2022年2月から3月にかけて、日本国内組織でのEmotet(エモテット)への感染被害が大幅に拡大しているとのことで、IPA独立行政法人情報処理推進機構より注意喚起のアナウンスがあります。

「Emotet(エモテット)」と呼ばれるウイルスへの感染を狙うメールについて

IPA独立行政法人情報処理推進機構ウェブサイトより
図12 被害相談の例(2021年12月)-IPAウェブサイトより引用

Emotetについて

  • メールで添付ファイルを送りつける「なりすましメール」タイプ
    • WordやExcelのファイルを添付
    • マクロを実行させることで感染
  • 正規のメールへの返信を装っており騙されてしまいやすい
    • 受信者が過去にメールのやり取りをしたことのある、実在の相手の氏名、メールアドレス、メールの内容等の一部が、攻撃メールに流用されている
    • 業務上開封してしまいそうな巧妙な文面となっている など
  • Emotetは感染することにより次のような活動をします
    • 端末やブラウザに保存されたパスワード等の認証情報が窃取される
    • 窃取されたパスワードを悪用され SMB によりネットワーク内に感染が広がる
    • メールアカウントとパスワードが窃取される
    • メール本文とアドレス帳の情報が窃取される
    • 窃取されたメールアカウントや本文などが悪用され、Emotet の感染を広げるメールが送信される

解説

実在の相手を装った攻撃メールが標的者に送信されます。そのメールにはWordまたはExcelのファイルが添付されており、メールには添付ファイルを開いてほしい旨の文面が書かれています。

添付ファイルを開くと「コンテンツの有効化」ボタンをクリックするような指示が書かれており、これをクリックすることでEmotetがダウンロードされる仕組みです。WordやExcelのマクロの設定でマクロの自動実行が有効になっていれば添付ファイルを開いただけでダウンロードが実行されてしまいます。

ダウンロードされたEmotetはブラウザなどに保存されたパスワード等の認証情報メールのアカウントとパスワードメール本文とアドレス帳などを盗みます。盗んだこれらの情報によってまた別の標的者に攻撃メールが送信されてしまいます。

またEmotetは別のマルウエアをダウンロードし、結果としてランサムウエアに感染してデータが暗号化されるなどの被害に繋がるケースも報告されています。

対策

むやみに添付ファイルを開かない

攻撃メールは巧妙ななりすましのメールですが、文面にはいくつかの傾向が見られるようです(その傾向についてはIPAの記事を参照)。信頼できる相手からのメールであっても、少しでも違和感を感じたら添付ファイルを開かずに送信相手に確認しましょう

メールにWord/Excelのファイルを添付するのではなく、ストレージサービスを利用してファイルの受け渡しを行うのも良いでしょう。

Word/Excelのマクロの自動実行の無効化

Word/Excelでマクロの自動実行が有効化されている場合は添付ファイルを開いただけでEmotetがダウンロードされてしまう危険性があります。Microsoft Office Word/Excel のセキュリティセンターのマクロの設定で、「警告を表示してすべてのマクロを無効にする」を選択してください。

識者に相談する

攻撃メールらしきメールを受信した場合、あるいは疑わしいメールの添付ファイルを開いてしまった場合など、速やかに識者に相談しましょう。この場合の識者とは、会社などの組織であれば上司と情報システム担当者、個人であればIPAまたはJPCERT/CC(日本国内に関するインシデント等の報告の受け付け、対応の支援などを行う機関)などの機関に直接対応を依頼しましょう。

Emotetのようなマルウェアは放置すると被害が広がってしまいます。少しでも早く拡散を阻止する必要があるので、速やかに報告して指示を受けましょう。

参考1

EmoCheckによるEmotet感染有無の確認
 JPCERT/CCが用意したEmotetの感染をチェックできるツールをダウンロードすることができます
 ちょっと探しづらいですが、「マルウエアEmotetへの対応FAQ」ページの「2.Emotet の感染有無を確認するためにはどうすればよいですか?」にEmoCheckのダウンロード先と使い方が記載されています

参考2

JPCERT/CCインシデント対応依頼フォーム
 JPCERT/CCへの対応依頼フォームのページです。注意事項をよく読んでご利用ください

まとめ

Emotetに限らず、ウィルスやマルウェア等への対策は頭の片隅に入れておくべきです。たとえウィルス対策ソフトを導入していたとしても、添付ファイルを実行してしまったり、URLのリンクをクリックしてしまった場合には防ぎきれない場合があります。つまり人がクリックや実行してしまうことがウィルスやマルウェアを侵入させてしまう原因だということをお忘れなく。

また、被害が自分だけで済むのであればまだ良い方で、Emotetのように知人や得意先に多大な迷惑がかかってしまうことも認識しておいてください。