【Emotet（エモテット）とは】過去の脅威ではない？最悪の「運び屋」マルウェアの手口と最新対策

Emotet（エモテット）とは？

単なるウイルスではない、最悪の「マルウェアの運び屋」

Emotetは、それ単体でパソコンのデータを破壊するような単純なウイルスではありません。最大の特徴は、感染したパソコンを操り、凶悪なマルウェア（ランサムウェアなど）を外部からダウンロードしてくる「運び屋」として機能することです。

感染すると“組織のメールアカウントを乗っ取り、取引先を巻き込む”極めて危険な特徴

一度感染すると、パソコン内のメールソフトから「過去のやり取り」や「アドレス帳」が盗み出されます。攻撃者はその情報を悪用し、あなたの会社名を騙って取引先へウイルス付きメールをばらまきます。つまり、自社が被害者であると同時に、一瞬にして「加害者」へと変わってしまう極めて厄介な性質を持っています。

ランサムウェア被害の「入り口」となる恐ろしい仕組み

Emotetに感染したパソコンには、次々と別のマルウェアが送り込まれます。その最終的な行き着く先が「ランサムウェア（身代金要求型ウイルス）」によるデータの暗号化とシステム破壊です。Emotetへの感染は、企業が致命傷を負うための“第一段階”に過ぎません。

関連記事：【ランサムウェアとは】企業の事業継続を脅かす脅威｜最新手口、感染経路、必須対策、復旧までを徹底解説

なぜ騙されてしまうのか？Emotetの極めて巧妙な4つの手口

Emotetがこれほどまでに猛威を振るった理由は、「誰もが騙されてしまう心理的な罠」にあります。

手口①：実在の取引先を装う「返信型（リプライチェーン）」のスパムメール

過去に実際にやり取りしたメールの件名（「Re: 昨日の会議の件」など）や本文をそのまま引用し、取引先を装ってメールを送信します。実在する取引先の担当者名で送られてくるため、スパムメールだと見抜くのは非常に困難です。

手口②：正規の業務連絡に見せかけた「悪意のあるURLリンク」への誘導

偽装メールには、「請求書」や「賞与支払届」といった業務連絡を装う文章とともに、ファイルをダウンロードさせるためのURLリンクが記載されています。ファイルを直接添付するのではなく、リンクを踏ませて悪意のあるWordやExcelファイルをダウンロードさせることで、メールのセキュリティ検知をすり抜ける巧妙な手口です。過去にはパスワード付きZIPファイルが直接添付されるケースも多発しました。

出典：IPA「URLリンクを悪用した攻撃メールの例」
https://www.ipa.go.jp/security/emotet/situation/emotet-situation-01.html

手口③：ファイルを開き「マクロを有効化」させる巧妙な誘導

添付されたファイルを開くと、「コンテンツの有効化をクリックして閲覧してください」といった案内画面が表示されます。指示に従って「コンテンツの有効化」ボタンを押した瞬間に、裏側でEmotetがダウンロードされ、感染してしまいます。

出典：IPA「Excelファイル内に書かれている偽の指示の変更について」
https://www.ipa.go.jp/security/emotet/situation/emotet-situation-13.html

手口④：アドレス帳を盗み出し、自社を「加害者」に変える増殖手法

感染すると、パソコン内のアドレス帳やメールデータが攻撃者のサーバーに送信されます。そして、今度は「あなたの名前」を騙った新たなEmotetメールが生成され、取引先へと送信されます。こうして、自社が加害者となるサイクルが始まります。

「Emotetはもう消滅した」という危険な誤解

国際的警察機関によるテイクダウン（制圧）と、幾度もの活動再開

「Emotetのニュースは最近聞かないので、今はもう大丈夫だろう」と考えるのは非常に危険です。確かにEmotetは、2021年にユーロポール（欧州刑事警察機構）などの国際的な警察機関の合同作戦により、一度インフラがテイクダウンされました。しかし、その後何度も活動を再開し、日本企業にも感染の波が押し寄せています。

QakBot（Qbot）など、Emotetの手口を引き継ぐ「次世代型マルウェア」の台頭

仮にEmotet自体が活動を停止したとしても、「実在する取引先からの返信を装い、マクロで感染させる」というEmotetが確立した“成功モデル”は、他の犯罪グループに完全にコピーされています。「QakBot（Qbot）」や「IcedID」など、同様の手口を使う次世代のマルウェアが次々と台頭しています。

