マルウエア「Emotet(エモテット)」が猛威を振るっている。JPCERTコーディネーションセンター(JPCERT/CC)は2019年11月27日、同マルウエアの流行を受けてWebサイトで注意喚起を促した。

 首都大学東京は2019年11月1日、教員のPCがEmotetに感染して1万8843件のメールが不正に流出したと明らかにした。同25日には京都市観光協会が「職員のPCがマルウエアに感染し、迷惑メールが送信された」と公表した。「調査中だが、感染したマルウエアはEmotetだと認識している」(同協会)。

 Emotetの大流行は5年ぶりだ。JPCERT/CCの佐條研インシデントレスポンスグループセキュリティアナリスト/マルウェアアナリストは「2019年10月から感染報告や相談が相次ぎ、11月末時点で数十件寄せられている」と話す。同氏は「ここまで多くの相談が寄せられたマルウエアは珍しい」と、さらなる感染拡大に警鐘を鳴らす。

 現在日本で流行するEmotetは主にメールを介して感染を広げている。ほかにもActive Directoryやファイル共有サービスを通じて社内PCが感染するケースもあるという。

 Emotetに感染するとPCに保存されたメール内容やメールアドレスが盗まれ、ネット上の指令サーバー(C&Cサーバー)に送られる。攻撃者はこの情報を基に別の感染者から不正メールを送信させて、さらに感染を拡大する。

 不正メールは送信者名に普段やり取りしている人物の名前を使い、返信メールを装って送られる。攻撃を受けた人は普段やり取りしている人からの返信メールと勘違いして添付ファイルを開いてしまう(図1)。

図1●Emotetに感染する仕組み
(JPCERTコーディネーションセンターの資料を基に作成)
[画像のクリックで拡大表示]

対策はマクロの無効化

 Emotetに感染しないための対策は何か。佐條アナリストは「マクロを実行しない」または「無効にしてしまう」方法を挙げる。EmotetはOfficeファイルのマクロを使って感染する。マクロがWindowsに標準搭載されるPowerShellを起動させ、PowerShellコマンドでEmotet本体をダウンロードして実行する。

 主に日本ではWordファイルに仕込んだマクロでEmotetに感染させる場合が多い。ただしWordの初期設定ではメールに添付されたWordファイルを開いても不正なマクロは実行されない。Word上部に表示される「コンテンツの有効化」ボタンをクリックして初めて感染する。

 しかし「警告なしにマクロを実行してしまう環境なら早急な対応が必要」(佐條アナリスト)という。設定によっては確認なしにマクロを実行してしまうからだ。Emotetの感染拡大を防ぐためにも、まずPCのマクロ設定を確かめておきたい。