章が使われることが多く、メール下部の署名欄にも実在する企業のものが使われています。そのため、うっかり開封してしまい、感染してしまったというケースが後を絶ちません。

ここからは、より詳細な攻撃手法を見ていきましょう。

①マクロ付きファイルを添付した攻撃

Emotetは、Officeファイル（.doc、.docx、.xlsx、.xlsm）にマクロを添付して攻撃することが主な手法です。

マクロとは、複数の操作を簡単に実行するための機能であり、開封時に「コンテンツの有効化」をクリックすることで自動的に有効化されます。メールにOfficeファイルが添付されている場合は、注意深く確認し、何か不審な点があれば開かないようにしましょう。

②ウイルス入りのパスワード付きZIPファイルを添付した攻撃

この手口では、添付ファイルが暗号化されているため、セキュリティを通過しやすく、開封してしまう確率が高くなります。

この際「コンテンツの有効化」を選択することで、Emotetに感染するという流れになっています。

③不正URLを添付した攻撃

メール本文に記載されているURLは安易にクリックしないでください。これはフィッシングURLと呼ばれ、クリックした瞬間、Emotetが梱包されたファイルがインストールされる恐れがあります。メールに記載されたURLは、疑ってかかるように見たほうがよいでしょう。

④時事的イベントを取り扱った攻撃

Emotetの本文には、時事や季節に沿った内容が含まれることがあり、見覚えのある相手からのメールと思われる場合、うっかり開いてしまいがちです。

また、以前は不自然な日本語が多かったのに対し、今では自然な流れに巧妙に細工が施されるようになっています。しかし、恐怖をあおりすぎたり、大げさな内容が書かれている場合や、過去に季節イベントにまつわるメールを受信していない場合、詐欺の可能性が高いため、送信者本人にヒアリングすることをおすすめします。

⑤ショートカットファイルを悪用した攻撃

これは「.lnk」というショートカットファイルの拡張子を悪用した攻撃で、クリックするだけで感染してしまいます。これはEmotetの最たる特徴である「Officeファイル」を用いない攻撃のため、Emotetではないと誤解して開いてしまったという事例も存在します。

メール本文に添付された「.lnk」というショートカットファイルは、Emotetにかぎらず、不正なマルウェアを誘導する可能性があるので、絶対に実行しないでください。

⑥クレジットカード情報を窃取する攻撃

Chormeブラウザに登録された情報は安全に保存されていますが、Emotetに感染すると登録されたクレジットカード情報が漏えいする恐れがあります。この場合、新機能は、金銭的な被害につながる可能性があるため、警戒が必要です。ブラウザに金融・決済情報を登録するのは避けましょう。

⑦Excelで偽の指示をおこなう

これは2022年11月頃から続々と報告されている攻撃事例です。これまでの攻撃手口は「コンテンツの起動」を促すものでしたが、今回はExcelを特定のフォルダにコピーし、そのファイルを開くよう促すという手口に変化しています。

この場合、マクロ機能を無効にしていても強制的に実行されますので、不審な指示には従わないようご注意ください。

⑧巨大ファイルを利用する攻撃

2023年3月から、巨大ファイルを利用した、Emotetnの攻撃メールが出回っています。メールには、500MBを超える巨大なZIPファイルが添付され、セキュリティツールでは検知しにくいとされています。展開すると、複数のマルウェアが侵入する可能性があるため、注意が必要です。ウイルス対策ソフトを最新版にしておき、不審なメールが届いた場合は、添付ファイルを開かずに削除しましょう。

⑨「OneNote」経由で感染させる手口

IPAによれば、2023年3月から「Microsoft OneNote」形式のファイルを悪用する手口が確認されています。この手口では、攻撃メールに添付されたMicrosoft OneNote形式のファイルを開き、「View」ボタンをダブルクリックすると、Emotetに感染する悪意のあるファイルが実行される危険があります。（攻撃メールの内容はこれまでと同じです）

Emotet（エモテット）感染時の症状7選

Emotetに感染すると次のような被害が起こります。

この際、感染拡大を目的としたメールが勝手に送信される可能性がありますので、マクロの自動実行を無効化するなど、感染予防対策を事前に行うことも必要です。

①機密情報が漏えいする

Emotetに感染すると、機密情報が漏えいする可能性があります。Emotetは銀行口座のログイン情報やクレジットカード情報などを収集するため、個人や企業にとって大きな脅威となります。また、このような情報が漏えいすることで、企業の信頼性が損なわれるだけでなく、被害者に対する損害賠償や風評被害などで経済的な損失にもつながる場合があります。したがって、Emotet感染を防ぐことは、個人や企業にとって重要な課題となります。

