“進化するウイルス”があなたを襲う、恐怖はメールからやってくる

　残念なことですが、サイバー犯罪者が使う技術は日々進化しています。

　犯罪者が、PCやIoT機器にインストールさせる「悪意を持ったプログラム」をマルウェアと呼びますが、新しい機能を備えたり、新しい手口を盛り込んだマルウェアが続々と登場しているのです。

　マルウェアには、ウイルスやスパイウェア、ワーム、ランサムウェアなど、さまざまなタイプがありますが、昨今大きな問題になっているのが「マルウェアの総合プラットフォーム」として動作する「Emotet」（エモテット）という名前のウイルスです。

ネット犯罪の技術は日々進化します。知らない間に感染していた……なんてことにならないように注意しましょう （Image:Shutterstock.com）

　例えば、「感染したPCに他のマルウェアを呼び込んで被害を拡大する」「ネットバンキングの認証情報を盗み見る」「PCのデータを勝手に暗号化し、身代金を要求する」「送受信したメールを勝手に再利用し、“本物の文面”と“本物の送信元”を使って、感染拡大を狙うニセメールを発信する」などやりたい放題です。

　Emotetは主に請求書などを装うメールに記載されたURLや、添付されたWord形式のファイルを開くことで感染します。新型コロナウイルスをネタにしたメールが出回るなど、時期やトレンドに合わせたものも確認されています。2019年10月以降、日本国内での感染事例が急増しました。

　マルウェアは市販のセキュリティソフトなどで検知・除去することができますが、脅威を全て防げるとは限りません。一度感染すると駆除に手間が掛かったり、家族や友人、取引先などにも迷惑をかけてしまう恐れがあります。

　今回は、進化するマルウェアの1つとしてEmotetを例に挙げて、その特徴や対策についてご紹介します。

【今回のポイント】

「Emotet」は進化することで被害を拡大

知人や取引先をかたるメールの添付ファイルに注意

Wordのマクロ機能の自動実行は無効化して対策

【記事提供者より】

「ますます重要になるインターネットを安心して使ってほしい」というのが我々の思いです。
@niftyは在宅ライフを支援するプロバイダーとして「安全で、安心できるサービス」を提供していますので、ぜひご活用をご検討ください。[詳細はこちら]

「マルウェアは仲間を呼んだ！」一度、感染するとさまざまなマルウェアを呼び込む恐怖……

　Emotetが最初に現れたのは、2014年夏のことです。当初はネットバンキングの認証情報を狙う機能を持っており、メール経由で拡散していました。

　請求書メールを装っており、URLをクリックするとEmotetがダウンロードされてしまうのです。他にもメールに添付されていたWord形式のファイルを開くことで、感染するケースもあります。

　一見無害のファイルのように偽装して感染するマルウェアは「トロイの木馬」と呼ばれます。ギリシア神話のトロイア戦争で、中に兵士が入っている木馬をイリオスの街に運び込んでしまった話が由来です。

　初期のEmotetは、感染するとネットバンキング関連の認証情報を盗み出すものでした。しかし、窃取する情報は年々幅広くなり、他のマルウェアをダウンロードする機能も追加するようになりました。

トロイの木馬型である「Emotet」はさまざまな機能を追加して感染を広げてきました （Image:Shutterstock.com）

　大手セキュリティ企業のレポートによると、国内で検証した限りでも複数のマルウェアに連鎖的に感染した事例があるそうです。例えば、トロイの木馬型のマルウェアの「URSNIF」に感染すると、ウェブブラウザー上の動作を監視し、ネットバンキングのIDやパスワードなどを盗み見て外部に送信します。さらに、ウェブブラウザーで閲覧している画面のスクリーンショットを撮ることもあります。

　また、Emotet経由で「Ryuk」というランサムウェアに感染することもあります。ランサムウェアとは身代金を要求してくる不正プログラムのことです。感染すると、PC内の全てのデータを暗号化されてしまい、ユーザーがアクセスできないようにしてしまいます。その上で、身代金をビットコインなどの暗号通貨で支払うように求めてきます。数百ドルを支払ったら、データを復号するというのです。大切な写真やメールなど、失いたくない情報も多いことでしょう。しかし、支払ったとしても元通りになるとは限りません。

ランサムウェアに感染すると、PC内のデータが暗号化されて使えなくなってしまいます

　2020年2月には、Wi-Fiネットワークに侵入し、他の端末に感染を広げる新機能を搭載したEmotetの亜種が現れました。セキュリティツールで駆除したとしても、周囲から再感染してしまう可能性があります。

　Emotetは感染した端末で「ボットネットワーク」を構築し、遠隔操作を受け付けることが可能なため、犯罪者の意図によって感染活動がこのように変化していると考えられています。ボットネットワークとは、マルウェアを介して支配されている数十万台のPC・各種デバイス群の総称です。犯罪者が攻撃先を指示すると、これらのデバイスが一斉に攻撃を行い、サーバを停止、その隙に不正アクセスで情報を盗んだり、ウェブサイトを改ざんするといったことに利用されてしまいます。

