EMOTETとは

EMOTET（エモテット）は、2014年頃に登場したトロイの木馬型マルウェアです。その後のバージョンアップで機能が大幅に拡張され、現在では情報窃取、他のマルウェアの配布、さらにはランサムウェアの侵入ツールとしても悪用される「多機能型マルウェア」となっています。EMOTETは単独で行動するだけでなく、他の攻撃者が利用する「マルウェア・アズ・ア・サービス（MaaS）」の一形態としても流通しており、サイバー攻撃のインフラの一部を担っています。そのため、EMOTETは単なる感染型マルウェアを超え、サイバー攻撃の起点として非常に重大な脅威となっています。

主な感染経路

EMOTETは主に「スパムメール」を介して感染します。特に、取引先や社内からのメールを装った攻撃メールが多く、添付されたWordやExcelファイルなどを開かせ、マクロを有効化させることで感染するパターンが多く見られます。これらのファイルは業務上自然に見える文書（請求書、納品書、会議資料など）として偽装されており、受信者の警戒心を低下させます。また、近年では、悪意のあるURLリンクを記載し、クリックさせて外部サーバーからEMOTET本体をダウンロードさせる手口も多発しています。さらに、感染後にネットワーク内の他の端末へと感染を拡大する横展開機能も備えている場合があり、企業全体に被害が及ぶケースが多く報告されています。

感染後の挙動

EMOTETに感染すると、まず社内ネットワーク内の他の端末やサーバーへの横展開が行われます。これにより、ネットワーク内の複数の端末が次々と感染していきます。また、感染した端末からはメールアカウントやパスワードなどの資格情報が窃取され、攻撃者に送信されます。さらに、EMOTETは他のマルウェアやランサムウェアを後からダウンロードして実行する「マルウェアの配布役」としても機能します。このため、EMOTETの感染は、単なる情報漏洩だけでなく、ネットワーク内全体の業務停止やデータ暗号化など、被害を深刻化させる原因となります。

EMOTETの特徴的な手口

攻撃者はまずターゲット企業の従業員や取引先の端末を、EMOTETなどのマルウェアに感染させます。感染した端末からは、過去の業務メールのスレッド（送受信履歴、本文、件名、宛先リストなど）が窃取され、攻撃者のサーバーに送られます。さらに、攻撃者は、窃取した実際のスレッドに対して「返信」の形式で不正なメール（マルウェア付きファイルや悪意あるリンク付き）を送信します。受信者は「取引先からの通常の連絡」と誤認しやすく、添付ファイルやリンクを疑わずに開いてしまうリスクが高まります。また、企業ロゴや署名まで巧妙に偽装されるケースも多く、一般的なフィッシングよりも見抜くことが困難です。こうした悪意あるテクニックがEMOTETの感染拡大の原因になっています。

被害事例と影響

EMOTETによる被害は、日本国内でも多数発生しています。自治体では感染により行政サービスが一時停止したり、企業ではメールサーバーがダウンしたり、業務が数日間停止したりなどの事例が報告されています。また、感染端末から社外へスパムメールが大量に送信され、取引先からの信頼を損なうケースもあります。さらに、EMOTETはランサムウェアの配布に繋がるため、サーバーや業務システムの暗号化により、身代金を要求される深刻な被害も多発しています。これにより、インシデント対応費用、業務停止による損害、法的対応など、金銭面・信用面のダメージは甚大です。特にリソースの限られた中小企業では、事業継続が困難になるリスクもあります。

防御策・対策

EMOTET対策は「多層防御」が基本です。まず、スパムフィルタやサンドボックスによるメールセキュリティの強化が重要です。併せて、Officeマクロの自動無効化設定や、メールゲートウェイでの添付ファイル制御も有効です。次に、エンドポイントにはEDR（エンドポイント検知・対応）や最新のアンチウイルスソフトを導入し、端末内での不審な動作を即座に検知・隔離できる体制を整えます。さらに、従業員へのセキュリティ教育を通じて、不審なメールの見分け方やマクロ有効化の危険性を周知徹底することも不可欠です。あわせて、OSやアプリケーションの脆弱性を狙われないよう、定期的なパッチ適用も基本対策の一つです。