②経済的損失

Emotetは、感染したコンピュータから銀行や金融機関の情報を盗み出し、不正な取引を行うことができます。これによって経済的損失が生じる可能性があります。

また、Emotetによりシステムが停止したりデータが消失したりするなどの問題が発生した場合、顧客からの信頼性やビジネスの利用可能性が低下し、さらなる経済的損失が生じる可能性があります。

③システムにバックドアを作成される

Emotetに感染すると、システムにバックドアが作成されます。

バックドアとは、セキュリティを回避するために意図的にネットワーク上に作成された不正な入り口のことを指します。つまり、正規のアクセス方法を回避し、秘密の手段を使って不正にシステムやネットワークに侵入するものです。

バックドアの悪用により、別のマルウェアやスパムメールを配信するなどの攻撃が可能になるため、企業にとって非常に深刻な問題となります。ネットワーク上で不審な挙動が見受けられる場合、バックドアが存在する可能性が高いため、サイバーセキュリティの専門家に相談することをおすすめします。

＼サイバーセキュリティ専門家へ24時間365日で無料相談／

④社内のデバイスへ伝染する

Emotetは拡散力が強く、社内のデバイスへ伝染することは珍しくありません。社内のデバイスへの感染は、重大な問題です。感染したコンピューターが悪意のある攻撃者によって制御されると、企業の機密情報が漏洩する可能性があります。さらに、感染が拡大すれば、システム全体がダウンする可能性もあります。

⑤ランサムウェアに感染する

Emotetは「マルウェアのプラットフォーム」とも呼ばれており、感染するとほかのマルウェアに連鎖的に感染してしまうことがあります。とくに代表的なものがランサムウェアです。

ランサムウェアは、コンピューターウイルスの一種で、端末内のデータを暗号化し、データを戻すことと引き換えに身代金を要求します。もしデータが全て暗号化された場合、業務が停止するといった最悪のケースの可能性があります。バックアップからデータを復旧できる可能性もありますが、データを抜き取られている可能性が高いため、調査が必要になります。

⑥ネットワークを経由し、スパムメールを拡散させられる

Emotetに感染するとネットワークを経由して、スパムメールを拡散させられる場合があります。この際、組織内のセキュリティに深刻な影響を与える可能性があります。

なお、感染した端末から送信されるスパムメールには、一般的に偽の請求書や配達通知、金融機関からの偽警告などがあります。これらのスパムメールには、添付されたドキュメントやリンクをクリックすることで、さらに悪質なマルウェアがダウンロードされる可能性があります。また、Emotetに感染した端末は、受信したメールアドレスを自動的に収集し、新たなスパムメールの発信先として悪用されることもあります。

この場合、フォレンジック調査を行うことで感染した端末やネットワーク内で送信されたスパムメールの情報を収集し、感染源の特定や拡散経路の解明を行う必要があります。また、感染を未然に防ぐためには、定期的なセキュリティ対策や社員の教育・啓発が必要です。

⑦取引先にEmotetをばらまく踏み台となる

社内で使用していたパソコンがEmotetに感染すると、グループ会社の従業員を装った不審なメールが大量に取引先に送信され、グループ企業全体に感染が広がってしまったということも少なくありません。これによって、企業や個人の信頼性が低下する可能性があります。

個人情報の漏えいに遭遇した場合、企業はどうすればいいのでしょうか。まずは感染経緯を公式HPに掲載し、取引先に説明することで、社会的責任を果たすことができます。次に、顧客のプライバシー保護のために、個人情報が漏えいした顧客の相談窓口を設置することが望ましいでしょう。このような取り組みは、企業の信頼性向上につながります。

被害調査は専門家と提携することが重要

Emotet被害の調査では、端末を解析するフォレンジック調査の専門知識が必要です。

ハッキング調査の専門家は、情報システムに対する脆弱性を詳細に調査し、データ漏えいやマルウェアの感染有無を確認することができます。

また、専門家は、ネットワークトラフィックの解析ツールを使用して、Emotetが送信した通信を特定し、どの情報がどの経路で漏えいしたのかを分析することができます。

これにより、情報システムのセキュリティ上の問題を特定するだけでなく、中長期的に見て、企業のデータ管理と保護に役立ちます。

＼サイバーセキュリティ専門家へ24時間365日で無料相談／

フォレンジック調査の詳細については下記の記事でも詳しく解説しています。

フォレンジック調査のメリット・活用事例・業者選定のポイントを解説フォレンジック調査とはデジタル機器を調査・解析し、「法的証拠」に関わる情報を抽出し、インシデントの全容を解明する調査です。フォレンジック調査会社では、警察でも使用される技術を用いて、サイバー攻撃からハッキング、情報持ち出しや横領などの調査を行います。本記事ではフォレンジック調査の必要性・活用事例・業者選定のポイントを解説します。...

