Emotetとは何か
基本情報
Emotetは、単なるマルウェアを超えた「マルウェア配送プラットフォーム」として機能する、極めて危険なトロイの木馬です。その進化と適応能力により、セキュリティ専門家から「最恐のマルウェア」と呼ばれています。
| 項目 | 詳細 |
|---|---|
| 初出 | 2014年(ドイツで最初に発見) |
| 開発元 | 東欧の犯罪組織(推定) |
| 当初の目的 | バンキング型トロイの木馬 |
| 現在の役割 | マルウェア配送プラットフォーム |
| 別名 | Geodo、Mealybug、Heodo |
| 感染規模 | 全世界で数百万台(推定) |
- 初期の特徴
- 2014年にドイツで初めて発見されたEmotetは、当初はオンラインバンキングの認証情報を窃取することを目的とした比較的単純なトロイの木馬でした。しかし、その後の進化により、現在では世界で最も複雑で危険なマルウェアの一つとなっています。
- 名称の由来
- Emotetという名前は、初期のバージョンのコード内に含まれていた文字列から派生したとされています。また、別名のGeodoは地理的位置情報を収集する機能から、Mealybugは害虫のカイガラムシから名付けられたと言われています。
- 現在の特性
- 現在のEmotetは、それ自体が直接的な被害を与えるというよりも、他のより破壊的なマルウェアを運搬する「プラットフォーム」として機能します。この特性により、Emotetへの感染は、より深刻なサイバー攻撃への入り口となることが多くなっています。
進化の歴史
Emotetの進化の歴史を理解することは、その脅威の本質を把握する上で極めて重要です。各段階での技術的進化と、それに対する防御側の対応を詳しく見ていきましょう。
第1期(2014-2017):バンキング機能
初期のEmotetは、主にドイツとオーストリアの金融機関を標的としたバンキング型トロイの木馬として活動していました。
この時期の主な特徴:
- Webインジェクション技術を使用したオンラインバンキングサイトへの攻撃
- Man-in-the-Browser(MitB)攻撃による認証情報の窃取
- 比較的限定的な地域での活動(主に欧州)
- スパムメールによる単純な配布方法
技術的には、この段階のEmotetはまだ比較的検出しやすく、従来のアンチウイルスソフトでも対応可能でした。しかし、開発者たちは着実に改良を重ね、次の段階への準備を進めていました。
第2期(2017-2021):モジュール化
2017年頃から、Emotetは大きな転換期を迎えます。単一機能のマルウェアから、モジュール型のマルウェア配送プラットフォームへと進化しました。
| モジュール名 | 機能 | 追加時期 |
|---|---|---|
| メールハーベスター | 感染PCからメールアドレス収集 | 2017年 |
| メールスプレッダー | 自動的にスパムメール送信 | 2017年 |
| 認証情報窃取 | ブラウザ、メールクライアントから情報窃取 | 2018年 |
| SMB拡散 | ネットワーク内での横展開 | 2018年 |
| バンキングモジュール | 金融情報の窃取(改良版) | 2019年 |
この時期の最も重要な変化は、Emotetが他のマルウェアファミリーとの連携を開始したことです。TrickBot、QakBot、Ryukなどの危険なマルウェアを配送する主要なプラットフォームとなり、サイバー犯罪のエコシステムの中核を担うようになりました。
停止期(2021年1月):テイクダウン作戦
2021年1月27日、法執行機関による国際的な協力の下、「Operation LadyBird」と呼ばれるテイクダウン作戦が実行されました。
- 作戦の規模
- 欧州刑事警察機構(Europol)、FBI、カナダ王立騎馬警察など、8カ国の法執行機関が協力し、Emotetのインフラストラクチャを解体しました。世界中で700以上のサーバーが押収され、Emotetのボットネットは事実上機能停止に追い込まれました。
- 技術的対策
- 法執行機関は、押収したインフラを使用して、感染したコンピュータに「アンインストーラー」を配布しました。2021年4月25日に、世界中の感染端末からEmotetが自動的に削除される仕組みが実装されました。
- 一時的な成功
- この作戦により、Emotetの活動は完全に停止し、サイバーセキュリティ業界は大きな勝利を収めたかに見えました。しかし、この勝利は長くは続きませんでした。