攻撃グループは入れ替わり続け、手口は継続・強化される

サイバー犯罪は分業化されており、マルウェアの開発者、運び屋、ランサムウェアの実行犯はそれぞれ別の組織です。プレイヤーが入れ替わっても「メールの信頼を悪用する手口」は残り続け、さらに巧妙に強化されているのが現実です。

【実践】「怪しいファイルを開いてしまった…」時の正しい初動対応

もし「取引先からのファイルを開いてマクロを有効化してしまった」「直後に怪しい動作をした」と気づいた場合は、以下の手順で迅速に対応してください。

Step1：感染疑いのあるPCをネットワークから即時切断（有線/無線）

真っ先にやるべきは、被害の拡大を防ぐことです。LANケーブルを抜き、Wi-Fiのスイッチをオフにして、端末をネットワークから完全に物理切断してください。

Step2：二次被害を防ぐための「メールパスワードの即時変更」

メールアカウントの認証情報が盗まれている可能性が高いため、別の安全な端末（スマートフォンなど）から、該当するメールアカウントのパスワードを直ちに変更してください。

Step3：専門ツール（EmoCheck等）やEDRを用いた感染調査と駆除

JPCERT/CCが無償公開しているEmotet確認ツール「EmoCheck（エモチェック）」や、導入済みのEDR（エンドポイントでの検知・対応ツール）を使用して、感染の有無を調査し、マルウェアの隔離・駆除を行います。

Step4：取引先や関係者への「注意喚起（お詫び）」の実施

自社からウイルス付きメールがばらまかれている可能性がある場合、被害の連鎖を防ぐため、速やかに取引先や関係各所へ「自社を騙る不審なメールを開かないよう」注意喚起の連絡を行います。

Step5：フォレンジック調査が必要になるケースも多い（証拠保全）

Emotetは「運び屋」であるため、すでにランサムウェアなどの別の脅威が社内ネットワークに侵入している危険性があります。端末の電源を入れたまま証拠保全を行い、専門業者によるフォレンジック（原因・影響範囲の調査）を依頼することを強く推奨します。

Emotet（および類似マルウェア）を防ぐ「4つの根本対策」

メールの文面だけで攻撃を見抜くのが難しい以上、システムとルールの両面から強固な防御壁を築く必要があります。

対策①：Office製品における「マクロ自動実行」の無効化

Emotetの最大の感染経路である「マクロの実行」を元から絶ちます。Microsoft社もインターネットから取得したマクロをデフォルトでブロックする措置を取っていますが、自社のポリシーでも、マクロの自動実行が無効化されているか確認してください。

対策②：従来のアンチウイルスをすり抜ける脅威を捉える「EDR」の導入

パターンマッチングに依存する従来のアンチウイルスソフトでは、日々形を変えるマルウェアを防ぎきれません。万が一ファイルを開いてしまっても、その後の「不審な動き」を検知して自動で隔離するEDRの導入が必要です。

関連記事：今さら聞けない「EDR」とは？基本的な役割と導入後の運用課題をわかりやすく解説

対策③：不審なメールを見抜く従業員教育と「標的型攻撃メール訓練」

システムをすり抜けてきたメールに対しては、人による「気づき」が最後の砦となります。「マクロの有効化ボタンは絶対に押さない」「不自然なメールは送信元に電話で確認する」といった基本ルールの徹底と、定期的な疑似メール訓練を実施します。

対策④：多要素認証（MFA）の導入とゼロトラストネットワークの構築

メールアカウントのパスワードが盗まれても不正アクセスを防げるよう、多要素認証（MFA）を必ず導入してください。同時に「社内ネットワークは安全」という境界防御の前提を捨て、すべての通信を検証するゼロトラストアーキテクチャへの移行を進めます。

まとめ：取引先の「信頼」を悪用する卑劣な攻撃。システムと人の両輪で守る体制を

Emotetおよびその手口を踏襲したマルウェアは、長年培ってきた「取引先との信頼関係」に影響を与えるリスクがあるサイバー攻撃です。

マクロの無効化やEDRといった「システムによる強固な防御」と、少しでも怪しいと感じたら立ち止まる「従業員のセキュリティ意識」の両輪を機能させ、自社と大切な取引先をサイバー脅威から守り抜く体制を構築しましょう。