最恐ウイルス「エモテット」猛威◆再燃の裏側とロシアの影【時事ドットコム取材班】
「世界で最も危険」と言われるコンピューターウイルス「Emotet(エモテット)」が猛威を振るっている。2021年1月に壊滅したと思われたが、1年もたたないうちに再拡大。日本国内では最盛期を大幅に上回る勢いで感染が広がった。エモテットとの関連は不明だが、トヨタ自動車がウイルスに感染させられた取引先部品メーカーのシステム障害で操業休止を余儀なくされるなど、サイバー攻撃は日本経済にも大きな被害を与える。なぜ再燃したのか。対策はあるのか。背景を探ると、ウクライナに侵攻したロシアとの関係も見え隠れした。
◇残党が再構築?
エモテットはパソコンからメールやID、パスワードを盗み出したり、別のウイルスに感染しやすくしたりするコンピューターウイルスで、2014年に初めて確認されて以来、日本を含む世界中に拡散した。欧米8カ国は21年1月、国際合同捜査でエモテットの攻撃拠点を制圧したが、捜査に参加したオランダやウクライナの警察当局によると、この時点までに世界で100万台以上のパソコンが感染し、銀行などの金融機関が少なくとも25億ドル(当時のレートで約2600億円)の損害を被ったとされる。
沈黙したエモテットが再び猛威を振るい出したのは、21年11月15日だ。米セキュリティー企業「プルーフポイント」日本法人の増田(そうた)幸美氏によると、エモテット感染メールは月ごとに増加。22年2月末までに少なくとも世界で計約360万通が送信され、3月1日と2日の両日だけで少なくとも約180万通がばらまかれた。
◇「自然な日本語」で次々感染
日本国内での感染は22年2月上旬に急拡大した。サイバー攻撃情報を収集し、対策に役立てる一般社団法人「JPCERTコーディネーションセンター」(JPCERT/CC、東京都)が、提供情報に基づき、末尾が「.jp」で、エモテットに感染して悪用される可能性があるメールアドレス数を集計したところ、3月2日、新たに8760件見つかり、最も多かった20年9月14日(1695件)の5倍以上に達した。積水ハウスやライオン、クラシエホールディングスといった大手企業も次々に感染を公表している。
かつてのウイルスメールには「少しおかしな日本語でつづられている」などの特徴があったが、JPCERT/CCの佐條研氏によると、「エモテットの攻撃メールで使われる日本語が1月後半ごろから自然な表現になっている」という。佐條氏はウイルス本体に目立った変化はなく、盗み出したメールが増えたことで、攻撃メールの記載内容が自然な文章に近づいたと分析している。
制圧から1年も経たずに再び「世界の脅威」となったのはなぜか。佐條氏は「国際合同捜査で犯罪グループ全員を逮捕しきれなかったことが一番の要因だ」と分析する。(1)エモテット攻撃の拠点となっているサーバーなどが、21年1月に制圧される前とほぼ同じ機能を持っている(2)制圧前に盗まれたメールが再び攻撃に利用されているーことから、「逮捕を免れたメンバーがサーバーなどをゼロから再構築した可能性が高い」と言う。
◇分業制、複数グループで攻撃
盗まれた情報はどう悪用されるのか。「エモテットは攻撃の入り口でしかありません」。そう警告するのは、先に登場した「プルーフポイント」日本法人の増田氏だ。
増田氏によると、サイバー攻撃は分業化されている。まず、ウイルス製造者がおり、エモテットをばらまいて個人や企業のパソコンからIDやパスワードなどの不正アクセスに必要な情報を盗み出すエモテット攻撃グループが存在する。製造者はグループ内にいるのか、外部にいるのかは判然としない。
エモテット攻撃グループは、盗んだ情報を別グループに販売または提供する。別グループは、入手した情報を使って企業の機密情報を抜き出したり、暗号化して「復旧したければ身代金を支払え」と要求したりする「ランサムウエア」(身代金要求型ウイルス)攻撃を仕掛ける。このランサムウエア攻撃グループに攻撃用ウイルスを提供したり、使い方を指導したりして身代金の「分け前」を受け取るグループも存在するのだという。
◇見え隠れするロシアの影