復活(2021年11月):より強力に
わずか10ヶ月後の2021年11月14日、セキュリティ研究者たちはEmotetの復活を確認しました。
復活後の新たな特徴:
- TrickBotボットネットを利用した再配布
- より高度な暗号化と難読化技術
- 64ビット版の追加
- 検出回避技術の大幅な向上
- C&Cインフラの分散化と冗長性の強化
復活したEmotetは、以前よりも検出が困難で、より破壊的な能力を持っていました。特に、日本を含むアジア太平洋地域への攻撃が顕著に増加しました。
第3期(2022-現在):日本標的増加
2022年以降、Emotetは日本を重点的な標的として攻撃を強化しています。
日本が標的となった理由:
- 高度な経済力と豊富な金融資産
- デジタル化の進展とセキュリティ対策の遅れのギャップ
- 言語の壁による初期の警戒心の低さ
- サプライチェーンの複雑さと中小企業の脆弱性
日本向けの攻撃では、日本語の精度が格段に向上し、日本の商習慣に合わせた巧妙な偽装が行われるようになりました。「請求書」「見積書」「インボイス」など、日本のビジネスで頻繁に使用される用語を巧みに利用し、受信者の警戒心を解く手法が確立されています。
なぜEmotetは危険なのか
「最恐のマルウェア」と呼ばれる理由
Emotetが特に危険視される理由は、その多面的な脅威と、継続的な進化にあります。従来のマルウェアとは一線を画す特徴を詳しく見ていきましょう。
1. 感染力の強さ
- 自己拡散機能
- Emotetは、感染したコンピュータから自動的に他のコンピュータへ感染を広げる能力を持ちます。この自己拡散は、複数の経路を同時に使用することで、驚異的な速度で進行します。あるケースでは、最初の感染から24時間以内に、組織内の80%のコンピュータが感染したという報告もあります。
- メール自動送信
- 感染したコンピュータのメールクライアント(Outlook、Thunderbirdなど)から連絡先リストを窃取し、それらのアドレスに向けて自動的に感染メールを送信します。特に巧妙なのは、過去のメールスレッドに返信する形で送信される点です。実際のやり取りの続きとして送られてくるため、受信者は疑いを持ちにくく、開封率が70%を超えることもあります。
- ネットワーク内伝播
- SMB(Server Message Block)プロトコルの脆弱性を悪用し、同一ネットワーク内の他のコンピュータへ横展開します。特に、EternalBlueなどの既知の脆弱性を悪用し、パッチが適用されていないシステムを狙います。また、パスワードスプレー攻撃やブルートフォース攻撃も併用し、弱いパスワードを使用しているアカウントを突破します。
2. 検出の困難さ
| 回避技術 | 説明 | 検出困難度 |
|---|---|---|
| ポリモーフィズム | 実行のたびにコード変化 | 極高 |
| プロセス偽装 | 正規プロセスに見せかけ | 高 |
| 暗号化通信 | C&C通信をHTTPS化 | 高 |
| 環境検知 | サンドボックス回避 | 中~高 |
| 遅延実行 | 潜伏期間を設ける | 中 |
- ポリモーフィック技術
- Emotetは実行されるたびにコードを変化させ、シグネチャベースの検出を回避します。同じEmotetでも、ハッシュ値が異なるため、従来のアンチウイルスソフトでは検出が極めて困難です。2025年現在、1日あたり数千の異なる亜種が生成されていると推定されています。
- 正規プロセス偽装
- Windowsの正規プロセス(explorer.exe、svchost.exe、services.exe等)に偽装したり、プロセスインジェクション技術を使用して正規プロセスに注入したりすることで、プロセス監視をすり抜けます。タスクマネージャーで確認しても、異常なプロセスとして表示されません。
- C&Cサーバー分散
- 数百から数千のC&C(Command and Control)サーバーを世界中に分散配置し、一部が停止しても動作を継続できる冗長性を持っています。また、ドメイン生成アルゴリズム(DGA)を使用し、日々異なるドメインを生成することで、ブラックリスト化を困難にしています。
3. 多機能性
- 情報窃取機能
- Emotetは、感染したシステムから様々な情報を収集します。メールアカウント情報、ブラウザの保存パスワード、FTPクレデンシャル、SSHキー、各種認証情報などを収集し、攻撃者のサーバーに送信します。この情報は、さらなる攻撃の足がかりとして利用されます。
