近年、企業や組織を狙ったサイバー攻撃の中でも特に被害が広がりやすいマルウェアとして「エモテット」が知られています。メールをきっかけに感染が拡大し、気づかないうちに社内や取引先へ影響が及ぶ、注意が必要なマルウェアのひとつです。

本記事では、エモテットの基本的な仕組みや特徴、感染を防ぐための対策をわかりやすく解説します。

エモテットの主な感染経路は、メールに添付されたファイルや本文中のリンクです。

攻撃者は実在する企業や取引先を装い、「請求書を確認してください」「配送の件でご連絡します」といった業務連絡のような内容のメールを送信します。受信者が添付されたWordやExcelファイルを開き、指示に従ってマクロ機能を有効化すると、不正プログラムがダウンロードされます。その結果、感染が成立します。

また、過去のメールの返信を装った「スレッドハイジャック」と呼ばれる手口も使われています。送信者名やメール本文が本物らしく見えるため、受信者が疑いにくい点が特徴です。

その結果、通常の業務メールと区別できず、組織内で感染が広がる原因となります。不審なファイルを開かないといった基本的な行動が、感染防止の第一歩になります。

マルウェアとは、コンピューターに悪影響を与えるソフトウェア全般を指す総称です。その中にエモテットやランサムウェアといったさまざまな種類が含まれます。

エモテットは主に別のマルウェアを侵入させる入口として利用されるケースが多く、ランサムウェアはデータを暗号化して身代金を要求することが目的です。

そのためエモテットとランサムウェアは別物ですが、エモテットに感染した端末にランサムウェアが後から送り込まれるケースもあります。

つまりエモテットは、それ自体が直接的な破壊活動を行うというよりも、さらに危険なマルウェアを呼び込むための足掛かりとして機能することが多くあります。複数のサイバー攻撃へ発展する可能性を持つため、特に注意が必要です。

エモテットは、感染した端末を起点に社内ネットワーク全体へ被害を広げる能力を持っています。

感染端末に保存されているメールアドレスや連絡先を収集し、それを悪用して次の不正メールを自動的に送信します。また、ネットワークに接続された他の端末に対しても侵入を試みるため、1台が感染すると組織全体に被害が波及するリスクがあるため、十分な注意が必要です。

さらに、感染端末を踏み台にして取引先や顧客へ不正メールを送るケースもあり、自社内にとどまらず外部への二次被害にもつながりかねません。

感染の連鎖が速く、被害範囲が一気に拡大するのがエモテットの脅威です。

エモテットは通常のメールのやり取りを装うため、見た目だけでは不審と判断しにくい点も特徴です。

感染してもパソコンの動作が急に遅くなるといったわかりやすい異変が出るとは限らず、画面上は普段どおり使える状態のまま情報が外部に送信され続けることがあります。

不正メールには実際の会社名や担当者名が使われることがあり、過去のメール内容が引用されるケースもあります。そのため、受信者は正規の連絡だと思い込み、添付ファイルを開いてしまうのです。

見た目の自然さゆえに「知っている相手からのメールだから安全」という思い込みが生じ、感染を招くことがあります。そのため、メールの確認方法や社内のセキュリティー対策を強化する取り組みが重要です。

エモテットは一度検知・駆除しても、再び感染する可能性がある点に注意が必要です。感染した端末から盗み取られたメールアドレスや通信情報は、攻撃者のサーバーに保存される場合があります。その結果、同じ組織や取引先を狙った不正メールが再び送られる可能性が高まります。

また、ネットワーク内の別の端末にすでにエモテットが潜伏していた場合、駆除した端末の再感染も否定できません。

加えて、エモテットは定期的に形を変えて新しいバージョンが出現するため、古いウイルス定義ファイルでは検知できないケースもあります。そのため、1台の駆除で安心せず、組織全体での確認と対策が欠かせません。

エモテットに感染した端末では、保存されているメールアドレスや氏名などの情報が攻撃者に送り出される可能性があります。

メールソフトに残っている過去のやり取りも収集対象です。そのため、取引先や顧客の個人情報が外部に漏れるリスクがあります。さらに、盗み取ったメール情報を使って不正メールが送られるため、自社が加害者になってしまう可能性もあります。

