エモテット（Emotet）とは？感染経路・被害事例から最新の対策まで解説

エモテットは単なるコンピュータウイルスではなく、高度に構造化されたサイバー攻撃の基盤です。エモテットは、もともとは銀行の認証情報を盗む「バンキングトロジャン」として登場しましたが、現在では多機能な「モジュール型マルウェア」へと進化しています。

その最大の特徴は、感染した端末からメール情報を窃取し、本物のやり取りを装って攻撃メールをばらまく自己増殖性にあります。攻撃者はこのネットワークを利用し、他の攻撃者へ感染済み端末へのアクセス権を販売することもあります。その感染力の強さと、検知を回避する巧妙な仕組みから、世界でもっとも危険なマルウェアの一つと定義されています。

また、エモテットの真の恐ろしさは、それが入り口に過ぎない点にあります。エモテットは、それ自体がデータを破壊するよりも、ダウンローダー（運び屋）として他の凶悪なマルウェアを二次感染させる役割を担います。たとえば、TrickbotやQakbotといった情報を盗むマルウェア、さらにはContiやLockBitといったランサムウェアをネットワーク内に引き込みます。

これにより、情報の窃取だけでなく、最終的には企業全体のシステムをロックし、巨額の身代金を要求する多重攻撃へと発展するケースが一般的です。

2021年の国際的な捜査機関によるテイクダウン（サーバー差し押さえ）以降も、エモテットは何度も復活を遂げています。現在の動向としては、AIを活用したより自然な日本語メールの作成や、従来の対策をすり抜ける新しいファイル形式の悪用が目立ちます。

攻撃インフラが一度破壊されても、背後にいる犯罪グループはコードを書き換え、より耐性を持たせた状態で活動を再開します。過去に流行したからといって古い脅威と見なすのは危険であり、常に最新のシグネチャ（定義ファイル）や検知手法のアップデートが求められています。

エモテットが爆発的に感染を広げる理由は、人間の心理的な隙を突く巧妙な手法にあります。従来のメールセキュリティを突破するために用いられる、最新の感染経路や偽装の手口について解説します。

エモテットが感染を広げる最大の理由は、「返信型メール」という手法にあります。攻撃者は感染した端末から過去のメール本文や連絡先を盗み取り、実際のメールスレッドへの返信を装って攻撃メールを送信します。受信者にとっては、知っている相手からの業務に関連した返信に見えるため、疑わずに添付ファイルを開いてしまいます。この心理的な隙を突くソーシャルエンジニアリングの手法こそが、技術的な対策を無効化させる手口です。

もっとも古典的かつ強力な手口が、Microsoft Office製品のマクロ機能を悪用したものです。添付されたExcelやWordを開くと、「コンテンツの有効化」を求める警告が表示されます。これをクリックしてしまうと、バックグラウンドで悪質なスクリプトが実行され、外部サーバーからエモテット本体がダウンロードされます。

最近では、マクロを有効化させるために「最新版を表示するには有効化が必要です」といった偽の案内画像を表示させるなど、誘導が非常に巧妙化しています。

セキュリティ製品の検知を逃れるため、攻撃者はパスワード付きZIPファイル（PPAP形式）を多用します。メールサーバー上のアンチウイルススキャンは、パスワードがかかった中身を検査できないことが多いため、悪質なファイルが素通りしてしまうのです。

攻撃者はメール本文にパスワードを記載し、ユーザーに解凍させることで、エンドポイント上で直接マルウェアを起動させようとします。この手法の流行により、国内でもPPAP廃止が急速に進むこととなりました。

Officeマクロへの対策が進むなか、攻撃者は次々と新しい手法を投入しています。たとえば、Microsoft OneNoteファイルに偽のボタンを配置し、クリックするとスクリプトが動く仕組みや、ショートカットファイル（.lnk）、ディスクイメージ（.iso）を悪用するケースが増えています。

