Emotet (エモテット) ウィルスに関する情報 (特徴・仕組み・対処方法など)

ここ何年も流行し続けているやっかいなマルウェアです

ウィルス感染に関するサポートを行っている当店には、ウィルスに関係するご相談が多く寄せられています。
ここ数カ月間に限定すれば、このエモテット・ウィルス に関するご相談が急増している印象があります。ご相談の中でもお話する内容ではありますが、初手の段階で間違った行動を取られないよう、その特徴と概要についてご説明します。

皆様が良く間違ってしまう事例についても解説しますので、お時間のある時にお読みいただき、当該ウィルスに感染しそうになった時に思い出していただきたいと切に願います。

このEmotetウィルスは、とても良く練られたウィルスで、感染してしまう事例がとても多いです。また私用・お仕事を問わず、多くの方とメールなどでコミュニケーションを取られている方ほど、危険にさらされやすい特徴があります。他人事と思わずに最大限の注意を払ってください。

Emotetウィルスの特徴

感染までの流れ

✅ エモテット・ウィルスは、メールに添付された文書などのデータを通じて感染を広げます。
✅ メールの文面は巧妙に偽装されており、日々やりとりしていそうな体裁を整えて送られてきます。
✅ 用件、差出人の名前、添付データのファイル名などが、いかにも日々やりとりしているような名前になってます。
✅ メールを本物だと信用してしまい、クリックし実行すると、ウィルスに感染します。

被害者が加害者になる仕組み (前振り)

ここで、登場する人物は、大きく3人。
被害者 – エモテットウィルスに感染してしまう方、もしくはその方のパソコン。実は感染した瞬間から『加害者』に変わってしまっているが、まだ本人は被害者であることも、加害者であることも判っていない。ウィルスや今回のエモテットの情報を持っている方ならば、『添付ファイルをクリックしてしまた。ウィルスに感染したかも?』と思えるタイミングはあるかもしれない方。

加害者 – すでにエモテット・ウィルスに感染し、被害を拡大させるための活動をしているパソコンの所有者。この人もまた、自分自身がウィルスに感染していることも、加害者であることも判っていない場合が多い。時間だ経つと色々な経路から情報が入り、自身のパソコンが『ウィルスの発信源なのでは?』と気づけるタイミングがある。

関係ない第三者 – 被害者か加害者とメールなどで連絡を取り合ったことのある知り合い・関係者の方。いずれかのパソコン内にこの第三者の情報が含まれていたことで今回第三者として登場してしまう方。今回、ウィルス感染騒動の中で加害者の疑いをかけられる、もっとも災難な方とも言える人物。 (ウィルスの性質上、圧倒的に第三者を騙ったメールであることが多いです。)

被害者が加害者になる仕組み (活動の内容)

エモテットの活動内容をまとめますと、
被害者のパソコンから、メールの情報、例えばアドレス帳の情報や、日々とりとりしているメールの送受信内容を盗み見て、エモテット最大の特徴である本物っぽい偽メールを捏造します。
被害者のパソコンにあるメールソフトの機能、そして送受信に必要なメールアカウントの情報や環境をハッキングし、被害者 もしくは 関係ない第三者名前をかたって、捏造したメールの送信を行います。もちろんこのメールにもウィルスが仕込まれた添付データが添えられていて、受信者がうっかり開きたくなるようなメールに仕立てられています。
・ エモテットの特徴として、これらの再感染につながる活動を、被害者側のパソコンを利用せずに、過去に感染させた別の被害者のパソコンを用いて送信するなど、連携システムのような仕組みがあります。被害者を判りにくくする仕組みのせいで、ウィルス感染の発覚までに時間がかかる効果があります。

エモテットが活動をすると、その後起こること (1)

少数事例かもしれませんが、感染してしまった加害者が、そのまま差出人となって捏造したメールが送信された場合、これはその後のやりとりでメールの出所がすぐに判明する事例です。
現在のエモテットは進化していて、この事例に該当するようなシンプルな事例は減ってきています。

加害者が差出人のメールが被害者に届くところから始まります。~
被害者:(メールを受信) 『何だ?このメール。』
被害者:添付ファイルがあるけど、何でこのタイミング?
被害者:違和感を感じて、送信元に連絡を取ってみる。

被害者:(電話) ●●の件で請求書が届いておりますが、これは?
加害者:(電話)あぁ、お世話になっております。メールですか?

