Emotet(エモテット)は、かつて国内外の企業や自治体に甚大な被害をもたらしたマルウェアです。感染したPCを足がかりに社内ネットワークへ拡散し、情報漏えいや業務停止を引き起こすその手口は、企業にとって深刻なリスクとなりました。
では、2025年現在、Emotetの脅威は過去のものになったのでしょうか?
本記事では、Emotetの最新動向と、企業が今なお取り組むべきEmotet対策についてわかりやすく解説します。
※ 本記事は、追記・修正して2025年4月22日に再度公開しました。
Emotet(エモテット)とは
Emotet(エモテット)とは、主にメールを通じて拡散するマルウェアの一種で、感染後に情報の窃取や、他のマルウェアのダウンロードを行うなど、複数の攻撃手法を組み合わせる点が特徴です。当初はオンラインバンキングを狙うトロイの木馬型ウイルスとして登場しましたが、次第に攻撃の目的や対象が拡大し、企業ネットワーク全体を麻痺させる攻撃の起点として使われるようになりました。
Emotetの主な特徴
①メール添付ファイルを通じて感染悪意のあるなWordやExcelファイルが自動で添付され、添付を開くとマクロを実行され感染してしまいます。
②メールに返信したような手口
過去のメール履歴を再利用して信頼させる「スレッドハイジャック型(見覚えのある件名で油断を誘う手口))」も多く確認されています。
スレッドハイジャック型攻撃とは、感染したPCのメール履歴を盗み、その過去のメールのやり取り(スレッド)に返信するように見せかけて不正なメールを送ってくる手口です。
たとえば、
件名:「Re: ご確認の件」このように「実際にやり取りしていたメールの流れを使ってくる」ため、受信者が違和感を抱きにくく、添付ファイルを開いてしまいやすいのが特徴です。
内容:
〇〇様
先日の件について資料を送付いたします。ご確認ください。
[添付ファイル:請求書.doc]
③他マルウェアとの連携
感染後に他のマルウェア(例:Trickbot、Ryukなど)をダウンロードして多層的な攻撃を実行。
Emotetは単独でも脅威ですが、「サイバー攻撃の入り口」として非常に危険視されてきたマルウェアです。 Emotetに感染してしまうと、次々と他の勝手にマルウェアをダウンロードした上に、パソコン内を検索しメールの履歴から過去にやり取りがあった顧客等へ、あたかも本人であるかのように装ってEmotet付きの攻撃メールを送信してしまうため、被害はさらに拡大していきます。
また、Emotetはネットワーク上のセキュリティホール(抜け穴)を探索し、他のデバイスへ侵入した上に業務アプリケーションやブラウザの認証情報、社内の機密情報なども盗聴・収集し悪用します。
メールからEmotet被害が広がるイメージ
画像引用元:一般社団法人JPCERTコーディネーションセンター「Emotet などのマルウェア感染に繋がるメールに引き続き警戒を」より
アメリカ合衆国国土安全保障省(DHS)によれば、Emotetを除去するためのコストは1件あたり約100万米ドルになると報告されています。もちろん会社の規模によって被害額は異なりますが、非常に厄介なマルウェアであることがわかります。ドイツ情報セキュリティ庁(BSI)からはEmotetを「マルウェアの王」と呼ばれているほどです。
マルウェアをもっと詳しく知りたい方は、下記ページをご覧下さい。
▼マルウェアとは?マルウェアの種類や対策・被害事例を解説
Emotet(エモテット)の攻撃手法
Emotetの攻撃は主にメールを経路としており、シンプルな攻撃手法ですが非常に巧妙なメールに偽装してきます。実在する企業などの名前を装った「なりすましメール」にを添付ファイルをつけて「添付ファイルを参照してください」というような文言でファイルをダウンロードさせます。
パソコンの中の送信ボックスのメールを引用し、件名に「RE:」をつけてあたかも自然な内容を装うケースもあるため、かなり警戒していないと本物のメールにしか見えません。
正規のメールへの返信を装うEmotet攻撃メールの例
画像引用元:IPA(情報処理推進機構)より
ただメールを受信した時点でEmotetに感染しているわけではなく、添付されているファイルをダウンロードしファイルに埋め込まれたマクロを実行することで感染する仕組みです。
添付ファイルは一般的な企業で使われることが多いOffice製品の「Word」や「Excel」を使用されることが多く、ファイルを開くと下記の図のようにマクロの実行を促すメッセージが表示されます。
この時に表示される「コンテンツの有効化」のメッセージをクリックしてしまうとマクロが起動・実行されEmotetに感染してしまいます。
(注意)マクロが自動実行される設定になっていると、ファイルを開いた時点でマクロが実行されてしまうので、注意が必要です!
