全1252文字
PR

 マルウエア(悪意のあるソフトウエア)の一種。メールに添付されたMicrosoft Officeファイルを開いたり、メール本文に記載されたOfficeファイルへのURLリンクをクリックしたりすると感染する。実在する組織や人物になりすまし、実際に業務でやり取りされた内容の偽メールを送りつけるなど、巧妙な攻撃手段で被害を広げている。

 エモテットはOfficeファイルのマクロを使いパソコンに感染する。マクロがWindowsの標準コマンドラインツールPowerShellを起動し、PowerShellのコマンドでマルウエア本体をダウンロードして実行させる。国内ではWordファイルにマクロを仕込んでいるケースが多い。感染するとWindowsや各種WebサイトのログインID/パスワードといった認証情報に加え、メールのアカウントとパスワード、メール内容、アドレス帳などのメール情報が攻撃者に窃取される。攻撃者は窃取した情報を基に、送信元を偽装したメールを攻撃対象者に送信し感染を広げる。

 エモテットは、日本語で記載された巧妙ななりすましメールで受信者をだます。実在の組織や人物と過去にやり取りした内容などを含むメールが届くので、不審に思わずに添付ファイルを開いてしまう可能性が高くなる。新型コロナウイルスに関する情報や賞与の情報などを記述したなりすましメールも確認されている。

国内の感染は2019年秋から急拡大

 エモテットが最初に確認されたのは2014年だ。当時はネットバンキングの認証情報を窃取することを目的とした「トロイの木馬型」のマルウエアとして報告されていた。しかしその後は自己拡散機能が追加されるなど機能拡張が進み、現在では、他のマルウエアと一緒に配布して感染を拡大させる仕組みとして悪用されている。

 当初は明確に国内ユーザーを標的にしていると言える攻撃は確認されていなかったが、2019年秋から国内でも急速に被害が増えた。11月に首都大学東京(現・東京都立大学)が「約1万9000件のメール情報が流出した」と発表したほか、12月には群馬中央病院や関西電力が感染を明らかにするなど被害が相次いだ。2020年2月以降は大きな動きが見られないが、JPCERTコーディネーションセンター(JPCERT/CC)によると2020年7月頃から活動が再び活発になっており、感染に関する相談件数も増えているという。

 エモテットの感染を防ぐ方法は、Officeソフトウエアの設定を「マクロを無効にする」または「マクロを実行しない」にすることだ。初期設定でマクロは無効になっているが、マクロを含むOfficeファイルを開くと、メッセージバーに「コンテンツの有効化」ボタンが表示される。なりすましメールにだまされて、このボタンをクリックするとエモテットに感染してしまう。マクロを含むファイルをやり取りする場合には事前に知らせてもらうなどの対策を取る必要がある。添付ファイルに関する厳格なルール作りと運用の徹底が求められる。