これらは従来のマクロ無効化設定だけでは防げないため、OSレベルでの制限や、未知のファイル形式に対する警戒が必要です。攻撃者は常にユーザーの心理的な隙を新しい形式で探っています。

エモテットへの感染は、単一デバイスの不具合では済みません。組織全体の資産を脅かし、社会的な信用を失墜させる連鎖的な被害をもたらします。具体的にどのようなリスクに直面するのかを整理します。

エモテットに感染すると、メーラーから過去のメール本文、署名、アドレス帳がすべて抜き取られます。これらは攻撃者のサーバーへ送られ、次の攻撃メールの素材として悪用されます。

自分の名前を使って取引先へ攻撃メールが送信されるため、自社が被害者であると同時に、加害者（攻撃の踏み台）になってしまうのがこのマルウェアの残酷な点です。取引先との信頼関係を一瞬にして破壊し、業界内での評判を大きく傷つけることになります。

エモテットは、ブラウザに保存されているIDやパスワード、さらには資格情報マネージャーに保管された認証情報を盗み出す能力を持っています。これにより、社内システムやクラウドサービス（Microsoft 365など）、あるいはVPN接続用の認証情報が奪われます。

一度認証情報が漏洩すれば、攻撃者は正当なユーザーとしてネットワークに侵入し続けることが可能になり、駆除した後もバックドアとして別の攻撃経路を維持されてしまうリスクがあります。

エモテットの最終目標の多くは、ランサムウェアによる金銭奪取です。エモテットによって偵察が行われた後、組織にとってもっともダメージの大きいタイミングでランサムウェアが投入されます。サーバー上の基幹データがすべて暗号化され、業務が完全に停止します。

さらに近年では、「身代金を払わなければデータを公開する」という二重脅迫が主流となっており、金銭的被害だけでなく、機密情報の流出による法的な責任も負うことになります。

感染が発覚し、取引先に被害が拡大した場合、企業としての管理責任が厳しく問われます。公式HPでの謝罪、調査、再発防止策の策定、さらには個人情報保護委員会への報告など、膨大な対応コストが発生します。

また、取引先から業務停止に伴う損害賠償を請求されるケースも珍しくありません。「セキュリティ対策を怠っていた企業」というレッテルを貼られることは、営業活動や採用活動にも悪影響を及ぼし、中長期的な経営リスクへと直結します。

「怪しいメールの添付ファイルを開いてしまった」という場合、迅速な初動調査が被害を左右します。感染の有無を客観的に判断するためのツールや、日常的なチェックポイントについて詳しく解説します。

JPCERT/CCが公開している「EmoCheck（エモチェック）」は、エモテット感染を迅速に調査できる無料ツールです。実行すると、特有の痕跡がないかを確認してくれます。

使い方は簡単で、GitHubから最新版の実行ファイルをダウンロードして実行するだけです。「感染を検知しました」と表示された場合は、直ちに後述の応急処置を行う必要があります。なお、エモテットは頻繁にアップデートされるため、常に最新版のEmoCheckを使用することが鉄則です。

感染の抑制には、日々の業務において少しでも違和感を覚える感性が重要です。エモテットのメールは、送信元アドレスが不自然であったり、添付ファイルの拡張子が普段見慣れないもの（.isoや.lnk等）であったりすることがあります。

また、過去のメールの引用はあっても、文脈が微妙に噛み合っていない場合も要注意です。これらの兆候があれば、添付ファイルは絶対に開かず、まずは電話などの別ルートで本人に確認を取る習慣を徹底してください。

エモテットに感染すると、端末は外部のC2サーバーと通信を行い、さらには他の端末へ攻撃メールを大量送信しようとします。そのため、「PCの動作が異常に重くなる」「通信が断続的に不安定になる」といった物理的な異変が生じることがあります。

また、ファイアウォールのログを確認し、特定の端末から未知のIPアドレスに対して大量のメール送信プロトコル（SMTP）が発生していないかをチェックすることも、早期発見に極めて有効な手段です。

