EMOTET(エモテット)に感染した際の対処方法とおすすめの専門業者を紹介

EMOTET(エモテット)とは、電子メールを通じて感染するマルウェア(安全上の脅威となる悪意あるソフトウェア)の一種で、近年数多くのサイバー犯罪に利用されております。Emotetの概要や攻撃手口、感染時の対処方法などについて紹介しています。
  • 2022年11月10日
  • by.bitdds

キャリアの方は、公式のオンラインショップを利用すれば事務手数料が不要で通常のショップよりお得に購入できます。

EMOTET(エモテット)とは、電子メールを通じて感染するマルウェア(安全上の脅威となる悪意あるソフトウェア)の1種です。

EMOTETに感染すると、個人情報や顧客情報を盗み取られ悪用されてしまう可能性があり、そのままの状態にしてしまうと被害は拡大します。

この記事ではEmotetの概要や攻撃手口、感染時の対処方法を紹介します。

また、Emotetの感染状況をより正確に知りたい場合には、紹介しているフォレンジック調査業者に相談してみましょう。

こんな方におすすめ
  • 自身の端末がEMOTETに感染してしまった
  • 感染した際の対処方法を知りたい
  • おすすめの調査業者を知りたい
EMOTETの調査方法
  • Emotetの感染経路は主に不正な電子メールから
  • 感染した際はなるべく調査業者に調査を依頼する
  • おすすめの調査業者はデジタルデータフォレンジック
おすすめはこちら↓
累積ご相談件数14,000件突破!

EMOTETとは?

Virus

Emotet(エモテット)とは悪質なマルウェア(ウイルス)の一種で、主に情報の窃取を目的として利用されます。

特にメールを媒体としており、メールに添付された不審なファイルを不用意に開いたり、メールに記載された悪意のあるURLをクリックしたりすることで感染します。

Emotetは2014年に初めて確認されたマルウェアで、2019年末にメディアで大きく取り上げられた後2020年末に一度収束しました。

しかし、2021年11月に活動再開が確認され、2022年3月には月間検出数は4万件を超えるなど、今後も十分な対策が必要です。

EMOTET(エモテット)の特徴
  • 電子メールを通じて拡散・感染する
  • 端末から重要なデータを盗み取り悪用する
  • ランサムウェアなど別のマルウェアに感染させる
  • 同一ネットワークを介して他の端末に伝染する

特に国内での感染が増え続けているため、不審なファイルを受信した際は不用意に開かないようにしましょう。

EMOTETの攻撃手口(攻撃メール)

EMOTETへの共通の対策としては、ファイルを開いた際に「コンテンツの有効化」をクリックしないことが挙げられます。

また、EMOTETの主な攻撃手口は主に以下の6つで、それぞれについて解説していきます。

EMOTETの攻撃手口
  • マクロ付きファイルを添付
  • パスワード付きZIPファイルを添付
  • 不正URLリンクを添付
  • 季節的・時事的なテーマを利用
  • ショートカットファイルを添付
  • Google Chromeに登録されたクレジットカード情報の窃盗