請求書や賞与支給のメールに偽装してクリックさせる最近は「新型コロナ対策」のメールまで……

　Emotetは主にメール経由で拡散しますが、添付のWordファイルを開かせたり、URLをクリックさせるために件名や本文を工夫しています。

　例えば、請求書を装うことがあります。仕事をしていると請求書を出したり受け取ったりします。当日にその予定がなくても、送られてきたら中身を確認しようと思うのではないでしょうか。

　添付のWordファイルを開くと、ファイルを閲覧するために「コンテンツの有効化」ボタンを押すように促すメッセージが表示されます。画面上部にはセキュリティの警告が出て、「コンテンツの有効化」というボタンが現れます。この時点ではEmotetに感染していませんが、ボタンをクリックし、埋め込まれているマクロプログラムが実行されることで、Emotetをダウンロードするようになっているのです。

「コンテンツの有効化」ボタンを押すとEmotetがダウンロードされてしまいます（JPCERT/CCの注意喚起情報ページより）

　請求書以外にも、謄本や約款、支払い明細などとさまざまなパターンがあります。時期に合わせて、例えば「2020夏・業績賞与支給」「賞与支払」などボーナスに絡んだネタにして、クリックされる確率を上げようとします。偶然、業務として請求書などを扱うタイミングでそのような内容のメールが届いたら、ついつい信じてしまうことでしょう。

　最近であれば、新型コロナウイルスをネタにしたメールも出回っています。感染予防について添付の資料を見るように指示して、ファイルを開かせようとするのです。

実際に届いたメールの例です。実在する会社名を名乗り、請求書を装うWordファイルが添付されています。このファイルにマルウェアが仕込まれているのです

手口は狡猾「知人を装う」「過去のメールを転用する」など……感染して取引先に迷惑をかけることも

　恐ろしいのは、知人からのメールにEmotetが添付されるケースです。Emotetに感染すると、メールアカウントやメールの内容、アドレス帳の情報などが窃取されます。そして、アドレス帳に登録している人全員にマルウェア付きメールを送るのです。

　迷惑メールであれば削除する人でも、知人から来たメールなら警戒心が薄れてしまうのではないでしょうか。さらに、Emotetは過去のメールのやり取りを転用してマルウェアを添付してくることもあるので見破る方が難しいです。

　つまり、感染してしまうと、家族や友人、同僚、取引先などに迷惑をかけてしまいます。自分のメールアドレスからマルウェアがばらまかれたら、とんでもないトラブルになります。

　重要な取引先から「おたくから送られてきたメールを事務員が開いたらウイルスに感染して、PCが使えなくなって、1週間業務が滞ったけど、どうしてくれるの？」と連絡があったらどうしますか？　想像したくありませんよね。

不審なメールの添付ファイルやリンクは開かないことマクロ機能の自動実行の無効化も忘れずに

　Emotetのようなトロイの木馬型のマルウェアに感染しないためには、怪しいメールの添付ファイルやURLを開かなければいいのです。基本的に、メールの添付ファイルやURLは疑う癖を付けることをお勧めします。

　とは言え、知り合いのメールアドレスから送られてくるケースもあるので対処が難しいところです。

　そんな時は、WordやExcelのマクロ機能を実行しないようにしましょう。 まずは、セキュリティ警告の「コンテンツの有効化」を迂闊にクリックしないようにしてください。 また、マクロ機能を元から使わないのであれば、WordやExcelのオプション画面から「トラストセンター」（セキュリティセンター）を開き、「マクロの設定」で「警告を表示せずに全てのマクロを無効にする」に設定しましょう。警告も出ないので、有効化にしてしまうリスクをなくせます。

「コンテンツの有効化」ボタンを迂闊にクリックしないようにしてください

WordやExcelのオプション→トラストセンター→マクロの設定の「警告を表示せずに全てのマクロを無効にする」にチェックするとマクロをオフにできます

　さらに、セキュリティの基本ですが、OSやOfficeアプリを最新の状態にアップデートすることも重要です。マイクロソフトは脆弱性が発見されたらすぐにアップデートして対応します。インストールしておけば、無駄なリスクを減らせます。

　もちろん、ニフティが提供する「常時安全セキュリティ24」のようなセキュリティ対策ソフトをインストールしたり、OSのウイルス対策機能を有効にして、対策することは基本です。

　すでに感染が疑われるなら、JPCERT/CCが公開している「EmoCheck」を利用しましょう。万一感染している場合は「Emotetのプロセスが見つかりました」と表示されるので、「マルウエアEmotetへの対応FAQ」で紹介されている手順で削除しましょう。

「EmoCheck」を実行した画面です。今回は発見されませんでした

　Emotetに感染すると、PCに不正アクセスされてしまうだけでなく、家族や友人などに迷惑をかける可能性が出てきます。トロイの木馬を引き入れて負けてしまったトロイアのようにならないためにも、普段からセキュリティに気を配り、自分の身は自分で守るようにしましょう。

【インタビュー】「任せて安心、と思って欲しい」 @niftyが語る、コロナ時代のプロバイダ

　「自分で安全を守る」意識はとても大切ですが、刻々と変化、高度化するネットの脅威に対し、知識と情報を高めていくのは大変です。大手インターネットプロバイダーの「@nifty」では、「任せておけば安全・安心」を掲げ、プロバイダーならではのセキュリティサービスを実施しています。その思いや、サービスの概要についてインタビューしましたので、是非ご覧ください。