Emotet（エモテット）は感染しても目立った症状が出にくく、外部からの指摘で初めて発覚するケースが多いマルウェアです。特に取引先から「貴社を名乗る不審なメールが届いた」と連絡があったときほど、情報システム部門に緊張が走る瞬間はありません。

Emotetへの感染が疑われる場合は、まず端末をネットワークから隔離し、EmoCheckで感染状況を確認するなど、段階的な対応が重要です。

そこで本記事では、Emotetに感染したら何が起こるのか・初動対応の手順・再発防止の対策までを体系的に分かりやすく解説します。

Emotetに感染すると、メールアカウントやメールデータなどが窃取され、他のマルウェアへの二次感染に悪用される可能性があります。Emotetは、実在する人物や過去のやり取りを装った返信型メールを使い、添付ファイルを開かせることで感染を広げます。

特に注意したいポイントは、文章の見た目が自然なため、不審メールとして気づきにくい点です。単独の感染で終わらず、二次被害の起点になるため、感染後の初動対応が重要になります。

Emotetは感染直後に目立った症状が出にくく、外部からの指摘で発覚するケースが大半です。ここからは、Emotetの感染が疑われる兆候を解説します。

Emotetでは、感染端末から窃取されたメール情報や認証情報が悪用され、不審メールの送信や感染拡大につながることがあります。特に、送信した覚えのない宛先へのバウンスメール（※1）が大量に届く場合には注意が必要です。

また、感染端末が大量送信の起点になると、メールサーバーやネットワークの負荷が急増します。実際、外部からの指摘によって感染が発覚するケースは非常に多く見られます。

※1・・・バウンスメールとは、送信したメールが相手に届かず、メールサーバーから送信元へエラーとして返ってきてしまう「未達メール」のこと。

JPCERT／CC（※2）が公開しているEmoCheckは感染確認の有力な手段ですが、検知結果だけで安全・感染を断定せずに、不審メール送信の指摘や端末挙動、ログと合わせて総合判断しましょう。加えて、ブラウザ保存情報の窃取や、後続のマルウェア侵入など、二次被害が見えた時点でも、感染を前提に対応する必要があります。

Emotetは目立った症状が少ない一方で、見えないところで被害が進む可能性があります。少しでも兆候があれば、早めに初動対応へ移ることが重要です。

※2・・・JPCERT／CCとは、Japan Computer Emergency Response Team Coordination Centerの略称で、技術対策を講じる機関

Emotetに感染したら、以下のステップで初動対応を進められるよう、事前に運用体制を標準化しておくことが重要です。

1. ネットワークからの即時隔離

2. EmoCheckで感染状況を確認

3. 証拠保全と駆除

4. パスワード変更

5. 関係者通知

6. 被害報告

それぞれのステップで、何を整えておきたいのかを詳しく解説します。

Emotetに感染したら、まずは感染が疑われる端末をネットワークから切り離すことが重要です。有線LANを抜く・Wi-Fiを切る・VPN接続を遮断するなど、外部および社内ネットワークとの通信を止める作業です。これにより、社内への横展開や外部への情報送信を抑えやすくなります。

ここで重要なのは、電源断や再起動を優先しないことです。再起動によって調査に必要な情報が失われる可能性があるため、まずは「通信を止める」ことを優先します。隔離は初動対応の出発点です。

ネットワークから隔離した後は、EmoCheckを使って感染の有無を確認しましょう。EmoCheckで検知された場合は、表示されるプロセス名や実行ファイルのパスを記録し、後続対応に備えます。判定結果は、駆除や影響範囲確認の手がかりになります。

ただし、EmoCheckの結果だけで「安全」と断定しないことも大切です。外部から不審メール送信の指摘がある・端末挙動に異常があるなど、兆候が揃っている場合は、検知結果と合わせて総合的に判断する必要があります。

初動対応を進めるうえで、感染の可能性が高い場合は証拠を残します。検知画面のスクリーンショット・発生時刻・利用者情報・不審メールの原本・添付ファイル名などを記録しておくと、調査と報告に役立ちます。

証拠を残さずに駆除へ進むと、侵入経路や影響範囲の特定が困難です。証拠を保全したうえで、セキュリティ製品によるフルスキャンや、組織の手順に沿った駆除を進めます。

Emotetは単体で終わらず、他のマルウェアの侵入につながる可能性があるため、該当端末だけでなく周辺端末や共有環境への影響も意識した確認が重要です。

Emotetの感染が疑われる場合は、メールアカウント・業務システム・クラウドサービスなど、利用していた認証情報の変更を速やかに検討してください。Emotetは、端末に保存された認証情報やメール情報が窃取されている可能性があります。

