トロイの木馬バンキングマルウェア2014年〜現在

Emotet（エモテット）とは

Emotetは2014年に初めて確認されたトロイの木馬型マルウェアです。当初はインターネットバンキングの認証情報を盗むバンキングマルウェアとして登場しましたが、その後急速に進化し、他のマルウェアを配布するための「配送インフラ」として機能するようになりました。 Europol（欧州刑事警察機構）は「世界で最も危険なマルウェア」と評しています。

1. Emotetの概要と特徴 2. 感染の仕組み 3. 感染経路：メールによる拡散 4. Emotetが呼び込む他のマルウェア 5. 主な被害事例 6. Emotetの活動停止と復活 7. 感染確認の方法 8. 対策・予防方法 9. 感染した場合の対応

1. Emotetの概要と特徴

Emotetの最大の特徴は、その高い「多機能性」と「自己進化能力」にあります。通常のマルウェアは単一の目的（情報窃取・ファイル暗号化など）のために設計されますが、 Emotetはモジュール型の設計を採用しており、攻撃者の目的に応じて機能を追加できます。

▸ 多段階攻撃

感染後に他のマルウェア（TrickBot・Ryukなど）をダウンロードし、より深刻な被害をもたらす

▸ メール窃取

感染端末のメール内容・連絡先を盗み、なりすましメールの送信に悪用する

▸ 横展開

ネットワーク内の他の端末にも感染を広げ、組織全体を汚染する

▸ 持続性

再起動後も動作を継続するため、単純な再起動では除去できない

2. 感染の仕組み

Emotetの感染は主に以下のステップで進みます。

STEP 1

メール受信

実在する人物や企業を装ったフィッシングメールが届く。過去のメールの返信を装うケースが多い（エモテット型攻撃）

STEP 2

添付ファイルを開く

WordやExcelなどのOfficeファイルを開き、「コンテンツを有効化」ボタンを押すとマクロが実行される

STEP 3

Emotet本体のダウンロード

マクロがPowerShellを起動し、攻撃者のC&Cサーバーから本体をダウンロード・実行する

STEP 4

情報窃取・拡散

メールの連絡先・認証情報を盗みながら、感染端末から新たなEmotetメールを大量送信する

STEP 5

追加マルウェアの配布

TrickBot・QakBot・Ryukなどの危険なマルウェアをダウンロードし、さらなる被害を拡大させる

3. 感染経路：メールによる拡散

Emotetの感染経路の大部分はメールです。その巧妙さは他のマルウェアと一線を画します。感染した端末から盗んだ「実際のメールの会話履歴」を利用してなりすましメールを送信するため、受信者が疑いにくいという特徴があります。

⚠ 実際のEmotetメールの例

送信者: 田中太郎 <tanaka@example.co.jp>
件名: Re: 先日のお打ち合わせについて
本文: お世話になっております。先日ご依頼いただいた資料を添付いたします。
添付: 議事録_2024.doc ← ⚠ マクロ入りの悪意あるファイル

このように実在する取引先からのメールに見えるため、セキュリティ意識の高いユーザーでも騙される可能性があります。日本でも2019年・2022年に大規模な感染拡大が確認されており、企業・官公庁・医療機関など広範な組織が被害を受けました。

4. Emotetが呼び込む他のマルウェア

Emotetは単独では動かず、感染後に以下のような危険なマルウェアをダウンロードします。これが「マルウェアの配送インフラ」と呼ばれる理由です。

TrickBotバンキングトロイ

銀行口座の認証情報を盗み、不正送金を行う。Active Directoryの情報も窃取する。

Ryukランサムウェア

企業の重要データを暗号化し、数百万〜数億円規模の身代金を要求する。病院や行政機関への攻撃で有名。

QakBotバンキングトロイ

Emotetと同様にメールを窃取・悪用する。ランサムウェアの配布にも使われる。

5. 主な被害事例

2019年10月〜日本国内企業・官公庁

Emotetによるなりすましメールが日本国内で急増。多くの企業・官公庁が感染し、取引先へ不審メールを送信する被害が続出。

2020年9月ニュージーランド証券取引所

Emotetを起点としたサイバー攻撃により取引所のシステムが複数日にわたって停止。

2021年日本の医療機関・地方自治体

病院や市役所でEmotetへの感染が相次ぎ、業務停止やランサムウェア被害へと発展するケースが多発。

2022年〜Emotet復活後の日本

2021年の摘発後に復活したEmotetにより、日本は世界でも有数のEmotet被害国となった。JPCERTが繰り返し注意喚起を発出。

6. Emotetの活動停止と復活

2021年1月

Europol・FBI・各国法執行機関の合同作戦によりEmotetのインフラが制圧。主犯格2名がウクライナで逮捕される。

2021年4月

感染端末からEmotetを一斉削除するための特殊な更新ファイルが配信され、世界中の感染が駆除される。

2021年11月

Emotetが突如復活。TrickBotのインフラを利用して再拡散を開始する。

2022年〜現在

新たな手口（Excelアドイン・OneNoteファイルの悪用など）を取り入れながら活動継続中。日本でも被害が続いている。

7. 感染確認の方法

以下のツールや方法でEmotetへの感染を確認できます。

EmoCheck（JPCERT/CC製）

JPCERTが公開している無料のEmotet感染確認ツール。Windowsで実行するだけで感染の有無を確認できる。

↗ https://github.com/JPCERTCC/EmoCheck

タスクマネージャーで確認

不審なプロセス名（ランダムな英数字）がWindowsのシステムフォルダから実行されていないか確認する。

レジストリの確認

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run に不審なエントリがないか確認する。

8. 対策・予防方法

最重要Officeのマクロを原則無効化する（「コンテンツを有効化」ボタンは押さない）

推奨不審なメールの添付ファイルは開かない。URLはクリックする前にホバーして確認する

推奨WindowsおよびOfficeを最新状態に保つ

推奨EDR（エンドポイント検出・対応）ツールを導入する

推奨多要素認証（MFA）を有効化し、認証情報が盗まれても不正アクセスを防ぐ

組織向けメールフィルタリングで不審な添付ファイルをブロックする

組織向け社員へのセキュリティ教育・訓練メール（フィッシングシミュレーション）を実施する

9. 感染した場合の対応

⚠ 感染が疑われる場合は直ちに以下を実施してください

1.感染端末をネットワークから即時切断（LANケーブル抜線・Wi-Fi無効化）

2.社内のシステム管理者・セキュリティ担当者に報告

3.EmoCheckで感染確認

4.JPCERT/CCや専門のインシデント対応業者に相談

5.感染端末は初期化を検討（駆除ツールだけでは不完全な場合がある）

6.取引先・関係者に不審メールを送信した可能性があるため、速やかに通知する

まとめ

Emotetは単なるマルウェアではなく、組織全体を壊滅させ得る「攻撃プラットフォーム」です。一度感染すると取引先や関係者にも被害が広がるため、感染前の予防が最も重要です。特に「Officeのマクロを有効化しない」という習慣を組織全体に徹底することが最大の対策です。 Emotetは現在も活動中であり、新しい手口を取り入れながら進化し続けています。最新の情報はJPCERT/CCやIPAの公式サイトで確認してください。