テレワークで感染拡大 猛威ふるう「最恐」ウイルス

テレワークで感染拡大 猛威ふるう「最恐」ウイルス
新型コロナウイルスの感染の広がりが続く中、「最恐」とも言われる別のウイルスが、いま、猛威を振るっているのをご存じですか。その名は「Emotet」(エモテット)。あなたが毎日使っているインターネットの話です。
(科学文化部 記者 鈴木有)

うっかり開いて、被害甚大

ある上場企業の社員が出勤してパソコンを開くと、一通のメールが届いていた。

送り主の欄には、取引先の会社の名前。

過去やりとりした件名がそのまま表示されていた。

メール本文には、その取引先と以前やりとりした内容が引用されている。

Zipファイルが添付され、パスワードも書いてあった。

社員は、普段から怪しいメールには注意していた。

しかし、このときは、ついファイルを開いてしまった。

ウイルス対策ソフトが、アラームを発する。

時すでに遅し、不正なプログラムが実行され、パソコンはウイルスに感染していた。

エモテットだった。

数時間後、取引先から、不審なメールが届いたと言う問い合わせが殺到。

エモテットに感染したパソコンが、勝手に取引先にメールを送りつけていたのだ。

影響を受けた取引先や顧客は50以上に上った。

エモテットに感染すると、パソコンの初期化やメールアドレスの変更を余儀なくされるなど、被害は広範囲に及ぶこともある。

この会社では、システム担当者が少ない中、問い合わせ対応やパソコンの入れ替えなどの対策におよそ1か月間かかった。

会社では、ウイルス対策ソフトを全社員のパソコンに導入、不審なメールを開かないよう訓練も実施していた。

それでも、すり抜けてしまった。

情報システムの担当者は、対策に100%は無いと苦悩を口にした。
情報システムの担当者
「流行の動きがあったので、訓練を行ってきていたが、メールの返信を装っていたという点で、防ぎきれなかった。情報が漏れたことに加えて、対応におわれ貴重な時間が大量に失われてしまった。その後、極力添付ファイルを利用しないことにし、さらに人工知能などを活用したセキュリティーの強化も検討しているが、ヒューマンエラーは、100%防ぐことは難しく、対策もこれで100%正解ということはない。今後も対策を模索し続けていく必要がある」

テレワークで感染拡大

コロナ禍でテレワークをする人が増える中、このウイルスへの感染が勢いを増している。

去年9月、突然、東京の会社で不審なメールが出回った。

送り主は、実在する社員の名前。

そして、本文には「見積もりを再送するので確認してください」「去年もありましたが、今年もやるので確認をお願いします」などと書かれていたが、偽のものだった。

原因は、テレワークを始めた営業担当の社員のパソコンの感染だった。

添付ファイルを開いた社員はほかにもいたが、ほかの社員のパソコンは、社内のネットワークセキュリティーで、感染を防ぐことができた。

テレワークで、社内ネットワークを介さずにメールのやりとりができたことが、落とし穴となった。

対応にあたった担当者は「取引先の情報が大量に流出し、大きな打撃を受けた。メールの返信を装うといった巧妙さがとても脅威。誰もが感染するおそれがあり、テレワークのセキュリティーを高めていくことが必要だと感じている」と話している。

去年の夏と秋に大きな流行

パソコンのウイルス感染などの相談を受け付けている情報処理推進機構では、去年4月から6月までの3か月間で、個人からの相談では、エモテット関係の相談が1件しかなかったが、7月から9月では308件と急激に増加した。

去年10月から12月にかけても93件の相談がよせられた。

また、情報セキュリティー会社の「トレンドマイクロ」によると、去年9月の1か月間でエモテットの感染を狙ったメールが届いた顧客の端末の数は4万6012件に上った。

これは、前の月の8倍になり、過去最大の規模となった。

その後は減少したものの、10月は1万2189件、11月と12月は1000件前後となっている。

エモテットが別のウイルスもダウンロード

脅威は返信を装うだけではない。

このウイルスがさらにやっかいなのは、別のウイルスを呼び寄せるプラットフォームになることだ。

エモテットは、メールの中身を盗み取るが、それを使ってさらに拡散させる機能のほかに、別のウイルスを、感染した端末にダウンロードする機能があるのだ。

情報セキュリティー会社「ラック」は、エモテットに感染した顧客のパソコンの解析を行った。

その結果、解析した10台のうち9台が、エモテットを経由して、別のウイルスにも感染していたことがわかった。

それは「Zloader」と呼ばれるウイルスだった。

このウイルス、感染したまま、WEBサイトでオンラインショッピングや金融機関を利用すると、IDやパスワードの偽の入力画面を表示させ、情報を抜き取ろうとする動きをする。

さらに詳しく解析したところ、標的にされていたWEBサイトは、日本の金融機関やクレジットカード会社、さらにショッピングサイトと、すべて日本のサイトだった。
ラックは「明らかに日本のユーザーを標的にしているといえる」としたうえで、「猛威を振るっているエモテットの感染状況をみると、Zloaderの感染被害に遭っているユーザーは多数存在する。攻撃者は日本の感染端末から情報を窃取している可能性が否めない」と指摘している。