もし感染が判明した場合、パニックにならずに正しい手順で対処することが二次被害を防ぐ唯一の道です。感染直後から復旧、公表に至るまでの具体的な対応フローをステップごとに解説します。

感染が判明した場合、最初に行うべきは「物理的な隔離」です。LANケーブルを引き抜き、Wi-Fi設定をオフにします。

エモテットはネットワークを通じて社内の他のPCに感染を広げる横展開を行うため、一刻も早く通信を断つことが被害を最小限に抑える鍵となります。なお、電源を切るとメモリ上の証拠が消えてしまう可能性があるため、フォレンジック調査を行う予定がある場合は、ネットワーク遮断のみに留めるのが推奨されます。

個人の判断で処理しようとせず、速やかにセキュリティ担当部署へ報告してください。エモテット感染は一台のPCの問題ではなく、組織全体のインフラが侵害されている可能性を示唆します。

報告時には、「いつ」「どのメールを開いたか」といった経緯を正確に伝えます。担当者はこの情報を元に、メールサーバーのログを確認し、他にも同じメールを受信しているユーザーがいないか、同様の不審な通信が発生していないかを全社規模で調査します。

エモテットは資格情報を盗み出すため、感染したPCで使用していたパスワードはすべて漏洩したと仮定して行動する必要があります。

Windowsのログインパスワード、Microsoft 365、社内ポータル、さらには私的に利用していたSNSなどのパスワードも対象です。重要なのは、これらの変更作業を感染したPCで行わないことです。必ず別のクリーンな端末、あるいはスマートフォンなどからパスワード変更を行ってください。

被害の全容解明には、専門家によるデジタルフォレンジック調査が不可欠です。「どの情報がいつ、どこへ送信されたのか」「他のマルウェアがダウンロードされていないか」を詳細に分析します。

これにより、単なるウイルス駆除だけでは見逃してしまう潜伏中の別の脅威を発見できる可能性があります。また、この調査結果は、後に取引先や行政機関へ報告を行う際の客観的なエビデンスとして機能します。自社調査が困難な場合は専門のベンダーへ依頼しましょう。

自社のメールから攻撃メールが送信されている可能性がある場合、被害拡大を防ぐために取引先への注意喚起を迅速に行います。「弊社を装った不審メールが届く可能性がある」旨を、まずは電話やメールで個別に連絡し、必要に応じて自社サイトで公表します。

情報の隠蔽は後の信頼失墜に直結します。透明性を持って事実を伝え、二次被害を最小限に抑える姿勢を示すことが、最終的な企業の評価の回復につながります。

エモテット感染を防ぐには、攻撃の手口を知るだけでは不十分です。日常的なシステム設定や運用ルール、そして従業員のリテラシーを向上させることで、鉄壁の防御を築く必要があります。

エモテットはソフトウェアの脆弱性を突いて侵入することがあります。Windows Updateはもちろん、とくにMicrosoft Officeのアップデートを怠らないでください。多くの場合、すでに修正パッチが出ている既知の脆弱性を狙われます。

常に最新の状態に保つという基本的なサイバー衛生（サイバーハイジーン）が、もっともコストパフォーマンスの高い防御策といえます。定期的な更新プログラムの適用を自動化し、管理漏れがないように徹底しましょう。

主要な侵入経路であるOfficeマクロ対策としては、マクロの実行を原則禁止する設定が有効です。「トラストセンター」から、マクロの設定を「警告を表示してすべてのマクロを無効にする」に設定します。

これにより、ユーザーが誤ってファイルを開いても、即座に悪質なコードが実行されるのを防げます。業務上マクロが必要な場合は、特定の信頼できるフォルダのみで実行を許可する運用を検討し、リスクを最小限に抑えてください。

