ビジュアル・ニュース解説

メールで感染するマルウエア「エモテット」、攻撃が再び活発に

2023.3.20 掲載
メールを通じて感染を広げるマルウエア(悪意のあるプログラム)「エモテット」による攻撃が再び活発になっています。2019~20年に200以上の国・地域で猛威を振るったエモテットは21年1月に国際捜査で一時停止に追い込まれましたが、同年11月に復活が確認されました。以前はパソコンのメールソフト内のアドレスを盗み、本人になりすました感染メールを拡散するのが主な機能でしたが、クレジットカード情報を盗むなど新たなタイプも現れました。今回はエモテットの感染の仕組みやその脅威、対策について解説します。

1.メールやアドレス帳の情報使ってなりすましメール拡散

1.メールやアドレス帳の情報使ってなりすましメール拡散
 エモテットは2014年に存在が確認されたコンピューターウイルスで、感染したパソコンに保存されたメールやアドレス帳の情報を盗みます。攻撃者は業務ソフトの「ワード」や「エクセル」などのファイルに、インターネットからエモテットをダウンロードして感染させる簡易プログラム「マクロ」を仕込んでパスワード付き圧縮ファイルにするなどしてメールに添付。盗んだ情報を使って、取引相手や知り合いになりすましたメールを送信します。メールを受信した人が添付ファイルを開こうとして、マクロを働かせるための「コンテンツの有効化」のボタンをクリックすると、エモテットがネット上からパソコンにダウンロードされて感染します。メールに添付されたワードやエクセルなどのパスワード付き圧縮ファイルは暗号化されているため、従来型のウイルス対策ソフトでは検知しにくくなります。
 感染するとパソコン内のメールやアドレス帳の情報を使って、過去のメールへの返信を装うなど巧妙なウイルス付き偽メールを次々に配信して感染を広げます。企業内のパソコンが感染すれば、社内や取引先などにウイルスを拡散してしまいます。さらに攻撃者が管理する外部のサーバーに情報を流出させたり、ランサムウエア(身代金要求型ウイルス)を招き入れたりします。ランサムウエアは感染したパソコン内のデータを暗号化してシステムを使えなくしたうえで、復元と引き換えに金銭を要求します。
 エモテットは従来メールソフト内のアドレスを盗むことが主な機能でしたが、より高度な情報を盗む「変異型」も現れています。パソコン内のウェブブラウザ―(閲覧ソフト)に保存されたIDとパスワードを丸ごと抜き出すソフトを内蔵したものや、米グーグルのブラウザー「クローム」内のクレジットカード番号、名義人の氏名、カードの有効期限を盗むものが確認されており、ブラウザー内の認証情報やカード情報が外部に漏洩する恐れがあります。
2023年3月20日掲載