マクロ付きファイルを添付

Microsoft Word・Excelのマクロ機能を悪用した手口です。

拡張子が「doc」や「xls」であったり、末尾がmの「docm」「xlsm」のマクロ付きファイルがEmotet拡散よく利用されます。

まず最初に、不正なMicrosoft Word、Microsoft Excelのファイルを添付したメールが送られてきます。

ファイルを開きコンテンツの有効化をクリックするとマクロが起動し、外部WebサイトからEMOTETがダウンロードされてしまうので注意しましょう。

パスワード付きZIPファイルを添付

不正ファイルを暗号化して圧縮することで、ネットワーク上のメール検疫やウィルス対策ソフトを通過しやすくする手口です。

ファイルには請求書や賞与支払など、解凍を誘導する件名がつけられており、解凍後はマクロ機能を使い感染を狙います。

身に覚えのない不審なメールにファイルが添付されていた場合、絶対に不用意に開いてはいけません。

不正URLリンクを添付

不正なURLリンクを掲載したPDFなどのファイルをメールに添付する手口です。

添付されたURLをクリックすると、不正なサイトに遷移し、マルウェアを含んだファイルがダウンロードされます。

この手口もマクロファイルの手口と同様に、コンテンツの有効化をクリックしてはいけません。

怪しいURLリンクが添付されたメールを受け取った場合は、リンクをクリックしないよう心がけましょう。

季節的・時事的なテーマを利用

クリスマスやお正月など、季節的・時事的なテーマへの対応メールを装った手口です。

知人から怪しいファイルをメールで受け取った場合は、安易に「コンテンツの有効化」をクリックせず、送り主に確認を取りましょう。

ショートカットファイルを添付

「.lnk」というショートカットファイルの拡張子を添付したファイルをメールに添付する手口です。

これは2022年4月頃から報告され始めた最新の手口で、ダブルクリックするだけで悪意あるスクリプトが実行されてしまう可能性があります。

「.lnk」というショートカットファイルが添付された不審なメールには注意しましょう。

Google Chromeに登録されたクレジットカード情報の窃盗

EMOTETには、Google Chromeに登録されたクレジットカード番号や名義人氏名などのカードデータを盗み、攻撃者のサーバーに送信する機能があります。

これは2022年6月以降に確認された新しい機能で、感染してすぐに金銭的被害に結びつく恐れが高いため細心の注意が必要です。

おすすめはこちら↓
累積ご相談件数14,000件突破!

EMOTETに感染した際の症状

EMOTETに感染した際の症状例は以下の通りです。

EMOTETに感染した際の症状例
  • 重要なデータが盗み取られ漏洩する
  • ランサムウェアなど別のマルウェアに感染する
  • 同一ネットワークを介して他の端末に伝染する
  • 漏洩したデータから第三者への攻撃が発生する

重要なデータが盗み取られ漏洩する

EMOTETには、侵入した筐体内にある情報を盗み取るマクロが仕込まれており、感染と同時に個人情報や顧客情報などの重要なデータが外部に送信されるルートが作られます。

盗み取られた情報は闇サイトでの売買や第三者への攻撃などに悪用されてしまう可能性があるため、Emotetに感染した際はすぐにフォレンジック調査業者への依頼など適切な対応を取りましょう。

ランサムウェアなど別のマルウェアに感染する

EMOTETには端末の活動痕跡を隠蔽するために、コンピューター内のデータを破壊する別のマルウェアやランサムウェアなどに感染させやすくする特徴があります。

これにより、漏洩したデータ内容が分からなくなってしまったりコンピューターの脆弱性が高まってしまう可能性があります。

EMOTETに感染後、駆除まで完了したのにも関わらずEMOTETが残した脆弱性の影響でランサムウェアに感染したケースもあるので、十分な調査が必要です。

感染経路など、より詳しい情報が知りたい場合にはフォレンジック調査業者に相談しましょう。

同一ネットワークを介して他の端末に伝染する

EMOTETには同一ネットワーク内で自己増殖するワーム機能が備わっており、ひとたびネットワーク内に侵入すると、社内で爆発的な感染拡大が起こってしまいます。

また、潜伏中に頻繁にアップデートが行われるため、OSの脆弱性を突いて感染が急拡大する恐れもあります。

同一ネットワーク内で1台でも感染が判明した場合は、調査業者に依頼しネットワークの調査をしましょう。

漏洩したデータから第三者への攻撃が発生する

EMOTETに感染した場合、漏洩したデータをもとに不正な電子メールが送信されるなど、第三者への攻撃が発生する恐れがあります。

そのため、自身が被害者だけでなく加害者となってしまい、その結果補償対応を求められてしまう可能性があります。

特に法人の場合は、莫大な損害賠償企業の信用失墜などにも繋がりかねないので注意しましょう。

EMOTET感染による被害事例

ここで、2022年に起きたEMOTET感染による被害事例をいくつか紹介します。

日付企業名概要
2022/2/3ライオン株式会社従業員のPCがEMOTETに感染し、従業員を装った第三者からの不審なメールの発信を確認。
2022
2/24
株式会社紀伊國屋書店社内のPCの一部がEMOTETに感染。従業員を装った不審なメールが複数の人に送信されていることを確認。
2022
3/1
NTT西日本(西日本電信電話株式会社)愛知県公立大学法人から受託している業務に使用しているPCがEMOTETに感染、過去のメール送受信情報として保存されていたメール情報が流出、これらを装ったメールが複数送られていることを確認。
2022
3/4
理化学研究所研究所内の一部のPCがEMOTETに感染、部署名や職員を装ったメールが送信されていることを確認
2022
3/11
株式会社エイチ・アイ・エス社内のPCの一部がEMOTETに感染を確認。外部への送信は不明。