- 他マルウェアの運搬
- Emotetの最も危険な機能は、他のマルウェアを「運搬」することです。感染後、攻撃者は任意のマルウェアを追加でダウンロード・実行できます。これにより、Emotetは「マルウェアのデパート」として機能し、状況に応じて最適な攻撃ツールを投下します。
- ランサムウェアへの発展
- 多くの場合、Emotet感染から数日〜数週間後にランサムウェアが投下され、データが暗号化されて身代金を要求されます。Emotetは偵察役として内部ネットワークを調査し、最も効果的なタイミングでランサムウェアを展開します。
マルウェアプラットフォームとしての脅威
Emotetが単なるマルウェアではなく、「プラットフォーム」として機能することの意味を詳しく解説します。
配送されるマルウェア例
| マルウェア名 | 種類 | 主な被害 | Emotet経由の割合 |
|---|---|---|---|
| TrickBot | バンキング型 | 金融情報窃取 | 45% |
| Ryuk | ランサムウェア | データ暗号化・身代金要求 | 60% |
| Cobalt Strike | 侵入ツール | 持続的な侵入・諜報活動 | 35% |
| QakBot | 情報窃取型 | 企業ネットワーク侵入 | 40% |
| IcedID | バンキング型 | 金融機関標的 | 25% |
| Conti | ランサムウェア | 二重脅迫 | 50% |
これらのマルウェアは、それぞれ独自の破壊的な機能を持っており、Emotetを経由することで効率的に標的に到達します。特に、ランサムウェアグループとの連携は深刻で、Emotetによる初期侵入から平均14日後にランサムウェアが展開されるパターンが確立されています。
日本における被害状況
2022-2025年の統計
日本におけるEmotet感染は、波状的に発生しており、その規模と影響は年々深刻化しています。
| 時期 | 月間感染件数 | 主な標的 | 特徴 |
|---|---|---|---|
| 2022年3月 | 5万件(ピーク) | 製造業中心 | 請求書偽装メール急増 |
| 2023年上期 | 5千件(沈静化) | 散発的 | 対策強化の効果 |
| 2024年下期 | 2万件(再増加) | 医療・自治体 | 変異型登場 |
| 2025年現在 | 3万件(高止まり) | 全業種 | AI活用型増加 |
2022年3月のピーク時には、日本は世界で最もEmotetの被害を受けた国となりました。この時期、JPCERT/CCには1日あたり数百件の相談が寄せられ、対応が追いつかない状況でした。
実際の被害事例
事例1:某製造業(2024年11月)
中堅自動車部品メーカーでの大規模感染事例を詳しく分析します。
- 企業概要
- 従業員数:1,200名、年商:450億円、国内3工場・海外2工場を運営する自動車部品メーカー。トヨタ、日産、ホンダなど大手自動車メーカーのティア2サプライヤーとして、重要な部品を供給していました。
- 感染経路
- 2024年11月15日午前9時23分、経理部の担当者が「請求書の件【至急】」という件名のメールを受信。送信元は実在する取引先企業のドメインで、過去のメールのやり取りへの返信形式でした。添付されたExcelファイル「請求書_202411.xlsm」を開き、「コンテンツの有効化」をクリックしたことで感染が始まりました。
- 感染拡大の経緯
- 初期感染から3時間で、同じ部署の15台のPCが感染。6時間後には、社内ネットワークを通じて全社500台のPCに感染が拡大。さらに、VPN経由で海外工場のシステムにも感染が広がりました。
- 被害内容
-
・設計図面15,000点が外部流出
・生産管理システムが3日間停止
・取引先200社に感染メール送信
・顧客情報3万件の流出可能性 - 損失額の内訳
-
・システム復旧費用:2億円
・生産停止による機会損失:2.5億円
・取引先への補償:5,000万円
・信用回復費用:3,000万円
総額:5億円(推定)
この事例の教訓は、一人の従業員の不注意が組織全体に壊滅的な被害をもたらす可能性があることです。また、サプライチェーンへの影響により、被害は自社だけに留まらないことも重要なポイントです。
事例2:地方自治体(2025年1月)
人口25万人の中核市での感染事例です。
- 感染の発端