★パターン (1-a) まだ自身が加害者であることに気づけていないケース
加害者:担当曰く、当方からは送っていないようですが・・・
加害者:調べてみて何か判ればご連絡します。
お互いに、モヤモヤした状態で電話を終えるパターン。このあと加害者側で感染の事実が発覚し、大騒ぎになっていく・・・という事例です。

★パターン (1-b) あちこちから問い合わせがあり、加害者であることが判明しているケース
加害者:すみません、同様のお問い合わせがあり当方でウィルスに感染した可能性があります。現在パソコンを停止して原因を分析しております。状況がまとまり次第改めてこちらからご連絡いたします。

未然に気づけたケースなので、被害者は被害者にならず、加害者が加害者であることも判明し、この二者間では事態が判明した事例です。加害者側には、そのまた加害者がいる訳なので、加害者側の調査は難航する可能性も秘めています。

エモテットが活動をすると、その後起こること (2)

差出人が偽装されている場合が多いので、まずは差出人が偽装されているパターンで示します。(第三者加害者で無い事例)
この事例では、メールに添付されたファイルを開く前に気づけたという事例と、その後問い合わせた顛末まで。

第三者が差出人のメールが被害者に届くところから始まります。~
被害者:(メールを受信) 『何だ?このメール。』
被害者:添付ファイルがあるけど、何でこのタイミング?
被害者:違和感を感じて、送信元に連絡を取ってみる。

被害者:(電話) ●●の件で請求書が届いておりますが、これは?
第三者:(電話)あぁ、お世話になっております。メールですか?
第三者:確認しましたが、当方からお送りしたメールではないですね。
被害者:そうですか。判りました。お手数をおかけしました。

この事例では、幸い感染被害が広がらず、それぞれ以下のような状況が判りました。

被害者 (厳密には感染していないので、被害者にはなってません。)
・お取引しているだれかのパソコンが感染していて、自分にウィルス付きのメールが来たこと。
・差出人の第三者さんは、感染源加害者ではないこと。(疑ってゴメンね。>第三者さん)

第三者
・当方の情報が勝手に利用され、何らかのウィルスにより『当方が発信したメール』が流通していること。
企業様であれば、自社の信用にも関わる話しなので、この時点で調査要員を確保して、社内で利用しているパソコンの確認は必要になるかと。後手にならないようできるだけ事前に身の潔白を示す情報を確保することが大事です。自社サイトやSNSなど社外に発信する手段をお持ちであれば、調査の段階に応じて適切なタイミングで情報を発信することも重要です。

エモテットが活動をすると、その後起こること (3)

届いたメールを完全に信用してしまい、添付ファイルを解凍し、中にあった文書ファイルを開き実行してしまった事例。
残念ながらエモテットが爆発的に被害を拡大しているのは、この事例が多いからです。

第三者が差出人のメールが被害者に届くところから始まります。~
被害者:(メールを受信) 『何だ?このメール。』
被害者:請求書?あれ今月分はまだ対応してなかったっけ?
被害者:とにかく言ってきてるんだから、書類の中身を確認しよう。対応はそれからだな。
被害者:(圧縮ファイルを解凍し、中のファイルを実行する。)
被害者:あれっ?うまく開かないぞ。ファイルが壊れているのかな?【A】
被害者:あれっ?違うデータが出てきたぞ。送り間違ったのかな?【B】
~いずれにしても、ここで感染に必要な作業が完了します。ウィルス対策ソフトが検知できなければ感染確定です。~
被害者は、ウィルスに感染し、この方はこの時点から加害者になりました。

★パターン (3-a) まだ完全に信じているケース

加害者:連絡して、もう一度送ってもらうようにお願いしよう。
・・・その間にも、加害者のパソコンから、捏造メールが送信されたり、アドレス帳やメールの送受信データが外部に漏れ続けていますよ~。

