メールの情報を盗み出すマルウエアに注意!
「Emotet」(エモテット)は、実際の送信者を装ったメールに添付されているファイルを開き、組み込まれたマクロ(プログラム)を実行することで感染するマルウエアです。
Emotet に感染すると、メールアカウントやパスワードのメール情報を盗まれ、ウイルスメールや迷惑メールの配信元になったり、ランサムウエアに感染したり、遠隔操作される可能性があります。
感染すると
- 端末やブラウザに保存されたパスワード等の認証情報が盗まれる。
- メールアカウントやパスワード、メール本文、アドレス帳の情報が盗まれる。
- 社内や家庭内に接続されたネットワーク内に感染が広がる。
- 盗まれたメールアカウントや本文が悪用され、Emotet の感染を広げるメールが送信される。
Emotet に感染した端末に別のマルウエアをダウンロードし、結果としてランサムウエアに感染して、端末のデータが暗号化されるなどの被害につながる可能性があります。
感染経路
実際に送受信しているメール本文を引用することで、実際の送信者から送られたメールと信じ込ませ、受信者にWord等の添付ファイルを開かせ、マクロ(プログラム)を実行させることで感染します。
一見、取引先の担当者から送られてきたメールのように見えても、実際は Emotet が盗んだ情報を使って、実際の送信者になりすまして添付ファイル付きのメールを送っている可能性があるため、注意が必要です。
マルウエア「Emotet」の感染経路 (図:JPSERT/CC)
メールの例
メールの例(図:独立行政法人情報処理推進機構)
普段は添付ファイル付きメールを送ってこない相手から添付ファイル付きメールを受信した時は、メール送信者に電話で確認することが大切です。
添付ファイルを開いた時の「マクロ有効化」は慎重に!
Emotet はメールに添付されたWord ファイル等の悪意あるマクロ(プログラム)を実行させることで、メールのアカウント情報やパスワード、メール本文の内容等を盗み出したり、外部のサーバと通信を行います。
万が一、添付ファイルを開いてしまった時は
- マクロが組み込まれたWord等のファイルを開くと、画面上部に「セキュリティの警告」が表示され、マクロの実行を有効にするための「コンテンツの有効化」ボタンも表示されます。
- 「コンテンツの有効化」ボタンが表示されても、すぐにマクロを有効化せずに、メール送信者に対し電話で、マクロを組み込んだファイルを添付したメールを送信したか確認しましょう。
(注意)マクロが自動実行される設定になっていると、ファイルを開いた時点でマクロが実行されてしまうので、注意が必要です!
添付ファイルを開いた画面(引用:JPCERT/CC)に注意文を加工
被害防止対策
セキュリティ対策ソフトによるマルウエア付きメールの検知を有効にする。
- パターンファイルは常に最新な状態に保ち、定期的にスキャンする。
(注意)Emotet はバリエーションが多数あり、最新の定義ファイルでも数日の間、検知されない可能性があるので、定期的に最新のパターンファイル(ウイルス定義ファイル)に更新し、ウイルススキャンを定期的に実施する。
Microsoft Office 製品のマクロ自動実行を無効化しておく。
- WordやExcel等のMicrosoft Office 製品は、ファイルを開いた時に自動的にマクロを実行させるか、警告を表示させるか、すべてのマクロを無効にするかの設定が可能です。
- 誤って添付ファイルをファイルを開いた時にマクロが実行されないように、Microsoft Office 製品の「マクロ自動実行」が「無効」になっているか確認をしましょう。
「Emotet」被害が再度急増!
令和2年2月ころから一度は沈静化の様子を見せていた「Emotet」ですが、令和2年7月ころから被害に関する報告が上がり始め、令和2年9月初めには2日間で23件の相談が報告される等、活動の再開が確認されています。添付ファイルにパスワード付きZIPファイルを用いて、メール配送途中でのセキュリティ製品の検知・検疫をくぐり抜ける等、手口がさらに巧妙化しています。
パスワード付きZIPファイル添付メールによる感染の流れ(図:独立行政法人情報処理推進機構)
(注意)パスワード付きZIPファイルを用いることで、これまでセキュリティ製品による検知や検疫で防御されていた受信者のところまで、攻撃メールが届くことが予想されており、さらに注意が必要です。
リンク先
「マルウエア Emotet の感染に関する注意喚起」一般社団法人 JPCERTコーディネーションセンター (JPSERT/CC)へのリンク(新しいウインドウが開きます。)
「マルウエアEmotetへの対応FAQ」 一般社団法人 JPCERTコーディネーションセンター(JPSERT/CC)へのリンク(新しいウインドウが開きます。)
「「Emotet」と呼ばれるウイルスへの感染を狙うメールについて」独立行政法人 情報処理推進機構 (IPA)のページへのリンク(新しいウインドウが開きます)