- 2025年1月8日、市民課の職員が「マイナンバーカード更新手続きについて」という件名のメールを受信。総務省を装ったメールで、緊急対応が必要という内容でした。添付されたWordファイルを開き、マクロを有効化したことで感染しました。
- 被害の拡大
- 住民情報システム、税務システム、福祉システムなど、基幹システムすべてに感染が拡大。バックアップシステムも同時に感染し、データの復旧が困難な状況に陥りました。
- 市民への影響
-
・住民票、印鑑証明書の発行停止(2週間)
・税金、保険料の納付処理停止
・福祉サービスの一部停止
・10万人分の個人情報流出懸念 - 対応と復旧
- 全システムの再構築に1ヶ月を要し、その間は紙ベースでの業務を余儀なくされました。外部専門家を含む対策チームを編成し、24時間体制で復旧作業を実施。最終的な復旧費用は3億円に達しました。
業界別感染状況
2025年現在の日本における業界別感染状況を詳しく分析します。
| 業界 | 感染割合 | 主な侵入経路 | 平均被害額 | 特徴的な手口 |
|---|---|---|---|---|
| 製造業 | 35% | 請求書・見積書偽装 | 3.2億円 | サプライチェーン攻撃 |
| 卸売・小売業 | 22% | 注文書・納品書偽装 | 1.5億円 | POS端末への感染 |
| 医療・福祉 | 15% | 厚労省偽装メール | 2.8億円 | 電子カルテ暗号化 |
| 建設業 | 12% | 入札関連偽装 | 8,000万円 | 図面データ窃取 |
| 金融・保険 | 8% | 金融庁偽装 | 5.5億円 | 顧客情報大量流出 |
| その他 | 8% | 各種偽装 | 1.2億円 | - |
製造業が最も狙われる理由は、サプライチェーンの要となっており、一社の感染が取引先全体に波及する可能性が高いためです。また、知的財産の価値が高く、設計図面や製造ノウハウの窃取による損害が甚大になることも要因です。
Emotetの感染手法詳細
主要な感染経路
Emotetの感染経路は多様化しており、常に新しい手法が開発されています。2025年現在の主要な感染経路を詳しく解説します。
1. メール添付ファイル
メール添付ファイルは依然として最も一般的な感染経路で、全感染の約70%を占めています。
- Word/Excel マクロ
- 最も一般的な手法で、ビジネス文書を装ったファイルにマクロを仕込みます。「コンテンツの有効化」や「編集を有効にする」ボタンをクリックさせる手口が主流です。最新版では、マクロの実行を促す説得力のある理由(「以前のバージョンで作成されたため」「セキュリティ保護のため」など)が表示されます。
- パスワード付きZIP
- セキュリティソフトのスキャンを回避するため、パスワード付きZIPファイルを使用します。パスワードはメール本文に記載されており、「セキュリティのため」という理由で正当化されます。日本では「パスワード付きZIPの慣習」(PPAP)が残っているため、特に効果的な手法となっています。
- PDFに偽装したファイル
- アイコンをPDFに偽装した実行ファイル(.exe、.scr)を添付します。Windowsのデフォルト設定では拡張子が表示されないため、多くのユーザーが本物のPDFファイルと勘違いして実行してしまいます。
- OneNoteファイル(新手法)
- 2023年から急増している手法で、Microsoft OneNoteファイル内に悪意のあるスクリプトを埋め込みます。OneNoteは多くの企業で使用されており、マクロのような警告が表示されないため、ユーザーの警戒心が低くなります。
2. メール本文のリンク
メール本文に記載されたリンクからの感染も増加しており、全感染の約25%を占めています。
| リンク偽装手法 | 説明 | 検出難易度 |
|---|---|---|
| 短縮URL | bit.ly、tinyurl等でURL隠蔽 | 低 |
| 正規サービス偽装 | OneDrive、Dropboxリンクに見せかけ | 高 |
| QRコード | モバイルデバイス経由の感染狙い | 中 |
| 動的URL生成 | アクセスごとに異なるURL | 極高 |
| リダイレクト | 複数回転送して最終的に悪意あるサイトへ | 高 |
巧妙な偽装テクニック
Emotetの成功の鍵は、その巧妙な偽装テクニックにあります。日本向けの攻撃では、日本の商習慣や文化に合わせた高度な偽装が行われています。
件名の例(2025年版)