画像引用元:一般社団法人JPCERTコーディネーションセンター「Emotet感染の確認方法と対策」より
添付ファイルに仕込まれたマクロは、ウイルス対策ソフトから検知ができないため、Emotet側もその抜け穴を狙ってきていると考えられますが、ウイルス対策ソフトで検知するように対処をしても、すぐにチェックをすり抜ける亜種が登場するため、いたちごっこになっているのが現状です。
ほかにも、
• 正規サービスを偽装して不正ファイルをダウンロードさせる
• PDF閲覧に必要なファイルをダウンロードさせる
• 500MBを超えるWordファイルが添付される
(従来のセキュリティソフトは大容量ファイルが検査対象外のため検知されない)←NEW!2023年3月
など、手を変え、品を変え攻撃してくるため、見破ることがが非常に困難なマルウェアといえます。
Emotetの過去の被害内容と影響
Emotetは、2020年から2022年にかけて日本国内でも広く拡散し、企業や自治体、教育機関などに深刻な影響を与えたことで知られています。 JPCERT/CC(日本コンピュータ緊急対応センター)やIPA(情報処理推進機構)などの公的機関も、たびたび注意喚起を発表しており、企業にとって「対応必須のセキュリティ脅威」とされていました。参照:マルウェアEmotetの感染再拡大に関する注意喚起
以下は、Emotetの主な被害内容です。
取引先や顧客に不審メールが送られる
自社がEmotetに感染すると、、Emotetの機能によりメールの送受信履歴やアドレス帳の宛先に、Emotetへ感染させるためのメールがばらまかれます。送信元は本物の感染者のメールアカウントを使用し精巧になりすまし、送信先はメールのやり取りがある中からランダムに選ばれます。
感染した上に踏み台にされ顧客へさらにEmotetを送信してしまった場合、社内外への被害は計り知れません。
メールサーバー自体がマルウェアに感染し悪用される事例も報告されており、いずれも不信感を抱かせにくい工夫が施されていると考えられます。
ほかのマルウェアをダウンロードして被害を広げる
Emotetに感染してしまうと、Emotetではないウイルスやマルウェア(例:Trickbot、Ryuk)を次々とダウンロードして行ってしまい、他のマルウェアでの被害にも広がり、情報漏えいや不正アクセスのきっかけになってしまいます。それらのマルウェアはファイル形式で保存されず、デバイスのメモリに読み込まれて動作するため、感染に気づかないままというケースも確認されています。
ランサムウェアにも感染する
上記のようにマルウェアをダウンロードしてしまう流れの中で、企業にとって非常に厄介な「ランサムウェア」がダウンロードされてしまうケースも確認されています。「ランサムウェア」は感染したコンピュータをロックし、ファイルを暗号化することにより使用不能にしたのち、元に戻すことと引き換えに「身代金」を要求するマルウェアです。企業活動を妨害するだけでなく、身代金まで要求してくるので非常に厄介なマルウェアということが特徴です。
ランサムウェアをもっと詳しく知りたい方は、下記ページをご覧下さい。
▼ランサムウェアとは?感染経路や被害事例から対策を解説
情報を盗み取られる
Emotetに感染してしまうと、パソコンやブラウザに保存されたIDやパスワード等の認証情報から、メールアカウントやパスワード、メール本文、アドレス帳の情報まで盗まれてしまいます。また、パソコンに接続されたネットワーク内に感染が広がり、盗まれたメールアカウントや本文が悪用され、Emotetの感染をさらに広げるメールが送信されます。
窃取されたパスワード・認証情報・メールアカウント・メール本文・アドレス帳情報なのデータは、すべて外部へ流出し悪用されてしまいます。
上記のような感染拡大により、ネットワーク遮断・システム停止といった緊急対応が必要になるケースに発展、業務停止やBCP発動を余儀なくされた企業も発生しました。