個人情報保護法（第26条）では、一定の要件を満たす情報漏えいが発生した場合、監督機関への報告や本人への通知が求められています。

被害は端末の中だけにとどまらず、広範囲に波及することを念頭に置いておく必要があります。

エモテットは単体で破壊活動を行うだけでなく、感染した端末に別のマルウェアを呼び込む可能性があります。特に注意が必要なのが、ランサムウェアへの感染です。

ランサムウェアに感染すると、パソコン内のファイルが暗号化されて開けない状態になり、もとに戻すための身代金を要求するメッセージが表示されます。要求に応じても復旧できる保証はなく、支払いが新たな攻撃を招くケースもあります。

ファイルサーバーやバックアップ領域にまで被害が及ぶと、業務データの大部分が失われる事態にもなりかねません。重要な業務システムが停止すれば、企業活動に大きな影響が及びます。

エモテットへの感染が明らかになると、取引先や顧客への影響は避けられません。感染した端末から不正メールが届いた場合、取引先や顧客からの信頼低下につながるおそれがあります。

謝罪や状況説明の対応に追われるなか、通常業務を続けることは極めて困難です。また、感染端末やネットワークを隔離・調査する期間中は、メール送受信や社内システムの利用が制限されるため、受注・発注・契約など業務全般が止まるリスクもあります。

復旧作業には、専門業者の費用、調査・通知コスト、機会損失なども加わるため、金銭的な打撃は長期にわたることがあります。

被害が表面化した後の対応コストの大きさを考えると、感染を防ぐ対策と迅速な対応体制を整えておくことが重要です。

エモテットの感染リスクを下げるためには、OSやソフトウェアを常に最新の状態に保つことが効果的です。

ソフトウェアには不具合や弱点が見つかることがあり、攻撃者はその弱点を利用して不正プログラムを侵入させる場合があります。開発元はこうした問題を修正する更新プログラムを定期的に提供しているため、更新を適用することで安全性を高められます。

特にWindowsやMicrosoft Officeなど、業務で利用するソフトウェアは早めの更新が大切です。社内に古いOSを使い続けている端末がある場合は、サポート期限の確認と入れ替えの検討も合わせて行うことをおすすめします。

エモテットの感染には、WordやExcelの「マクロ機能」が悪用されるケースが多く見られます。マクロとは、ファイルの中に組み込まれた自動処理のプログラムのことです。

攻撃者はこの機能を使って、ファイルを開いた瞬間に悪意あるプログラムが動き出すよう仕込んでいます。Officeでは「マクロの自動実行を無効にする」設定が可能で、これを組織全体に適用することで感染リスクを下げられます。

また、「コンテンツを有効にする」ボタンを安易にクリックしないよう、従業員への周知も合わせて行うことで対策の強化が可能です。

業務上どうしてもマクロが必要な場合は、信頼できる送信元からのファイルのみに限定しておくことも有効です。

感染被害を最小限に抑えるうえで、バックアップの整備は欠かせない対策のひとつです。

ランサムウェアによってファイルが暗号化された場合でも、バックアップがあれば業務データを復旧できる可能性があります。ただし、バックアップ先がネットワークでつながっている場合には、そちらまで感染・暗号化されるリスクがあるため注意が必要です。

より安全性を高めるためには、インターネットから切り離した外付けドライブやオフラインのストレージに定期的にバックアップをとる方法が有効です。

また、バックアップはとるだけでは不十分で、実際に復元できるかどうかの確認も定期的に行う必要があります。万が一の際に、復元できない事態を防ぐことにつながります。

どれだけ技術的な対策を整えても、最終的にファイルを開くのは人です。不正メールの巧妙さを知らない従業員がいれば、組織全体が危険にさらされる可能性があります。

そのため、定期的なセキュリティー研修を実施し、不審なメールの見分け方や、添付ファイルを開く前の確認手順を全員が実践できる状態を維持することが重要です。

知っている相手からのメールでも添付ファイルは安易に開かない、マクロの有効化を求めるファイルには注意するといった行動指針を共有することで組織全体のセキュリティー意識を高めやすくなります。

個人の注意だけに頼るセキュリティー対策には限界があります。

組織として取り組む際には、専門のセキュリティーソリューションの活用が効果的です。たとえば、EDR（エンドポイント検出・対応ツール）は端末の挙動を監視し、不審な動きや通信を検知する仕組みです。エモテットのようなマルウェアによる不審な通信や拡散の兆候を早期に把握し、迅速な調査や対処につなげられます。

また、メールセキュリティーソリューションを導入することで、不正メールがそもそも受信者のもとに届かないよう水際でブロックすることも可能です。

自社の規模や運用体制に合ったソリューションを選ぶためには、専門ベンダーへ相談することも選択肢のひとつです。