Emotetは元々バンキング型トロイの木馬として開発されたコンピューターマルウェアプログラムであり、その目的は、デバイスに不正アクセスして機密情報を盗み取ることです。Emotetはウイルス対策製品を欺き、自身の存在を隠すことで知られています。一度感染するとコンピューターワームのように拡散して、同一ネットワークにある他のコンピューターに不正侵入しようとします。
Emotetは主にスパムメールを通じて拡散します。メールには悪意のあるリンクや感染した文書が付属しており、リンクを開いたり文書をダウンロードしたりすると、そこからマルウェアが自動的にダウンロードされます。送り付けられるスパムメールは本物とほとんど区別がつかないため、Emotetの被害者が多数発生しています。
Emotetが初めて検知されたのは2014年です。ドイツとオーストリアの銀行の顧客がこのウイルスの被害にあい、ログインデータに不正アクセスされました。その後数年で、このウイルスは世界中に拡散しました。
Emotetはバンキング型トロイの木馬をドロッパーへと進化させたものであるため、感染するとデバイスに別のマルウェアが読み込まれます。このマルウェアが、システムに被害をもたらします。
ほとんどのケースで以下のプログラムが「ドロップ(投下)」されています。
多くの場合、Emotetの裏に隠されたサイバー犯罪の目的は、被害者から金銭をゆすり取ることです。たとえば「アクセス権を取得した暗号化データを公開する」と犯人から脅迫されることもあります。
Emotetは個人だけでなく企業や組織、機関をも標的にしています。2018年にEmotetに感染したドイツのFuerstenfeldbruck病院は、感染を抑えるために450台のコンピューターをシャットダウンして緊急管理センターからログオフしなければなりませんでした。2019年9月にはベルリンの高等裁判所が感染し、同年12月にはギーセン大学も感染の被害に遭いました。また、ハノーファー医科大学とフランクフルト・アム・マインの市当局にも感染が拡がりました。
こうした感染例はほんの一部に過ぎません。公開されていないだけで、実際は数多くの企業が感染の被害に遭っていることが思われます。評判が傷つくことを恐れて、感染被害を報告していない企業も多いと考えられます。
Emotetが登場したばかりのころの主な標的は企業と組織でしたが、今では個人を主な標的にしていることも忘れてはなりません。
登場した当初は、比較的新しいバージョンのMicrosoft WindowsオペレーティングシステムでしかEmotetは検知されていませんでした。しかし、2019年を境に、Apple製のコンピューターもEmotetに感染することが知られるようになりました。犯罪者たちはAppleサポートからのメールになりすましてユーザーを罠に陥れます。メールに返信しなければ「アカウントへのアクセスを制限する」という文章をメールに記載するのです。利用しているAppleのサービスが無効化されたくない場合はメールに書かれているリンクに従って操作するようにと、被害者を誘導します。
Emotetは主にOutlookハーベスティングと呼ばれる手法でばらまかれます。すでに感染しているユーザーからのメールを読み取って、一見本物に見えるコンテンツを作成します。こうしたメールは受信者に向けてユーザー本人が書いたもののように見えるため、通常のスパムメールよりも目を引きます。友人や家族、同僚など、保存されている連絡先にEmotetからこのようなフィッシングメールが送信されます。
こうしたメールの大半には、受信者にダウンロードさせるため、ウイルスが含まれたWordのドキュメントや危険なリンクが含まれています。送信者の欄には必ず実在の名前が表示されます。すべてをユーザー本人が書いたメールに見えるため、受信者はそのメールを安全だと思いこんでしまいます。ほとんどの場合、ユーザーは危険なリンクをクリックしたり、ウイルスが含まれた添付ファイルをダウンロードしたりすることになります。
ネットワークへのアクセス権を取得すると、Emotetは一気に拡散します。その過程で、総当たり攻撃を使いアカウントのパスワードを特定しようとします。Emotetの拡散には、EternalBlueエクスプロイトや、人の介入なしでマルウェアがインストールできるWindowsのDoublePulsarの脆弱性が利用されることもあります。EternalBlueエクスプロイトについては、2017年、金銭を要求するトロイの木馬であるWannaCryがEternalBlueエクスプロイトを利用して大規模なサイバー攻撃を仕掛け、甚大な被害をもたらしています。