2025年に確認された実際の件名を分析すると、日本のビジネス慣習を熟知した攻撃者の存在が明らかです。
ビジネス関連:
- 「請求書の件【至急ご確認ください】」
- 「Re: 見積書送付の件」
- 「インボイス制度対応について(重要)」
- 「【要対応】電子帳簿保存法の件」
- 「賞与明細のご確認」
公的機関偽装:
- 「【厚生労働省】新型コロナワクチン接種証明書」
- 「マイナンバーカード更新のお知らせ」
- 「【国税庁】確定申告に関する重要なお知らせ」
- 「日本年金機構からのご連絡」
季節・イベント関連:
- 「健康診断のお知らせ」(春・秋)
- 「年末調整関連書類」(11-12月)
- 「新年度の組織変更について」(3月)
- 「夏季賞与のお知らせ」(6月)
心理的手法
- 返信メールへの偽装
- 実際のメールスレッドを盗み出し、その返信として送信する手法です。過去のやり取りを引用し、「先日の件について」「お世話になっております」などの自然な挨拶から始まるため、受信者は本物の返信と信じ込みます。開封率は通常のスパムメールの10倍以上に達します。
- 実在組織のなりすまし
- 取引先企業、官公庁、金融機関などの実在する組織になりすまします。ロゴ、署名、フッターまで完璧にコピーされ、送信元アドレスもスプーフィング技術により偽装されます。最新版では、SPF、DKIM認証をパスする高度な偽装も確認されています。
- 緊急性の演出
- 「本日中に」「至急確認」「重要」「緊急」などの文言を多用し、受信者に冷静な判断をさせない工夫がされています。また、「期限を過ぎると○○できなくなります」といった脅迫的な文言も使用されます。
- 興味・好奇心の刺激
- 「あなたの写真が掲載されています」「賞与額のお知らせ」「当選のご連絡」など、開きたくなる内容を装います。また、「機密」「社外秘」といったラベルを付けることで、重要な情報であるかのような印象を与えます。
技術的な動作解析
感染フロー
Emotetの感染から拡散までの詳細なフローを技術的に解説します。
-
メール受信・開封
- フィッシングメールが受信トレイに到着
- 件名や送信者を確認し、信頼できると判断して開封
-
添付ファイル実行
- Word/Excelファイルをダブルクリック
- 「保護ビュー」の警告が表示されるが、「編集を有効にする」をクリック
-
マクロ有効化
- 「セキュリティの警告」で「コンテンツの有効化」をクリック
- VBAマクロが実行開始(AutoOpen、Document_Open関数)
-
PowerShell起動
powershell -NoP -sta -NonI -W Hidden -Enc [Base64エンコードされたコマンド]- マクロがPowerShellを呼び出し
- Base64でエンコードされた悪意のあるスクリプトを実行
-
Emotet本体ダウンロード
- 複数のURLリストから順次ダウンロードを試行
- 失敗した場合は次のURLを試す(冗長性確保)
- %TEMP%や%APPDATA%フォルダに保存
-
C&Cサーバー接続
- HTTPSで暗号化された通信を確立
- 感染端末の情報(OS、ホスト名、IPアドレス等)を送信
- 追加モジュールのダウンロード指示を受信
-
モジュール追加
- メール収集モジュール(Outlook、Thunderbird対応)
- 認証情報窃取モジュール(ブラウザ、メールクライアント)
- 拡散モジュール(SMB、WMIC利用)
- バンキングモジュール(Webインジェクション機能)
-
横展開開始
- ネットワーク内の他端末を探索(SMBスキャン)
- 認証情報を使用してログイン試行
- 成功した端末にEmotetをコピー・実行
使用される技術
Emotetが使用する高度な技術を詳しく解説します。
- 難読化技術
- Base64エンコーディング、XOR暗号化、文字列分割、ジャンクコード挿入など、複数の難読化技術を組み合わせて使用します。また、デバッガ検出機能も実装されており、解析を試みると自己削除する仕組みもあります。
- 永続化メカニズム
- レジストリのRunキーへの登録、タスクスケジューラへの登録、サービスとしての登録、スタートアップフォルダへのショートカット作成など、複数の永続化手法を同時に使用します。一つの手法が削除されても、他の手法で復活する冗長性を持っています。
- 権限昇格技術
- UACバイパス技術、特権昇格の脆弱性(CVE-2021-1675等)の悪用、保存された認証情報の窃取など、様々な手法で管理者権限を取得します。
