国内のセキュリティー組織やセキュリティーベンダーは2022年11月上旬、マルウエア(コンピューターウイルス)の「Emotet(エモテット)」が活動を再開したとして注意を呼びかけた。2022年7月中旬以降、Emotetの感染を広げるメールが観測されない状態が続いていたが、再度確認されるようになったという。
Emotetはほとんどの場合、メールに添付したOffice(WordやExcel)ファイルのマクロ機能を悪用して感染を広げる。このため不審なファイルを開いてしまった場合でも、マクロを有効にするための「コンテンツの有効化」をクリックしなければEmotetに感染しない。
だが「コンテンツの有効化」をクリックしなくても、ある操作をすると感染する場合がある。新たに確認されたEmotet攻撃では、ユーザーがその操作をするように仕向ける。一体、どのような操作なのだろうか。
知人からのメールに見せかける巧みな手口
前述のように、Emotetはメールで感染を広げるマルウエアだ。メールに添付されたWordやExcelのファイルを開いてマクロを有効にすると、Emotetの本体がダウンロードされて感染する。
その結果、パソコンに保存されているメールやアドレス帳などが盗まれる。そしてそれらの情報は、Emotetの感染を広げるメールに悪用される。これが、Emotetのたちの悪い点といえる。
過去のメールやアドレス帳を悪用するため、感染を拡大するメール(感染拡大メール)が知っている人から送られたように見えるのだ。過去のメールの返信として感染拡大メールが送られてくることもある。
例えばある企業のパソコンがEmotetに感染すると、その企業をかたる感染拡大メールが送られてくる。
また自社がEmotetに感染していない場合でも、取引先などが感染してメールやアドレス帳が盗まれれば、その企業をかたる感染拡大メールが送られることになる。
このようにEmotetの感染を広げるメールは、送信元や内容から怪しいかどうかを判別するのが難しい。これが、感染を爆発的に広げている理由の1つだろう。
活動再開のたびに機能追加
Emotetが最初に確認されたのは2014年のこと。以降、活動停止と再開を何度か繰り返して現在に至っている。そして再開のたびに新たな機能が加わっている。
Emotetが世界的に流行したのは2019年9月以降。このときには、添付ファイルではなくメール中のリンクを使う新手口が登場した。リンクをクリックすると、不正なマクロが仕込まれたファイルがダウンロードされる。
大きな被害をもたらしたEmotetだが、2020年2月以降、感染拡大メールが確認されなくなった。だが、2020年7月に活動を再開。第2波が到来した。