このとき、感染が疑われる端末上でパスワード変更をしないことが重要です。別の安全な端末から変更し、必要に応じて多要素認証の再設定やセッションの失効も実施します。感染の被害を広げないためには、資格情報の保護を早めに進める必要があります。

Emotet感染の可能性がある時点で、関係者へ注意喚起を行うことが重要です。
Emotetに感染したら、感染端末のメール情報を悪用し、取引先や社内関係者へ不審メールを送信することがあります。特に、直近でやり取りのあった取引先や社内の関連部署には、早めの共有が有効です。

通知内容は、以下のように内容を簡潔にまとめると伝わりやすくなります。

• 自社を装う不審メールに注意

• 添付ファイルやリンクの開封禁止

• 不審な連絡があれば報告を依頼

外部への影響を抑えるうえでも、上記の早期通知は重要な初動対応です。

社内での対応と並行して、情報システム部門・CSIRT（※3）・経営層への報告が欠かせません。また、状況によってはIPA（※4）・警察の相談窓口・個人情報保護委員会などへの連携も検討します。どこまで報告が必要かは、漏えいの有無や影響範囲によって変わります。

重要なのは、事実関係を整理しながら早めに共有することです。完全に確定してからではなく、「現時点で分かっていること」「未確認のこと」を分けて報告すると、社内外の対応が進めやすくなります。被害報告は、対外説明だけでなく、その後の復旧や再発防止にもつながる対応です。

※3・・・CSIRT（Computer Security Incident Response Team）とは、セキュリティインシデント発生時に、迅速な調査・分析、対応、再発防止策の策定を行う専門チームのこと。

※4・・・IPA（Information-technology Promotion Agency）は正式名称「独立行政法人情報処理推進機構」で、日本のIT・セキュリティ政策を担う公的機関のこと。

Emotetは、感染後の対応だけでなく、平時の備えによって再発リスクを下げることが重要です。技術的対策の土台を整えたうえで、組織全体での対策や適切な教育を組み合わせる必要があります。

Emotet対策では、まずメール起点の侵入を減らす技術的対策が基本です。具体的には、Officeマクロの無効化・EDR（※5）や次世代アンチウイルスの導入・OSやソフトウェア更新管理の徹底など、これらの対策により感染リスクを下げます。

特に重要なのは、技術的対策を単発で終わらせないことです。設定を適用したまま放置せず、更新漏れや例外運用がないかを継続的に確認する必要があります。技術的対策は、再発防止の土台になります。

※5・・・EDR（Endpoint Detection and Response）とは、サイバー攻撃の侵入や不審な挙動を早期に検知・対処するセキュリティ製品のこと。

Emotetは、利用者のメール操作をきっかけに感染が広がるため、技術的対策だけでは不十分です。不審メール訓練・机上演習・報告フローの整備を通じて、現場が迷わず動ける状態を作る必要があります。

特に、誰がどこへ報告するか・感染時にどの順番で対応するかが曖昧だと、初動対応が遅れやすくなります。平時から訓練と手順確認を実施し、対応を組織の運用として定着させることが重要です。

Emotet対策を実効性のあるものにするには、知識の周知だけでなく、実際に判断し行動する練習が必要です。返信型メールや添付ファイルの開封といった場面は、座学だけでは再現しにくいため、体験型教育を取り入れる考え方は有効です。

疑似的な攻撃を通じて「気づく・立ち止まる・報告する」を学べる環境があると、対応を行動として定着させやすくなります。セキュアプラクティスのような体験型学習サービスを活用すれば、Emotetを含むメール起点の脅威を実務に近い形式で学びやすくなります。

Emotet対策では、感染が疑われた際の初動対応と、平時からの備えの両方が欠かせません。ネットワーク隔離・感染確認・証拠保全・パスワード変更・関係者通知といった初動対応を速やかに行えるかが、被害の大きさを左右します。

一方で再発を防ぐには、マクロ無効化・EDR・更新管理といった技術的対策に加え、訓練・報告フロー・体験型教育まで含めた組織的対策が必要です。初動対応を標準化することが、Emotet対策の実効性を高めます。

なお、セキュアプラクティスのような体験型学習を取り入れることで、知識を行動へつなげやすくなり、再発防止に向けた教育の実効性も高めやすくなります。