- 検出回避技術
- プロセスインジェクション(explorer.exe、svchost.exe等への注入)、プロセスホローイング、APIフッキングなど、高度な技術を使用してセキュリティソフトの検出を回避します。
感染確認方法
EmoCheck(JPCERT/CC提供)
日本のJPCERT/CCが開発・提供している無料のEmotet検出ツール「EmoCheck」は、最も信頼性の高い確認方法です。
使用手順
-
公式サイトからダウンロード
- URL: https://github.com/JPCERTCC/EmoCheck
- 32ビット版(emocheck_x86.exe)または64ビット版(emocheck_x64.exe)を選択
- ハッシュ値を確認して改ざんされていないことを確認
-
コマンドプロンプトで実行
cd [ダウンロードフォルダ] emocheck_x64.exe -
結果確認
- 検出時:赤文字で「Emotet was detected」と表示
- プロセス名とプロセスIDが表示される
- 未検出時:「No detection」と表示
-
ログファイル保存
- 実行結果は自動的にテキストファイルとして保存
- ファイル名:emocheck_[実行日時].txt
- インシデント対応時の証拠として重要
EmoCheckの特徴と制限
利点:
- 無料で利用可能
- 日本語対応
- 定期的な更新(最新のEmotet亜種に対応)
- 軽量で高速(数秒で完了)
制限事項:
- 実行時点でメモリ上に存在するEmotetのみ検出
- 休眠状態のEmotetは検出できない可能性
- 完全に駆除する機能はない(検出のみ)
手動確認ポイント
EmoCheckで検出されない場合でも、以下の点を手動で確認することで感染の兆候を発見できる可能性があります。
| 確認項目 | 確認方法 | 不審な兆候 |
|---|---|---|
| タスクスケジューラ | taskschd.msc実行 | 不明なタスク、ランダムな名前 |
| レジストリ | regedit実行、Runキー確認 | 不審な実行ファイルパス |
| ネットワーク通信 | netstat -anコマンド | 不明な外部IPへの接続 |
| PowerShellログ | イベントビューアー確認 | Base64エンコードされたコマンド |
| プロセス | Process Explorer使用 | 異常なプロセスツリー |
Emotet専用対策
予防対策
メール対策
- マクロの自動実行無効化
- グループポリシーやレジストリ設定により、Microsoft Officeのマクロ実行をデフォルトで無効化します。必要な場合のみ、デジタル署名されたマクロのみを許可する設定にします。2022年以降のOfficeバージョンでは、インターネットからダウンロードしたファイルのマクロはデフォルトでブロックされます。
- 添付ファイルのサンドボックス検査
- メールゲートウェイでサンドボックス機能を有効化し、添付ファイルを隔離環境で実行して動作を確認します。疑わしい動作(PowerShell起動、外部通信など)が検出された場合は自動的にブロックします。
- SPF/DKIM/DMARC設定
- 送信ドメイン認証技術を適切に設定し、なりすましメールを防ぎます。特にDMARCポリシーを「reject」に設定することで、偽装メールを確実にブロックできます。
- ユーザー教育の徹底
- 定期的な標的型メール訓練を実施し、不審なメールを見分ける能力を向上させます。月1回以上の頻度で実施し、開封率を10%以下に抑えることを目標とします。
システム対策
| 対策項目 | 実施内容 | 効果 | 導入難易度 |
|---|---|---|---|
| PowerShell制限 | Constrained Language Mode適用 | 高 | 中 |
| AppLocker/WDAC | アプリケーションホワイトリスト | 極高 | 高 |
| セグメンテーション | ネットワーク分離 | 高 | 高 |
| EDR導入 | エンドポイント監視・対応 | 極高 | 中 |
| パッチ管理 | 定期的な更新適用 | 中 | 低 |
感染時の対処
初動対応(ゴールデンタイム:1時間以内)
Emotet感染が疑われる場合、最初の1時間の対応が被害の規模を大きく左右します。
-
ネットワーク即時遮断
- 物理的にLANケーブルを抜く(最優先)
- Wi-Fi接続を無効化
