2014年に世界的に大流行したウイルス「Emotet(エモテット)」が再び猛威を振るっている。2019年11月1日には首都大学東京が「教員のPCがEmotetに感染し、1万8843件のメールが不正に流出した」と発表。11月25日には京都市観光協会が「職員のPCがウイルスに感染し、迷惑メールが送信された」と公表した。同協会によれば「調査中だが、感染したウイルスはEmotetだと認識している」という。

 Emotetの流行を受け、JPCERTコーディネーションセンター(JPCERT/CC)は11月27日にWebサイト「CyberNewsFlash」で注意喚起を出した。JPCERT/CCの佐條研インシデントレスポンスグループセキュリティアナリスト/マルウェアアナリストは「2019年10月からEmotetの感染報告や相談が相次ぎ、11月末の時点で数十件寄せられている」と話す。同氏によれば「ここまで相談が寄せられたウイルスは珍しい」といい、さらなる感染拡大に警鐘を鳴らす。

2014年当時から進化

 Emotetが最初に流行したのは2014年。当時のEmotetは感染者のPCにキーロガーなどを仕込み、ネットバンキングの情報を抜き取るバンキングマルウエアとして恐れられた。現在流行中のEmotetは海外でバンキングマルウエアやランサムウエアなどと一緒に配布され、攻撃対象を拡大している。Emotet自体はモジュール型のウイルスであり、モジュールの追加で様々な不正操作が可能だ。

 現在日本で流行するEmotetは主にメールを介して感染範囲を広げている。Active Directoryやファイル共有サービス通じて社内PCが感染することもあるという。

 Emotetに感染するとPCに保存されたパスワード、メール内容やメールアドレスが盗まれ、ネット上の指令サーバー(C&Cサーバー)に送られる。Emotetはこの情報を基に別の感染者から不正メールを送信させる。

Emotetの感染で生じる被害のイメージ図
(出所:JPCERTコーディネーションセンター)
[画像のクリックで拡大表示]

 例えばユーザーAとメールをやり取りしているユーザーBがEmotetに感染したとする。ユーザーBが保持するメール内容やメールアドレスはC&Cサーバーに送られ、C&Cサーバーは別の感染者であるユーザーCからユーザーAに向けて不正メールを送信するわけだ。しかもユーザーBがユーザーAのメールに返信したように見せかけて不正メールを送り付ける。ユーザーAは普段メールのやり取りがあるユーザーBからの返信メールと勘違いして添付ファイルを開いてしまう。

この先は有料会員の登録が必要です。有料会員(月額プラン)は初月無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら