全2311文字

 国内のセキュリティー組織やセキュリティーベンダーは2022年11月上旬、マルウエア(コンピューターウイルス)の「Emotet(エモテット)」が活動を再開したとして注意を呼びかけた。2022年7月中旬以降、Emotetの感染を広げるメールが観測されない状態が続いていたが、再度確認されるようになったという。

 Emotetはほとんどの場合、メールに添付したOffice(WordやExcel)ファイルのマクロ機能を悪用して感染を広げる。このため不審なファイルを開いてしまった場合でも、マクロを有効にするための「コンテンツの有効化」をクリックしなければEmotetに感染しない。

感染を広げるファイルを開いたときの画面例
感染を広げるファイルを開いたときの画面例
(出所:情報処理推進機構)
[画像のクリックで拡大表示]

 だが「コンテンツの有効化」をクリックしなくても、ある操作をすると感染する場合がある。新たに確認されたEmotet攻撃では、ユーザーがその操作をするように仕向ける。一体、どのような操作なのだろうか。

知人からのメールに見せかける巧みな手口

 前述のように、Emotetはメールで感染を広げるマルウエアだ。メールに添付されたWordやExcelのファイルを開いてマクロを有効にすると、Emotetの本体がダウンロードされて感染する。

 その結果、パソコンに保存されているメールやアドレス帳などが盗まれる。そしてそれらの情報は、Emotetの感染を広げるメールに悪用される。これが、Emotetのたちの悪い点といえる。

 過去のメールやアドレス帳を悪用するため、感染を拡大するメール(感染拡大メール)が知っている人から送られたように見えるのだ。過去のメールの返信として感染拡大メールが送られてくることもある。

 例えばある企業のパソコンがEmotetに感染すると、その企業をかたる感染拡大メールが送られてくる。

自社の従業員がEmotetに感染し、なりすましメールが配信されるケース
自社の従業員がEmotetに感染し、なりすましメールが配信されるケース
(出所:JPCERTコーディネーションセンター)
[画像のクリックで拡大表示]

 また自社がEmotetに感染していない場合でも、取引先などが感染してメールやアドレス帳が盗まれれば、その企業をかたる感染拡大メールが送られることになる。

取引先がEmotetに感染し、なりすましメールが配信されるケース
取引先がEmotetに感染し、なりすましメールが配信されるケース
(出所:JPCERTコーディネーションセンター)
[画像のクリックで拡大表示]

 このようにEmotetの感染を広げるメールは、送信元や内容から怪しいかどうかを判別するのが難しい。これが、感染を爆発的に広げている理由の1つだろう。

活動再開のたびに機能追加

 Emotetが最初に確認されたのは2014年のこと。以降、活動停止と再開を何度か繰り返して現在に至っている。そして再開のたびに新たな機能が加わっている。

 Emotetが世界的に流行したのは2019年9月以降。このときには、添付ファイルではなくメール中のリンクを使う新手口が登場した。リンクをクリックすると、不正なマクロが仕込まれたファイルがダウンロードされる。

 大きな被害をもたらしたEmotetだが、2020年2月以降、感染拡大メールが確認されなくなった。だが、2020年7月に活動を再開。第2波が到来した。