ドイツ情報セキュリティ庁(BSI)はEmotetについて、「Emotetの開発者たちは自分たちのソフトウェアとインフラストラクチャを第三者に又貸ししている」という見解を示しています。
犯罪者たちの動機は金銭であるため、彼らがやっていることはスパイ行為ではなくサイバー犯罪だとBSIでは考えています。Emotetを陰から操っているのが誰なのかはいまだに特定できていません。Emotetが作られた国についてはさまざまな噂が飛び交っていますが、どれも信頼できる証拠はありません。
甚大な被害をもたらすことから、アメリカ合衆国国土安全保障省ではEmotetの被害額は特に大きくなると結論付けています。Emotetを除去するコストはインシデント1件あたり約100万米ドルになると予想されています。そのため、ドイツ情報セキュリティ庁(BSI)のArne Schoenbohm氏はEmotetを「マルウェアの王」と呼んでいます。
Emotetが歴史上最も複雑かつ危険なマルウェアであることに疑いの余地はありません。このウイルスはポリモーフィック型であり、アクセスされるたびにコードが少しずつ変化します。
多くのウイルス対策製品はシグニチャベースでウイルスを検知するため、Emotetを検知するのは簡単なことではありません。2020年2月、EmotetがWi-Fiネットワークも攻撃していることをBinary Searchのセキュリティ研究者たちが明らかにしました。感染しているデバイスがワイヤレスネットワークに接続すると、Emotetは近くのワイヤレスネットワークをすべてスキャンします。その後、パスワードリストを使ってネットワークのアクセス権を取得すると、さらに他のデバイスに感染を広げます。
サイバー犯罪者はよく集団の恐怖を悪用します。それを考えると、2019年12月から世界中に拡大しているコロナウイルスに対する恐怖がEmotetに悪用されているのも自然な流れと言えるでしょう。Emotetを操っているサイバー犯罪者は、コロナウイルスに関する情報提供や啓蒙を目的としたメールを装っています。このような内容のメールが届いたら、メールにファイルが添付されていたりリンクが貼られていたりしないか、特に注意してください。
Emotetや他のトロイの木馬から身を守るには、ウイルス対策製品だけでは不十分です。ポリモーフィック型ウイルスの検知だけでなく、様々な対策を施す必要があります。Emotetなどの常に変化するトロイの木馬を完全に防ぐソリューションはありません。組織的かつ技術的な対策を講じてはじめて、感染リスクを最小限に抑えることができるのです。
なによりも大切なのは、PCがEmotetに感染したと思われる場合でもパニックにならないことです。アドレス帳に登録している人にも危険が及ぶ可能性があるため、感染したことを知り合いに連絡してください。
コンピューターがネットワークに接続している場合は切断して、Emotetが拡散するリスクを減らします。続いて、すべてのアカウント(メールアカウント、Webブラウザーなど)ですべてのログインデータを変更します。ウイルスに感染しておらず、同じネットワークに接続していないデバイスからこの操作を行ってください。
Emotetはポリモーフィック型(アクセスされるたびにコードを少しずつ変える)の脅威であるため、一度ウイルスを除去したコンピューターが感染したネットワークに接続すると、再び感染の被害に遭う危険があります。そのため、ネットワークに接続しているすべてのコンピューターで順番にクリーンアップ作業を行う必要があります。このようなときにはウイルス対策製品が役に立ちます。ウイルス対策製品ベンダーなどの専門家に連絡して、アドバイスやサポートを求めることもできます。
Emotetはサイバーセキュリティの歴史上最も危険なマルウェアのひとつです。個人、企業、そして世界的な機関でさえ被害者になる可能性があります。一度Emotetがシステムに侵入すると、他のマルウェアが読み込まれスパイ行為が行われます。
被害者の多くがデータを取り戻すために、脅迫に屈して身代金を支払っています。残念ながら、Emotetの感染を完全に防ぐソリューションはありません。しかし、感染リスクを低減できる対策は数多く存在しています。
コンピューターがEmotetに感染したと思われる場合は、この記事でご紹介した対策を実行してコンピューターからウイルスを除去してください。また、カスペルスキーをはじめとする各社の総合セキュリティ製品を利用して、しっかりとコンピューターを防御してください。