★パターン (3-b) あれ?なんか変な感じがするぞ、のケース

加害者:とにかく、第三者に連絡して、メールを送ったか確認しよう。ウィルスだったら大変だぞ!
~送信元は送っていないことが判明し、ウィルス感染の可能性について大騒ぎになるケースか、そのままウヤムヤにしてしまうケースもあります。~

★パターン (3-c) 完全にやらかしたと確信!ヤバい感染したかも!のケース

加害者:とにかく、ネットワークを切ろう!
ウィルス感染時に、LANケーブルやWi-Fiから切断しておくことは、時間を稼ぐ、他者に被害を広げない目的で大変有効な手段です。
加害者:気心の知れている方に変なメールが届いていないか電話で確認をする。
加害者:パソコン内の大事なデータを保全する目的で、バックアップをする。USBメモリやHDDは、別のものが理想的。(既存のものを使うと二次感染被害の可能性が生じるので。)

エモテット・ウィルスが感染拡大をひき起こす最大の特徴は・・・

エモテット・ウィルスの怖いところは、加害者が加害者であることに気づくタイミングが遅くなる傾向が強く、直接の感染を起こす操作をした時に気づけないと、それ以降のきっかけがあまり無いことです。届いたメールの添付データを解凍し実行するか、否かで、その後の運命が変わります。

エモテットかな?と気づける着目点

✅ メールに添付されているExcelなどのファイルは、パスワード付きのzipファイル(圧縮ファイル)形式で添付されていることが多いです。これはウィルス対策ソフトがzipファイルを回答して中のファイルを検査できないようにする為だと言われています。パスワード付きzipファイルでデータのやりとりをしていない方なら、こういう形式になじみが無いので違和感を感じられるかも。

✅ zipファイルを回答するパスワードも、同じメールに記載されていることが多い。企業間で取り交わされるzipファイル付きメールの場合、メール本文とzip解凍用パスワードは、別々のメールで送られることが多い (いわゆるPPAP方式で送信される) ので、いつもと違う伝達方法だったなら、違和感を感じ取ることが可能です。PPAP方式を採用していない企業間の場合はもっと簡単に判別できます。

✅ メールを取り交わす時期がいつもと異なる、という特徴を事例として伺っています。文面はそれっぽいものに出来ても、毎月・毎週取り交わすタイミングまでは細工できていない可能性があります。

✅ シンプルに、メール差出人<From行>や、メール・フッタ(シグネチャー)が違うということがあります。有名IT企業の名前をかたって届くスパムメールのような細かな違いや違和感はエモテットにも通じる特徴で、事前に確認できる確認項目と言えます。いろんな人の情報から継ぎ接ぎで作成する捏造メールなので、ほころびは有ると思います。

エモテットウィルスに感染を防ぐ対応

・ウィルス対策ソフトをしっかり導入しておくこと。対策ソフトが期限切れの状況も対策ソフトが入っていないに等しい状況です。
・あやしい添付ファイルを安易に開かない。将来的には、あやしいか怪しくないかを判別できる独特な能力を身につけていく必要がある。
・メールの中にある、細かいほころびに気づけるように、自分自身を鍛える。差出人名称や、シグチネチャーなどの情報。

万が一感染してしまった場合は?

(a) そもそもウィルス対策ソフトの稼働状況が万全でなかった場合
大事なデータのバックアップをして、パソコン自体を初期化(リカバリー)することを第一に考えてください。
このウィルスは、しこりを残したままだと再発しますし、被害範囲が大きくなるので後々大変です。

(b) ウィルス対策ソフトはしっかり導入できていた場合
ご自身や組織の方針にもよりますが、最低限、以下のような専用の検出ツールで組織内のパソコンについて被害状況を確認しておく必要はありそうです。
日本国内では、セキュリティー企業様から 『emocheck』という簡易判定ツールが公開されています。
本ツールの導入と実施には、パソコンなどの基本的な知識が必要な作業です。自分自身でパソコンのスキルに自信がない方・組織の場合は、ちゃんと専門のところに相談して行動してください。

LinkGitHub- EmoCheck
ここに記載した情報には誤りがない様努めておりますが、万が一情報に誤りがあった場合にはご容赦ください。ここの情報を利用する際はお客様の責任において利用してください。利用されたことによって生じるいかなる不利益も、当方では責任を負いかねます。