Emotet(エモテット)とは2014年に発見されたマルウェアの一種であり、現在も活発的に活動しています。
Emotetは非常に強い感染力を持っており、感染すると個人情報やID・パスワードの漏洩だけでなく、自己増殖が可能なワーム機能(マルウェアのカテゴリの一種)を使い、他ファイルに寄生することなく単体でネットワークを通じて拡散されていきます。
また、他のマルウェアの媒介機能もあり、Emotetがプラットフォームになることで、より強力なマルウェアのダウンロードまたは実行ができます。
そのうちの一つ、「ランサムウェア」に感染すると、PCもしくはファイルが暗号化され、攻撃者に金銭を支払わないと元に戻せなくなり、個人のみならず、企業や組織に深刻な影響を与えます。
さらに、Outlookのメール情報を盗み、顧客や取引先などへEmotetが添付された偽装メールを送ります。取引先などへの被害が生じた場合、注意喚起や保証の対応に追われ、企業の信頼も低下する可能性もあります。
2018年2月、アメリカ ペンシルバニア州アレンタウン市の事例では、政府のコンピューターに感染後、最終的に市のネットワークの隅々に、たくさんのマルウェアをダウンロードされ、約100万ドルもの被害額が発生したそうです。
■ Emotetの攻撃手段
Emotetの大きな特徴は「正規メールの偽装」です。偽装メールのタイトルに「Re:」や「Fwd:」などをつけることで、企業からの返信メールを装い、添付ファイルの開封を促しEmotetに感染させることが狙いです。
1. Emotetが侵入したPCのOutlookにアクセスし、メール情報を盗む。
2. 取引先になりすまし、マクロ付きのOfficeファイル/ZIPファイルを添付した偽装メールを送信(URL先からOfficeファイルをダウンロードさせることもある)
3. Officeファイルを開封すると表示される「コンテンツの有効化」のクリックを要求する
4. 「コンテンツの有効化」をクリックすると、マクロが実行されEmotetがインストールされる
参考:
マルウェア【Emotet(エモテット)】とは?脅威や手口・対策まで解説|サイバーセキュリティ.com (cybersecurity-jp.com)