当時、「怪しいメールは開かない」という常識だけでは防ぎきれない」と言われるほど、Emotetは巧妙かつ広範囲に被害を及ぼしたため、Emotetはサイバー攻撃の分水嶺(ターニングポイント)とも言われていました。
Emotet(エモテット)に感染した過去の被害例【2022~2023年】
Emotetは2022年第1四半期(1~3月)に過去最多となる107,670件の感染が確認されました(トレンドマイクロ社調べ)。2022年11月上旬頃より、Emotetの攻撃メールの配信が観測されない状態が続いていましたが、2023年3月7日からまた再開がされどの後沈下しています。(IPA情報処理推進機構調べ)
ここからは2022~2023年の被害事例を紹介します。
大学教員が感染し、大量の不審メールが送信される
2022年6月、大学職員がEmotetに感染し、大量の不審メールが関係者に送信されました。職員が大学で利用しているメールアカウントで送信されており、同大学は該当メールアドレスからのメールを開かないように注意喚起を行っています。
すでにEmotetの駆除は完了し、不審メールの送信は止まっているとのことです。
従業員のPCが感染し、関係者情報が流出
2022年5月、通販会社の従業員PCがEmotetに感染し、関係者の氏名やメールアドレスなどの情報が流出しました。この事件でも、従業員のPCに登録されていたメールアドレス宛に不審なメールが一斉送信されています。
同社は混乱を招いたことを重く受け止め、再発防止に努めるとともに、情報セキュリティ強化を宣言しています。
Emotet(エモテット)最新のEmotet動向【2025年版】
2025年4月現在、Emotetの活動は沈静化しています。JPCERT/CCやIPAによると、最後に大規模な感染が報告されたのは2023年3月頃で、それ以降は目立った新規感染や拡散の報告は確認されていません。
ただし、これはEmotetが「消えた」というわけではありません。過去にも活動が止まったように見えたあと、数カ月〜年単位で再び出現した経緯があります。
【2025年現在のポイントまとめ】
・感染拡大は確認されていない
大規模な拡散は2023年3月を最後に報告はありません。
・手口は今も攻撃者に使われている
「正規メールへの返信を装う」「添付ファイルで感染させる」などの手法は、Emotet以外のマルウェアでも引き続き使われています。
・企業が取るべき対策は変わらない
Emotetが沈静化しても、同様の攻撃手法に備え続ける必要があります。
【補足】IPA「情報セキュリティ10大脅威2025」では?
2025年の「10大脅威」にはEmotet単独ではランクインしていませんが、「標的型攻撃メール」や「メール添付型マルウェア」は依然として上位に位置しています。
つまり、Emotetが象徴するような攻撃パターンそのものは、今も続いているということです。
今こそ見直すべきEmotet対策
たとえEmotet自体の活動が沈静化していても、類似のマルウェアや手口による攻撃は現在も続いています。そのため、企業や組織は「Emotet対策=メール経由マルウェアへの備え」として、基本的な対策を怠らないことが重要です。
①メールの受信制御・訓練
・なりすましメールの検知強化(SPF/DKIM/DMARCの導入)・迷惑メールフィルタの最適化
・標的型メール訓練などによる社員教育の継続
受信したメールに違和感を覚えたら、送信元のドメインやタイトル、本文に不審な点がないかを確認しましょう。
URLをクリックさせる、添付ファイルを開かせるような言葉が含まれていれば警戒するクセを付けておくとなお良いでしょう。
また、脈絡のないメールや一度やり取りの終わったメールに返信が来たときなども注意が必要です。
②添付ファイル・マクロの制御
マクロの自動実行をオフにする
EmotetはWordやExcelのマクロを実行して侵入する手法がメインです。そのため、Word、Excelのマクロが自動実行される状態になっていると非常に危険です。うっかりファイルを開いてしまえばそのままマクロが実行されてしまいます。「警告を表示してすべてのマクロを無効」に設定すれば、感染を未然に防ぐ確率が大きく高まります。