2022年4月25日から新しいタイプのEMOTETが確認され、再度感染が拡大しています。

今回のEMOTETでは、ExcelやWordなどのMicrosoft officeを利用していない企業や、マクロ機能が無効になっている企業でも感染する恐れがあるので注意しましょう。

EMOTETに感染した際にまずやるべきこと

EMOTETに感染した際にまずやるべきことは主に以下の7つです。

EMOTETに感染した際にまずやるべきこと
  • 漏洩した情報の関係各所へ連絡
  • 感染端末をネットワークから隔離
  • メールアドレスとパスワードの変更
  • 同一ネットワークを介している全端末の感染調査
  • 通信履歴の確認
  • 他のマルウェアの感染も疑う
  • 感染した端末の初期化

漏洩した情報の関係各所へ連絡

2022年4月から個人情報保護法が改正され、個人情報の取り扱いが厳格化されました。

これにより、漏洩したデータ内容や調査内容を個人情報保護委員会及び関係各所へ通知しなければいけません。

法人が違反した場合、最大一億円の罰金や社名の公開が課せられます。

不特定多数の関係者がいる場合はプレスリリースなどを利用し通知しましょう。

感染端末をネットワークから隔離

Emotetが同一ネットワークを介して他の端末に伝染することを防ぐため、感染端末をネットワークから隔離しておきましょう。

その際、LANケーブルの取り外し無線LAN接続の解除に加えて端末自体の電源を切っておくことをおすすめします。

メールアドレスとパスワードの変更

Emotetの感染時に使用していたメールアドレスはパスワードも盗み取られている可能性が高いため、継続使用を避け、より強固なメールアドレスとパスワードに変更しましょう。

また、変更の際は生年月日や名前などの個人情報を含まないものや、桁数の多い複雑なものなど、特定されにくいものに設定しましょう。

同一ネットワークを介している全端末の感染調査

同一ネットワークを介している場合は、他の端末に感染が拡大している可能性があります。

添付ファイルを開いた端末だけでなく、同一ネットワークを介してつながっている端末は全て調査しましょう。

通信履歴の確認

感染した端末の通信履歴を調べれば、端末の隔離状況感染状況の把握をすることができます。

Windows10の場合、通信履歴の確認方法は次の通りです。

通信履歴の確認方法
  1. スタート(左下のウィンドマーク)を右クリックし、「イベントビューアー」を選択
  2. 「カスタムビュー」「アプリケーションとサービス」等に並んでいる「Windowsログ」を各種ダブルクリックしログを表示
  3. 保存したいログを見つけ、右枠の操作欄にある「すべてのイベントを名前をつけて保存」を選択した後に保存場所を指定
  4. 「保存」をクリックし、「このログを別のコンピューターで正しく表示出来るようにするには、表示情報が必要な場合があります。」を表示
  5. 「表示情報なし」を選択し、OKボタンで次に進めば通信履歴の取得完了