世界の主な標的に、日本も

気になる動きもある。

情報セキュリティー会社のキヤノンマーケティングジャパンによると、去年10月16日にエモテットの大規模な配信が世界中で行われた。

主な標的は、リトアニア、ギリシャ、そして日本だった。

日本では、その3日後にも大規模に配信されていた。

同社のサイバーセキュリティラボの長谷川智久課長は、その具体的な理由についてはわからないものの、最近では、インドネシアやフィリピン、インドなどアジアの新興国などが狙われ始めているとしている。
サイバーセキュリティラボ 長谷川智久課長
「最近は、エモテットは、主に他のウイルスを感染させることが目的で利用されていると見られます。エモテット自体を提供する者と、エモテットを利用して他のウイルスを感染させようとする者など複数が関わっていて、協調して攻撃が行われていると言われています。ただ、だれが、どのように攻撃に加わっているのか、推測することは難しいのが現状です」

激しい“変異”ですり抜ける

このエモテット。

実は、さまざまなセキュリティー対策をかいくぐろうと、まるで新型コロナウイルスのように、次々と変異(メールの文面などが変化)を重ねていることもわかってきた。

国の情報通信の研究を行う「情報通信研究機構」では、去年7月から9月までの3か月間で、職員に届いたエモテットの感染を狙ったメールを調査した。

その数は、1万1421通に上った。

件名は「RE:打ち合わせのお願い」「Re:Re:緑箇所修正のお願い(ver18)」などと、返信を装っているほか、テレワークで使うテレビ会議システムを装うものもあった。

メールの件名の種類をみると、7月が6種類だったが、8月は22種類、9月は36種類とどんどん増えていた。

メール本文の内容も、7月から8月上旬にかけては、「支払い」「会議」に関連したものが中心だったが、8月中旬になると過去の取引先を装ったものが増えていった。

また、添付ファイルの名前も、英語や日本語のものなど次々と変わり、種類を増やしていった。

そして9月には、ウイルス対策ソフトの防御をくぐり抜ける、パスワード付きファイルが登場した。

通常、ウイルス対策ソフトは、不正ファイルの型を、あらかじめブラックリストとして登録し、そのリストにもとづいて防御するが、このファイルの型が急激に増えていたのだ。

ファイルの型は、7月には16種類だったが、8月は117種類、9月は315種類と、2か月で20倍になった。

こうなると、対策ソフトだけでは、なかなか追いつかない。
解析した石原翔太研究員は警鐘をならす。
石原翔太研究員
「以前流行した時に比べて、特徴の推移が激しかった。配信と休止を繰り返しながら様々な特徴が追加されていくのがエモテットで、防御する側の対策自体も変化させていかないと、防ぐことができない。今後も、季節のイベントに合わせた文言の記載や、添付ファイルの種類が変わるなど、さまざまな変化が起きることを想定して、事前に対策をとっておかないと感染がどんどん拡大してしうまう」

エモテット 気をつける4つのこと

被害に遭わないためには、何を気を付ければいいのか。

セキュリティー対策の支援などを行っているJPCERTコーディネーションセンターでは、次の4点を上げている。

1.たとえ取引先からのメールであっても、すぐに信頼して添付ファイルを開かないようにする

2.メールセキュリティー製品を導入してウイルス付きのメールを検知する

3.メールのやりとりの記録を残す

4.OSなどをいつも最新の状態に保つ

また、センターでは、端末がエモテットに感染しているかどうか調べることができるアプリ「EmoCheck」を無償で公開している。

誰もが被害を受けるおそれ

エモテットは、2014年当時に登場したときは、オンラインバンキングのパスワードなどを盗むウイルスだった。

それが、何者かによって断続的に配信が繰り返される中で変異を続け、「メールの返信を装う手口」に進化した。

新型コロナウイルスの感染拡大に合わせては、保健所からのメールを装い、クリスマスが近づいてくるとプレゼントに関する内容に、年末に近づけば「賞与を確認してください」という内容にと、時事や時候にあわせて変化する。

実際にこの年末にも「メリークリスマス」や「賞与支給」という件名のメールが確認された。

また、以前みられていた不自然な日本語があまりみられないようになった。

これまで「日本語」の使い方で、あやしいと疑うことができた。

大量のメールがたまったときや、業務が立てこんだ時には、注意がおろそかになることもある。

しかし、メールを開くだけで、取り返しのつかない被害につながることがある。

新型コロナウイルスの感染拡大で、テレワークの機会が格段に増えているが、同時に、コンピューターウイルスへの感染リスクも高まっている。

いま、誰もが情報セキュリティーへの意識を一段あげていく必要がある。

※被害の全体像や、背景を明らかにする取材のために体験談などを募集しています。下記の投稿フォームから情報をお寄せ下さい。
科学文化部 記者
鈴木有