■設定手順
Office製品の「ファイル」メニュー → 「オプション」 → 「トラストセンター」 → 「設定」
画像引用元:一般社団法人JPCERTコーディネーションセンター「Emotet感染の確認方法と対策」
PowerShellを無効にする
PowerShellは、Windowsに標準搭載されているコマンドラインツールです。Emotetはマクロ実行後にPowerShellを通じて他のマルウェアをダウンロード・実行する手法も取ります。 そのため、PowerShellを無効にしておくことで、被害の拡大を防止できる可能性があります。 業務で使用している場合は管理者に相談の上、設定を行ってください。
■設定手順
コントロールパネル → プログラムと機能 → Windows の機能の有効化または無効化 →「Windows PowerShell 2.0」のチェックを外してOK
③エンドポイントとシステム全体の防御
OSやソフトウェアは常に最新状態に
OSやソフトウェアは定期的にセキュリティアップデートが配布されます。セキュリティアップデートを怠っていると、ぜい弱性(セキュリティホール)を放置した状態になってしまいます。 定期的なセキュリティアップデートはぜい弱性(セキュリティホール)を突かれるリスクを下げます。 更新を忘れず、常に最新状態を保ちましょう。ウイルス対策ソフトやUTMの導入
ウイルス対策ソフトはもちろんのこと、予算が許せば「UTM(統合脅威管理)」の導入も有効です。・ウイルス対策ソフト → EPP・EDRといったエンドポイント保護
・UTM → ファイアウォール、アンチスパム、Webフィルタリングなど一元管理
※ただし、UTMではパスワード付きZipファイルを検知できない場合もあるため、複数の対策を組み合わせた「多層防御」が理想です。
Emotet(エモテット)に感染したときの対処法
Emotetに感染した疑いがある、または実際に感染してしまった場合、迅速かつ冷静な対応が求められます。初動を誤ると、被害が組織内に拡大したり、取引先や顧客にも二次被害が及ぶ可能性があります。
以下に、企業が取るべき代表的な手順を示します。
手順1: 感染端末のネットワーク遮断
感染が疑われる端末はLANケーブルを抜き、Wi-Fiを切り、Bluetoothもオフにし、社内ネットワークから完全に切り離しましょう。可能であれば、同一ネットワーク上の他の端末も一時的に遮断するとより安全です。
手順2: 管理部門・情報システム担当者へ即時報告
感染の疑いがある場合は、すぐに社内の情報システム部門または管理責任者に報告を行いましょう。感染の兆候(不審なメール・挙動など)を可能な限り記録として、画面キャプチャやログを取得しておくと、分析や復旧対応の役に立ちます。
【感染確認に使えるツール】EmoCheck(エモチェック)
JPCERT/CCが無償提供しているEmotet感染チェックツールです。感染の有無をスキャンできます。下記ページより、管理部門・情報システムの指示を仰ぎながら利用してください。
マルウェアEmotetの感染再拡大に関する注意喚起
→「III. 対策、対応」より、「Emotet感染有無確認ツールEmoCheck」からダウンロード可能です。
※当サイトで紹介するダウンロード先サイトの情報やサービスは、正確性や安全性を保証するものではありません。万が一、ダウンロード先サイトでトラブルが発生した場合、一切の責任を負いません。御了承くださいますようお願い申し上げます。
ランサムウェアに感染している場合は下記ページもお読み下さい。
▼ランサムウェアとは?感染経路や被害事例から対策を解説
手順3:感染端末アカウントのパスワードを変更
Emotetは、保存されたID・パスワードを盗み、不正メールを送信します。 ネットワーク遮断と報告後、当該端末に保存されたアカウント情報をすべて変更してください。これによってEmotetがばらまきメールを送信するのを防ぎます。
手順4:組織内の全端末をフルスキャン