感染端末の通信状況を調べるために、必ず通信履歴の確認をしましょう。

他のマルウェアの感染も疑う

Emotetには別のマルウェアに感染させる機能があるため、他のマルウェアやランサムウェアにも感染していないかを調査する必要があります。

Emotetだけでなく別のマルウェアへの感染が疑われる場合は被害の把握が難しいので、調査業者に調査を依頼しましょう。

感染した端末の初期化

EMOTETに感染した際、セキュリティソフトでのマルウェア除去ができなかったり、端末をロックされたりすることがあります。

別の対応策がない場合の個人でできる最終手段として、端末の初期化が考えられます。

しかし、初期化をしてしまうと攻撃の痕跡となるデータが消えてしまい、被害の把握が難しくなってしまいます。

データが消したくない、感染経路が知りたい方などは初期化を避け、調査業者に依頼しましょう。

EMOTETに感染した際の対処方法

EMOTETに感染した際の対処方法は主に以下2つです。

EMOTETに感染した際の対処方法
  • 「EmoCheck」で感染の有無を調べる
  • マルウェア感染調査に対応している調査業者に相談する

「EmoCheck」で感染の有無を調べる

「EmoCheck」とは、JPCERT からリリースされているEmotetの感染チェックに特化したツールです。

「EmoCheck」はソースコード共有サービス「ギットハブ」にて無料公開されており、誰でもダウンロードすることができます。

しかし、「EmoCheck」を使ってできることは感染の有無を確認することまでです。

より詳細な感染原因や感染経路などの調査が必要な場合や、調査証明が必要な場合には、調査業者に依頼しましょう。

マルウェア感染調査に対応している調査業者に相談する

Emotet感染の疑いがある場合は、すぐに正確な調査を行い、二次的な被害の拡大を防がなければなりません。

専門の調査会社であれば、Emotetの感染経路、漏洩データ、情報流出先の特定など、早期的な解決に加え今後の適切なサポートも行ってくれます。

より詳細な調査をしたい方は調査業者に依頼しましょう。

おすすめの調査業者

ここでは、編集者がおすすめするフォレンジック調査を扱っている調査業者を紹介します。

編集者がおすすめするフォレンジック調査業者は、「デジタルデータフォレンジック」です。

デジタルデータフォレンジック

ここで、不正アクセスやハッキング調査ができる、編集部おすすめの業者の特徴やサービス内容について解説していきます。

不正アクセスやハッキングなどが気になる方はぜひチェックしてみてください。

DDFbitWave

デジタルデータフォレンジックは、国内売上NO.1のデータの復旧業者が提供しているフォレンジックサービスです。

マルウェア・ランサムウェア感染調査、サイバー攻撃被害調査、退職者調査、労働問題調査、社内不正調査、パスワード解除、ハッキング・不正アクセス調査、データ復元、デジタル遺品、離婚問題など、幅広く調査をおこなっているため、フォレンジックサービスを行っている業者の中でもおすすめできる業者です。

調査専門のエンジニアとは別に、相談窓口としてフォレンジック調査専門アドバイザーが在籍しているため、初めて調査を依頼する方でも安心して相談することができます。

また、警視庁からの捜査依頼実績も多数あることから、実績面においても信頼ができる業者であるといえます。

さらに、「Pマーク」「ISO27001」を取得しているため、セキュリティ面でも信頼がおけます。

デジタルデータフォレンジックのおすすめポイント
  • 累計相談件数14,233件
  • 365日営業・24時間電話対応可能
  • 国内最大規模の最新設備
  • Pマーク、ISO27001のセキュリティ体制
  • 相談・見積無料
項目デジタルデータフォレンジック(DDF)
営業時間・相談窓口年中無休 24時間受付 夜間の電話相談あり
持込・宅配・出張 への対応持込:◎
宅配:◎
出張:◎
ラボ見学も可能
費用初期診断・見積り無料 まずはご相談ください
配送料無料
(キャンセル時の返送料金のみお客様負担)
調査対象PC、スマートフォン、サーバ、外付けHDD、
USBメモリ、SDカード、タブレット など
サービスマルウェア・ランサムウェア感染調査、
サイバー攻撃被害調査、退職者調査、労働問題調査、
社内不正調査、情報持出し調査、横領着服調査、
パスワード解除、ハッキング・不正アクセス調査、
データ改ざん調査、データ復元、デジタル遺品、
など
特徴
✓累計相談件数14,233件
✓法人限定の駆け付け対応サービスあり
✓11年連続国内売上No.1のデータ復元サービスの技術力を活用
✓ISO認証、プライバシーマーク取得
✓警視庁からの捜査協力依頼実績多数
運営会社デジタルデータソリューション株式会社
詳細公式サイトを見る
おすすめはこちら↓
累積ご相談件数14,000件突破!

EMOTET(エモテット)感染と対処方法まとめ

不正アクセス調査について、Emotetの概要や攻撃手口から感染時の対処方法、おすすめの調査業者まで紹介しました。

Emotetに感染してしまった場合、機密情報の流出やランサムウエアへの感染などの被害に遭ってしまい、取り返しのつかない状況になりかねません。

しかし、正しい知識を身に着け、適切な方法で調査を行うことができれば被害を抑えることができます。

より詳細な調査をしたい場合は、マルウェア感染調査に対応している専門業者に相談・依頼しましょう。

EMOTETの調査方法
  • Emotetの感染経路は主に不正な電子メールから
  • 感染した際はなるべく調査業者に調査を依頼する
  • おすすめの調査業者はデジタルデータフォレンジック
おすすめはこちら↓
累積ご相談件数14,000件突破!

キャリアの方は、公式のオンラインショップを利用すれば事務手数料が不要で通常のショップよりお得に購入できます。