- 感染拡大を防ぐため、電源は切らない
-
感染端末の特定
- EDRコンソールで異常を確認
- ネットワーク機器のログを確認
- 全端末でEmoCheckを実行
-
全社的な対応開始
- インシデント対応チームの招集
- 経営層への第一報
- 全従業員への注意喚起
-
メールシステム停止
- なりすましメール送信を防ぐ
- 送信済みメールの確認
- 取引先への連絡準備
駆除作業
感染が確認された場合の駆除手順を詳しく説明します。
-
感染端末の隔離
- 専用の隔離ネットワークに移動
- または完全にオフライン化
- 他の端末との通信を遮断
-
証拠保全
- メモリダンプの取得(volatility等使用)
- ディスクイメージの作成
- ログファイルのバックアップ
-
Emotet駆除ツール実行
- 各セキュリティベンダー提供のツール使用
- レジストリクリーナーの実行
- 一時ファイルの完全削除
-
OS再インストール検討
- 完全な駆除が困難な場合
- 重要システムは必須
- データバックアップ後に実施
組織での対策事例
成功事例:A社(従業員1000名)
製造業A社は、徹底的な対策により2年間Emotet感染ゼロを継続しています。
対策内容
- 月次の標的型メール訓練
- 毎月異なるシナリオで標的型メール訓練を実施。開封率は当初の35%から5%まで低下。訓練メールを開封した従業員には、即座に教育コンテンツを表示し、その場で学習機会を提供。
- マクロ完全禁止ポリシー
- 例外なくすべてのOfficeマクロを無効化。業務上必要な場合は、IT部門が検証後、デジタル署名を付けたマクロのみを許可。この徹底により、マクロ経由の感染リスクをゼロに。
- EDR全端末導入
- CrowdStrike Falconを全端末に導入。24時間365日の監視体制を構築し、異常な動作を即座に検知・隔離。月額コストは500万円だが、被害防止効果を考えると費用対効果は極めて高い。
- SOC 24時間監視
- 外部のMDRサービスを活用し、24時間体制で監視。深夜や休日の攻撃にも即座に対応可能。月間で平均200件の不審な動作を検知し、うち5件が実際の攻撃だった。
結果
- Emotet攻撃を5回検知、すべて感染前に阻止
- 感染ゼロを2年間継続中
- セキュリティ意識調査で従業員の90%が「高い」と回答
- 取引先からの信頼度向上、新規契約3件獲得
失敗事例から学ぶ
製造業B社の失敗事例から、重要な教訓を学びます。
B社の教訓
- マクロ例外設定が穴に
- 経理部門だけマクロを許可していたが、まさにその経理部門から感染。例外設定は攻撃者に狙われやすいポイントとなることを認識すべきだった。
- バックアップ未実施
- コスト削減のため、バックアップを3ヶ月間実施していなかった期間に感染。ランサムウェアに発展し、データ復旧が不可能に。バックアップは保険であり、削減すべきコストではない。
- インシデント訓練不足
- マニュアルは作成していたが、実地訓練を行っていなかった。実際の感染時にパニックとなり、初動が2時間遅れ、その間に全社に感染拡大。定期的な訓練の重要性を痛感。
- 結果:壊滅的被害
- 最終的にランサムウェアに発展し、身代金3000万円を支払うも完全復旧せず。取引先との契約解除、従業員の30%が退職、1年後に事業縮小を余儀なくされた。
まとめ:Emotetと共存する時代
完全撲滅は困難
Emotetは2021年のテイクダウン作戦後も復活し、さらに強力になって戻ってきました。この事実は、Emotetの完全撲滅が極めて困難であることを示しています。
撲滅が困難な理由:
- 犯罪組織の高い収益性(年間数百億円規模)
- 技術的な進化の速さ(月単位で新機能追加)
- 国際協力の限界(犯罪者に安全な国の存在)
- 人的要因の排除不可能(フィッシングは永遠の課題)
レジリエンス構築
完全な防御が不可能である以上、「感染しても被害を最小限に抑える」レジリエンス(回復力)の構築が重要です。
レジリエンス構築のポイント:
- 感染を前提とした多層防御
- 早期発見のための継続的監視
- 迅速な初動対応体制
- 定期的なバックアップと復旧訓練
- インシデント対応計画の策定と更新
Emotetとの戦いは長期戦です。技術的対策と人的対策を組み合わせ、組織全体でセキュリティ文化を醸成することが、最も効果的な防御となります。一人ひとりの意識と行動が、組織全体を守る最後の砦となることを忘れてはいけません。
更新履歴
- 初稿公開
