全2026文字
PR

 WebブラウザーにさまざまなWebサイトや社内システムのIDとパスワードを記憶させ、認証画面で手早くログインする。そんな操作をしている人は少なくないだろう。しかしWebブラウザーが記憶しているIDとパスワードを盗み出すマルウエアがあることをご存じだろうか。

 そんな情報窃取型マルウエアの代表格が「Emotet(エモテット)」だ。トレンドマイクロによると、2022年2月から国内に第3波が襲来し、同年3月に月間検出数が4万件を突破。同年4~5月にいったん収束したものの、同年6月には感染が再拡大し2万6000件を超えた。

 EmotetはWebブラウザーが記憶しているID・パスワードのほか、メール関連の情報などを盗み出す。メール関連の情報にはメールシステムのパスワード、連絡先や過去に送受信したメールの内容などがある。攻撃者はこれらメール関連の情報を使って、不正なマクロを含む文書ファイルや不正なリンクを数多くの人にメールで送りつける。そのメールの受信者が不正なマクロを実行したり、不正なリンクの先にアクセスしたりすると、マルウエアのインストーラーがダウンロードされる。インストール画面は不正なものだと分からないよう擬装されており、メール受信者がインストールボタンを押すと端末が感染する。

 感染したらどうなるか。EmotetはWebブラウザーが記憶しているさまざまなサイトのID・パスワードをメモリー上で読み取るような手口で外部に送る。Webブラウザーが記憶しているID・パスワードは、SNS(交流サイト)や通信販売など普段の生活に使っているサイトのものに加え、リモートでアクセスしている所属企業の業務システムのものもあるだろう。その中に、多要素認証(MFA)を導入あるいは設定していないサイトがあれば、攻撃者は盗み出したID・パスワードによって不正にログインできてしまう。

 もちろん、多くの企業は業務システムに多要素認証を導入しているだろう。個人向けのサイトでも多要素認証を導入しているケースは少なくない。

 しかしトレンドマイクロの岡本勝之セキュリティエバンジェリストは、「中小企業を中心に社外からのリモートアクセスに関して多要素認証などの十分なセキュリティーの仕組みを導入していないケースがある」と指摘する。コロナ禍でリモートアクセスできるシステムが増えた中、盗み出されたID・パスワードで業務システムに不正ログインされると、被害が大きくなりかねない。

 リスクが大きいのは企業の業務システムだけではない。SNSや通信販売サイトなどのアカウントを攻撃者に乗っ取られると、平穏な生活が破壊されかねない。情報窃取型マルウエアはそんな脅威をもたらす極めて危険な存在だ。