本文へ

閉じる

サイト内検索

サイト内検索を閉じる

閉じる

よく使われるメニュー

メニューを閉じる

  • 大阪府警公式Instagram
  • 大阪府警公式X(旧ツイッター)
  • 大阪府警公式LINE
  • 大阪府警公式YouTube
現在のページ

メールの情報を盗み出すマルウエアに注意!

「Emotet」(エモテット)は、実際の送信者を装ったメールに添付されているファイルを開き、組み込まれたマクロ(プログラム)を実行することで感染するマルウエアです。
Emotet に感染すると、メールアカウントやパスワードのメール情報を盗まれ、ウイルスメールや迷惑メールの配信元になったり、ランサムウエアに感染したり、遠隔操作される可能性があります。

感染すると

  • 端末やブラウザに保存されたパスワード等の認証情報が盗まれる。
  • メールアカウントやパスワード、メール本文、アドレス帳の情報が盗まれる。
  • 社内や家庭内に接続されたネットワーク内に感染が広がる。                                
  • 盗まれたメールアカウントや本文が悪用され、Emotet の感染を広げるメールが送信される。

Emotet に感染した端末に別のマルウエアをダウンロードし、結果としてランサムウエアに感染して、端末のデータが暗号化されるなどの被害につながる可能性があります。   

感染経路

実際に送受信しているメール本文を引用することで、実際の送信者から送られたメールと信じ込ませ、受信者にWord等の添付ファイルを開かせ、マクロ(プログラム)を実行させることで感染します。                                
一見、取引先の担当者から送られてきたメールのように見えても、実際は Emotet が盗んだ情報を使って、実際の送信者になりすまして添付ファイル付きのメールを送っている可能性があるため、注意が必要です。   

感染経路のイメージ図

マルウエア「Emotet」の感染経路 (図:JPSERT/CC)

メールの例

メールの例

メールの例(図:独立行政法人情報処理推進機構)

普段は添付ファイル付きメールを送ってこない相手から添付ファイル付きメールを受信した時は、メール送信者に電話で確認することが大切です。

添付ファイルを開いた時の「マクロ有効化」は慎重に!

Emotet はメールに添付されたWord ファイル等の悪意あるマクロ(プログラム)を実行させることで、メールのアカウント情報やパスワード、メール本文の内容等を盗み出したり、外部のサーバと通信を行います。

万が一、添付ファイルを開いてしまった時は

  • マクロが組み込まれたWord等のファイルを開くと、画面上部に「セキュリティの警告」が表示され、マクロの実行を有効にするための「コンテンツの有効化」ボタンも表示されます。                                
  • 「コンテンツの有効化」ボタンが表示されても、すぐにマクロを有効化せずに、メール送信者に対し電話で、マクロを組み込んだファイルを添付したメールを送信したか確認しましょう。
     

(注意)マクロが自動実行される設定になっていると、ファイルを開いた時点でマクロが実行されてしまうので、注意が必要です!   

添付ファイルを開いた画面イメージ

添付ファイルを開いた画面(引用:JPCERT/CC)に注意文を加工

被害防止対策

セキュリティ対策ソフトによるマルウエア付きメールの検知を有効にする。

  • パターンファイルは常に最新な状態に保ち、定期的にスキャンする。                                

(注意)Emotet はバリエーションが多数あり、最新の定義ファイルでも数日の間、検知されない可能性があるので、定期的に最新のパターンファイル(ウイルス定義ファイル)に更新し、ウイルススキャンを定期的に実施する。

Microsoft Office 製品のマクロ自動実行を無効化しておく。

  • WordやExcel等のMicrosoft Office 製品は、ファイルを開いた時に自動的にマクロを実行させるか、警告を表示させるか、すべてのマクロを無効にするかの設定が可能です。                                
  • 誤って添付ファイルをファイルを開いた時にマクロが実行されないように、Microsoft Office 製品の「マクロ自動実行」が「無効」になっているか確認をしましょう。

マクロの自動実行を無効化するイメージ画像

「Emotet」被害が再度急増!

Emotet被害が再度急増を説明する図(2022年11月以降、Emotetの感染に至るメールの配布は確認されていませんでしたが、2023年3月7日より配布が確認されています。また、これまでのEmotetと異なる特徴も確認されているので注意してください。)

感染が疑われたら

まず、Emotetに感染したパソコンのLANケーブルを抜くなどしてネットワークから隔離してください。

Emotetの感染の有無は、自分自身で確認することができます。
JPCERTコーディネーションセンターのウェブサイトにEmotet専用の感染確認ツール
「EmoCheck(エモチェック)」が公開されていますので活用してください。

「マルウエアEmotetへの対応FAQ」 一般社団法人 JPCERTコーディネーションセンター(JPSERT/CC)へのリンク(新しいウインドウが開きます。)

Emotet感染チェックツール「EmoCheck」でも検知できない場合があります

感染が判明したら

  • 感染した端末のLANケーブルを抜くなどしてネットワークから隔離する。
  • 感染した端末が利用していたメールアカウント等のパスワードを変更する。
  • 同一ネットワーク内の端末にも感染が拡大している可能性も考えられるので、他の端末も感染の有無を確認する。
  • 他のマルウェアを感染させられている可能性があるので、Emotet以外にも感染していないか確認する。
  • 感染した端末に保存されているメールやアドレス帳を確認し、自社の端末がEmotetに感染したことを通知して感染拡大を防止する。
  • 最寄りの警察署に通報する。
     

リンク先

「マルウェアEmotetの感染再拡大に関する注意喚起」 一般社団法人 JPCERTコーディネーションセンター(JPCERT/CC)へのリンク(新しいウインドウが開きます。)

「Emotet(エモテット)と呼ばれるウイルスへの感染を狙うメールについて」 独立行政法人 情報処理推進機構(IPA)のページへのリンク(新しいウインドウが開きます。)