Emotet（エモテット）感染時、企業のとるべき対応とは？

Emotet（エモテット）感染時、企業のとるべき対応は基本的に次のとおりです。

1. システムの復旧：感染したコンピューターのシステムを復旧します。これには、パッチの適用や、セキュリティ設定の強化などが含まれます。
   
2. 顧客や個人情報保護委員会への通知：マルウェア感染が企業の顧客に影響を与えた場合、事実を正確かつ迅速に、顧客と個人情報保護委員会に通知することが重要です。
   
3. Emotetの感染調査に対応している業者に相談する
   フォレンジック調査により、感染の原因や影響範囲などを詳細に分析し、今後の対策に役立てることができます。

企業は、1件以上の個人データの漏えい、または漏えいの恐れがある場合でも、どのような経路で感染が広がり、どの情報が盗まれたかについては調査・特定し、被害者本人や行政機関に報告する必要があります。もし、これら義務を怠った場合、賠償金を支払う必要があることにご留意ください。

2022年4月から改正個人情報保護法が施行

2022年からは、「改正個人情報保護法」が施行されます。これにより、個人情報が漏えいした場合、企業は必ず調査を行う必要が出てきました。たとえば「情報漏えいの有無や規模」「サイバー攻撃の感染経路」「影響範囲」を調査し、関係者に報告しなければなりません。もし、ルール違反を犯した場合、厳しいペナルティが課せられることもあります。

しかし、このような対応を自社で行うことが難しいため、漏えい有無や感染経路を調査する場合、正しい手続きを踏まえられる「フォレンジック」の重要性が年々高まっています。この技術を使うことで、脆弱性を特定し、再発防止に向けた取り組みを行うこともできます。

Emotet（エモテット）に感染が疑われるときの対応11選

Emotet（エモテット）に感染が疑われるときの対応は次のとおりです。

①Emotet感染の有無をチェックする： Emocheckを使う

一般社団法人JPCERTコーディネーションセンターは、Emotetの感染有無を確認できる「Emocheck」を公開しています。その使い方は以下の通りです。

なお、Emocheckは他のマルウェアは検出できないため、完全なセキュリティ対策ができるわけでないことに注意する必要があります。Emotet感染が発覚した場合はサイバーセキュリティの専門家に対応を依頼するようにしましょう。

＼サイバーセキュリティ専門家へ24時間365日で無料相談／

②他のマルウェア感染の有無を調査する

Emotet感染時に他のマルウェア感染の有無を調査することが重要です。理由としては、Emotetが感染した端末から他のマルウェアをダウンロードすることがあるためです。

たとえばEmotetはバックドアとして機能し、感染した端末にリモートアクセスすることで、さまざまなマルウェアをダウンロードして実行することができます。そのため、Emotet感染時には、他のマルウェア感染の有無を調査し、早期に発見して対応することが重要です。

③感染した端末のネットワークをインターネットから遮断する

Emotetは自己増殖機能を持ち、感染した端末からネットワーク内の他の端末にスパムメールで感染を広げることができます。この際、端末のネットワークをインターネットから遮断するのが有効です。これにより感染拡大を防止し、被害を最小限に抑えることができます。

④アカウントのメールアドレスとパスワードを変更する

アカウントのメールアドレスとパスワードが漏えいしてしまうと、攻撃者による不正なアクセスや情報漏えいなどの被害が発生する可能性があります。そのため、アカウントのメールアドレスとパスワードを変更することで、被害を最小限に抑えることができます。

⑤セキュリティ対策ソフトで保護する

ウイルス対策ソフトは、ウイルス付のメールや感染したファイルなどを見つけ感染を防いでくれますので、出来るだけ使用し端末の中身をスキャンして感染の有無を確認しましょう。

⑥セキュリティパッチを適用する

Emotetは既知の脆弱性を利用して感染を拡大することがあるため、セキュリティパッチを適用することが重要です。なお、これらの脆弱性は、製品のメーカーによって修正されることがありますが、未修正のまま放置されると、攻撃者による悪用のリスクが高まります。そのため、パッチを適用することで、Emotetの感染リスクを軽減することができます。

