トップ > 用語解説 > ネットワーク関係 > 悪意のあるプログラム > マルウェア > エモテット (Emotet)
エモテット (Emotet)は、主にメールの添付ファイルを感染経路としたマルウェアです。 過去にやり取りしたメールへの返信を装ったメールを送信し、添付ファイルの開封を促します。 感染するとパソコンからメールアカウント、パスワード、メール本文等の情報を窃取し、これらの情報を悪用して、 感染拡大を目的としたメールを送信します。
Emotetへの感染を狙う攻撃で使用されるメールの中で、特に注意が必要と思われるのが「正規のメールへの返信を装う」攻撃メールです。 この種類の攻撃メールは、受信者(仮にA氏と呼びます)が過去に取引先などに送信したメールを引用し、 返信部分に、攻撃者が付け加えた文章が書かれています。 メールの差出人(From)は、A氏が過去にメールをやり取りした相手になりすましています。 件名もA氏が実際に送信したと思われるメールのものが流用されており、全体的に、 自分が過去に送ったメールに返信されてきたように見せかける作りになっています。 添付されているWord文書ファイルは、後述するEmotetを感染させるための機能を持った不正ファイルです。
Emotetへの感染を狙う攻撃に使用される不正ファイルとして、これまでに様々な形式のファイルが使用されていることを確認しています。 その中でもIPAで多く確認しているのが、Emotetに感染させるための 悪意のあるマクロ(プログラム)が埋め込まれたWord文書ファイルとExcelファイルです。
Microsoft Officeでは、基本的に文書ファイルに埋め込まれたマクロは自動的に実行されないようになっています。 マクロが埋め込まれた文書ファイルを開いた際に、マクロの実行が止められると、 「セキュリティの警告」というメッセージバーが表示されます。 ここで「コンテンツの有効化」ボタンをクリックしてしまうと、マクロの実行を許可することになります。 また、ファイルを開いた状況により、その前に「編集を有効にする」というボタンが表示される場合がありますが、 その際は、両方をクリックするとマクロの動作を許可することになります。 入手したファイルが信用できるものと判断できる場合でなければ、 「編集を有効にする」「コンテンツの有効化」というボタンはクリックしないよう注意してください。