感染範囲は目に見えないため、すべての社内端末に対してウイルススキャンを実施しましょう。 複数端末に感染していることもあり得ます。手順5:ログの確認
ログを記録している場合は、不審な外部通信がないかを確認しましょう。異常がある端末は隔離し、さらなる調査が必要です。手順6:被害範囲の調査
Emotetは感染したパソコンのアドレス帳や受信メールを悪用し、なりすましメールを送信します。 感染端末のメール履歴やアドレス帳が悪用されていれば、社外への注意喚起が必要です。 アドレス帳に登録されているすべてのメールアドレスに対して注意喚起をしましょう。メールアドレスが特定できない場合はプレスリリースなどで周知します。手順7:感染端末の初期化とデータ取り扱い
すべての状況確認、感染被害の調査および周囲への注意喚起が終わったら、当該端末を初期化します。このときにフルスキャンをくぐり抜けたマルウェアが潜んでいる可能性があるためデータの取り出しは極力避け、バックアップ運用が前提の対応としてください。手順8:情報漏えいがあったことを個人情報保護員会へ報告
「改正個人情報保護法」により、個人情報が漏えいした場合は「個人情報保護委員会」への報告が義務付けられています。報告方法については下記を参照してください。参照:個人情報保護委員会「漏えい等の対応とお役立ち資料」
最後に:Emotet対策は“過去の話”ではない
Emotetは2025年現在、目立った拡散は確認されていないものの、「終わった脅威」ではありません。 過去の感染拡大から学ぶべき点は多く、そして何よりも、Emotetに使われた攻撃手法(メール添付・マクロ・スレッドハイジャック)は今も広く使われています。 攻撃者は常に新しい攻撃方法を編み出しています。こういった攻撃者に対し、セキュリティ対策はどうしても後手に回るため「完璧な対策」というものはありません。
また、セキュリティ対策を運用する人間にも油断が生じてしまうこともあり、従業員が常に正しく判断できるとは限りません。
もしも自社がEmotetに感染してしまえば、その被害はランサムウェアにも広がり、最終的に甚大な被害になってしまう危険性があります。そのため、事前のセキュリティ対策だけではなくサイバー保険に加入し、もしもに備えることが大切です。
サイバー保険の概要と補償内容について
サイバー保険とは、サイバー事故で生ずる損害をカバーする目的で設けられている保険のことです。
サイバー攻撃を受けると不利益は多方面にわたっており顧客情報が流出するだけでなく、高額な損害を伴う事故も増えています。
サイバー攻撃は日々巧妙さを増しており、そのリスクが完全になくなることはありません。
まずはしっかりと情報セキュリティ対策をとり、万一の際の備えも大切です。
サイバー保険の基本的な補償内容は以下の通りです。
● 取引先・顧客からの損害賠償
● 事故対応費用
● 利益損害・営業継続費用
※補償内容は加入するプランや特約によって異なるため、各社保険会社のページを参照ください。
※ランサムウェア感染時の身代金支払いは日本では補償対象外となります。
▼サイバー保険に関しては、以下の記事もご覧ください。
サイバー保険の必要性とは?必要な理由と個人情報漏洩保険との違いをプロが徹底解説
まとめ
Emotetは感染と被害拡大に特化したマルウェアです。手口が巧妙で感染しても被害が広がるまで気づかないケースもあります。そのため感染防止対策はもちろん、被害拡大の防止対策も併せて行う必要があるでしょう。しかし、セキュリティ対策に「万全」という言葉は存在しないのも事実です。サイバー保険があれば、最悪の事態を招いたとしても被害を軽減できます。
当サイトの運営会社ファーストプレイスでは、下記5社のサイバー保険を取り扱っています。
サイバー保険を扱う大手5社の保険料を無料で一括見積もり・比較いたします。
【取り扱いのある保険会社】
東京海上日動火災保険株式会社
三井住友海上火災保険株式会社
損害保険ジャパン株式会社
あいおいニッセイ同和損害保険株式会社
AIG損害保険株式会社
ご興味のある方はこの機会にぜひ、サイバー保険 一括見積りサイトよりご相談ください。