⑦PowerShellやマクロの実行をブロックする

EmotetはPowerShellやマクロを利用して感染を拡大することがあるため、PowerShellやマクロの実行をブロックすることが重要です。PowerShellやマクロの実行をブロックすることで、Emotetの感染拡大を防止することができます。

⑧メールサーバーのログを確認する

Emotetに感染すると、膨大ななりすましメールが関係者や取引先に送信されます。よって送信メールが大量に増えていないか、メールサーバの送受信ログを確認しておきましょう。

なお、取引先などから不審なメールが送られてきたと連絡を受けた場合、すでになりすましメールが自社のメールサーバーから大量に送られていることが考えられます。この場合、すぐメールサーバーのログ情報を確認するようにしましょう。

⑨トラフィックログを確認する

トラフィックログを確認することで、外部への通信を把握することができます。ひとつの端末から外部のIP アドレスに対して不自然なアクセスが発生していないか、確認しておきましょう。

⑩個人情報保護委員会に報告する

電話番号など個人が識別できる情報の漏えいが確認された場合、2022年4月より「改正個人情報保護法」に基づき、個人情報保護委員会まで報告が義務付けられています。

⑪Emotetの感染調査に対応した業者に相談する

Emotet感染が疑われる場合、普通の人が調査を行っても、正確に把握することはできません。また、感染が疑われる場合、不注意に操作すると、感染経路の特定が困難となり、被害の全容を把握することが難しくなります。

特に法人の場合、個人情報保護法の観点から、行政機関に報告書を提出する必要があります。しかし、自社調査だけでは、客観的で正確な調査とはみなされません。

一方、Emotet(エモテット)の感染調査に特化した業者は、特殊技術である「フォレンジック」を活用して、どのようなマルウェアに感染したか、または感染経路や情報漏えいの有無などを適切に調査することができます。

＼サイバーセキュリティ専門家へ24時間365日で無料相談／

Emotet（エモテット）感染時の注意点

Emotet(エモテット)感染時、次の3つに注意してください。

• 感染が疑われる場合、端末を隔離する
• 端末を初期化しない
• 被害調査を自社で行わない

感染が疑われる場合、端末を隔離する

感染端末は他の端末へ感染を広げていきます。時間経過とともに広がるので、物理的に隔離しないまま使用するのはやめましょう。

端末を初期化しない

端末を初期化すると、感染の被害範囲の痕跡が全てなくなります。どんなことが起こるのか予測も立てられないため、おすすめしません。

被害調査を自社で行わない

Emotet(エモテット)に感染して何かしらの個人情報が漏えいした場合、取引先へのダメージは計り知れません。感染後の被害で多いのが次の２つです。

• 社外秘の機密データが漏えいしてしまっている
• なりすましメールから取引先にEmotet(エモテット)感染をさせてしまっている

この場合、被害者であるはずなのに加害者側として説明責任を求められるケースもあります。そのため、感染経路や被害規模、情報漏えいの有無を特定・調査する必要があるのですが、これは自力での対応が困難作業です。不適切な自社調査により、信用の失墜や取引停止などの可能性も考えられるため、Emotetの感染調査をおこなう場合は、マルウェア調査の専門業者まで対応を依頼されること絵をおすすめします。

※１　累計ご相談件数32,377件を突破（期間：2016年9月1日～）
※２　データ復旧専門業者とは、自社及び関連会社の製品以外の製品のみを対象に保守及び修理等サービスのうちデータ復旧サービスを専門としてサービス提供している企業のこと
第三者機関による、データ復旧サービスでの売上の調査結果に基づく。（集計期間：2007年～2020年）

Emotet調査・対策を行う場合、専門業者に相談する

＼法人様・個人様問わず対応　24時間365日無料相談OK！／

Emotet調査会社への相談方法

＼法人様・個人様問わず対応　24時間365日無料相談OK！／

Emotet調査の料金・目安について

まとめ

Emotet(エモテット)の恐ろしい点は、他のマルウェアへの感染を加速させることにあります。また、一度なりすましメールが送信されてしまうと、それを止めることは非常に困難です。感染後の被害は社内のみならず、社外まで及ぶため感染前対策をしっかり行い、感染しないことが一番です。万が一感染してもその後の冷静な対応が求めます。

常日頃からマルウェアの感染を防ぐ基本的な対策方法を周知・徹底するとともに、Emotetの感染が発生してしまった場合の対応方法や相談先も事前に整理しておきましょう。