グループ同士のやり取りは、身元を特定しにくい「ダークウェブ」上で行われているため、定かではないが、増田氏は、エモテットで認証情報を盗むグループにはロシア語を使う人物が含まれるとみている。「多くのランサムウエアには、ロシア語の他、ウクライナ語やベラルーシ語など、旧ソビエト連邦圏の言語が設定されたパソコンを攻撃対象から外す機能が備わっている」といい、「旧ソ連圏の政府が一連のウイルス攻撃を黙認している可能性もあるのではないか」と分析した。
JPCERT/CCの佐條氏によると、制圧前のエモテット攻撃メールにはロシア語で設定されたファイルが添付されており、ロシア語圏の祝日を避けてばらまかれていたという。
世界を驚かせたロシアのウクライナ侵攻でも、グループとロシアのつながりをうかがわせることがあった。情報セキュリティー会社「トレンドマイクロ」(東京都)によると、「Conti(コンティ)」と呼ばれるランサムウエアにかかわるグループは、ウクライナ侵攻後の22年2月25日、ロシア政府を「全面的に支持する」との声明を発表。数時間後、「どの政府とも同盟を結ばす、現在進行している戦争を非難する」と軌道修正しつつ、「ロシアやロシア語圏の重要インフラが標的になれば報復する」とした。
◇「ローテク」こそ脅威
爆発的拡大を広げるエモテットから身を守るためにはどうしたらいいのか。残念なことだが、増田氏は「これさえやればいいという特効薬はない」と話す。
増田氏によると、対応の難しさは、エモテットの「ローテク」な仕組みにある。攻撃メールは友人や取引先から送信されたように装っており、「知り合いからの連絡だろう」という「油断」につけ込んで感染拡大しているーという意味だ。
こうした経路での感染は、高度なセキュリティー製品を導入し、最新状態に更新したとしても防ぎ切るのは難しい。だからこそ、企業であっても個人であっても、日ごろから受信メールの送信元アドレスの確認や、「知らないアドレスから届いたメール」への警戒を怠らないよう強調する。
メールに文書を添付して送信する際、自動的に圧縮ファイル化し、別のメールでファイルを開くパスワードを送信する仕組みを導入する企業もあるが、これも廃止すべきだという。セキュリティー対策ソフトによるウイルス検知が遅れるケースがあるためで、ソフトバンクは2月15日、業務用メールでのパスワード付き圧縮ファイル送信を廃止し、受信しても全て削除する対応を取った。積水ハウスなども撤廃する方向だ。
◇パスワード変更を
どれほど万全な対策をしても、感染してしまう可能性は残る。本当に感染してしまった場合はどうすればいいのだろうか。JPCERT/CCはメールアカウントや、パソコンに保存している各種サイトのパスワードの変更などを勧める。端末内のメールやアドレス帳を確認し、今後被害を受ける恐れがある関係者に注意を呼び掛けることも重要だ。その上で、端末を工場出荷時の状態まで戻す初期化を行うよう助言する。
エモテットを撲滅できる日は来るのか。増田氏は「犯罪グループの関係者全員を捕まえないとどうにもならない」と語りつつ、「他のサイバー攻撃同様に、人が見破ることができる。セキュリティー意識を高めることがとても重要だ」と力を込めた。
◇記者に届いた不審メール
エモテットについての取材を進めていた3月2日、記者のパソコンの迷惑メールフォルダに件名のない不審なメールが届いた。差出人は「広報部」で、見慣れないドメイン=インターネット上の住所=のメールアドレスが記載されている。パスワード付きの圧縮ファイルが添付され、本文には「重要な資料が添付されています」との英文と4文字のパスワードもあった。末尾に再び「広報部」とあり、今度は記者がかつて取材したことのある上場企業広報室のメールアドレスが添えられていた。
送信元を調べると、大阪市内の工務店で、経営者の70代男性は「このところ訳の分からないメールがたくさん来て困っている」と話した。男性の家族が翌日、独立行政法人「情報処理推進機構」(東京都)に相談し、工務店のPC1台がエモテットに感染していたことが判明したという。
男性に心当たりを尋ねると、「得意先から届いた表計算ファイルを開くことができず、試行錯誤しているうちに差出人不明の英文メールが届くようになった」と説明した。メール末尾にアドレスが記載されていた上場企業も、エモテット感染を公表しており、記者に届いた不審メールには、この企業から流出した情報が悪用された可能性もある。