パスワード付きZIPファイル（PPAP）は、中身のウイルスチェックを阻害するため、エモテットの温床となります。現在、多くの企業ではPPAPの廃止が進んでいます。代わりにクラウドストレージを活用した共有や、メール受信時にZIPを解凍・スキャンするセキュリティ製品の導入が推奨されます。

サンドボックス機能を持つ製品であれば、添付ファイルを仮想環境で動かして挙動を確認できるため、検知回避を狙う攻撃も捕捉しやすくなります。

従来のアンチウイルスは、既知のパターンの照合に頼るため、変化し続けるエモテットの亜種を完全に見抜くことは困難です。そこで重要となるのが、PC上の不審な挙動を監視するEDR（Endpoint Detection and Response）です。

EDRは侵入されることを前提とし、異常なスクリプトの実行や通信をリアルタイムで検知・隔離します。万が一侵入を許しても、初期段階で食い止めることができるため、現代のセキュリティにおける最後の砦となります。

どれほど技術的な対策を施しても、最終的にファイルをクリックするのは人間です。そのため、従業員の教育は欠かせません。

最新の攻撃手法を周知し、たとえ知人からのメールでも添付ファイルを開く前に違和感を確認する習慣を徹底させましょう。また、模擬の攻撃メールを送信する標的型メール訓練を定期的に実施することで、職員の警戒心を高め、有事の際の報告フローを身体で覚えさせることが、組織全体の防御力を底上げします。

エモテットからランサムウェア感染へ至った場合、もっとも確実な復旧手段はバックアップからのリストアです。しかし、攻撃者はバックアップサーバーも同時に暗号化しようとします。そのため、バックアップは「3-2-1ルール」に従って運用することが重要です。

とくに、ネットワークから切り離されたオフラインバックアップや、削除不可能なイミュータブル（不変）ストレージへの保管が、事業継続の生命線となります。

また、感染を100%防ぐことは現在の巧妙な攻撃環境下では不可能です。そのため、組織にはレジリエンス（回復力）が求められます。

レジリエンスとは感染を早期に発見し、被害を最小限に抑え、迅速に業務を再開する能力のことです。平時から感染時の対応マニュアルを策定し、BCP（事業継続計画）に組み込んでおきましょう。誰が意思決定を行い、どのベンダーに協力を仰ぐかを明確にすることで、有事の際のパニックを防げます。

エモテットは進化し続ける狡猾なマルウェアです。かつての「ウイルス対策ソフトを入れておけば安心」という時代は終わり、現在は多層的な防御と従業員の高い意識、そして迅速な対応体制が求められています。

本記事で解説した内容を参考に、自社のセキュリティ体制を再点検してください。

エモテットに感染すると、端末内のメール本文やアドレス帳が盗まれ、それらを悪用して取引先へ「なりすましメール」が自動送信されます。また、ブラウザ保存のパスワードも窃取され、最終的にはランサムウェアなどの他の凶悪なウイルスを呼び込み、社内データが暗号化されるなど、事業停止に追い込まれる深刻な二次被害が発生します。

詳細は「エモテット感染によって想定される被害」をご覧ください。

エモテットは、情報を盗みつつ他のウイルスを侵入させるダウンローダー（運び屋）です。一方、ランサムウェアはデータを暗号化して、身代金を要求する攻撃そのものを指します。近年の攻撃では、まずエモテットが組織内に潜入し、その後にランサムウェアを送り込んでトドメを刺すという、分業制の多重攻撃が一般的です。

詳細は「エモテット（Emotet）とは」をご覧ください。

もっとも確実なのは、JPCERT/CCが無料公開している感染確認ツール「EmoCheck（エモチェック）」を実行することです。また、PCの動作が急激に重くなる、心当たりのないメール送信履歴があるといった異変もサインとなります。

少しでも疑わしい場合は、即座にネットワークを遮断した上で、専門ツールによるスキャンを実施してください。

詳細は「エモテットの感染疑いがある時の確認・調査方法」をご覧ください。