JPCERT-AT-2022-0006
JPCERT/CC
2022-02-10(新規)
2023-03-20(更新)
(更新: 2023年3月8日追記)
2022年11月以降、Emotetの感染に至るメールの配布は確認されていませんでしたが、2023年3月7日より配布が確認されています。新たな配布手法として、メールに添付されるZIPアーカイブを展開すると500MBを超えるdocファイルが展開されるなどの変化が確認されています。サイズを大きくすることでアンチウイルス製品などでの検知回避を図っていると考えられます。
[図7:500MBを超えるdocファイルを含むZIPアーカイブのサンプル]
また、最新のEmoCheckでEmotetを検知できないケースも確認しているため、検知手法の更新の可否も含めて調査を行い、ツールのアップデートなどの進捗があれば適宜情報を更新いたします。引き続き警戒いただき、対策や対応時には本注意喚起やFAQの最新の情報をご参照ください。
メールの本文には添付ファイルの開封を、ExcelやWordファイルにはマクロの実行を促す内容が記述されています。JPCERT/CCで確認しているメールのサンプルは次のとおりです。
[図2:Emotetメールサンプル]
[図3:添付ファイルを開いた際に表示されるマクロ実行を促すメッセージ例]
(更新: 2023年3月16日追記)
2023年3月16日、Emotetの感染に至るMicrosoft OneNote形式のファイルを添付するメールが観測されています。ファイルを実行後に画面上のボタンを押下すると、ボタンの裏に隠れているスクリプトが実行され、Emotetの感染に繋がる可能性があります。
[図3-2:Microsoft OneNote形式のファイルを添付するメールおよびファイル実行後の画面サンプル]
一見すると業務に関係がありそうな内容で、取引先や知り合いから送付されているようにみえる添付ファイルであっても、Emotetの感染に繋がるメールや添付ファイルである可能性があるため、信頼できるものと判断できない限りは添付ファイルやリンクは開かず、確実な手段で送信元へ確認するといった対応を行うようご注意ください。
(更新: 2022年11月4日追記)
2022年11月、Emotetの感染に至るxlsファイルで、xlsファイルを特定のフォルダにコピーして実行するよう促すものが観測されています。Officeの設定で「信頼できる場所」に登録されているようなフォルダパスにxlsファイルをコピーさせた後に実行させることで、警告を表示させずに悪性なマクロを実行することを試みていると考えられます。
[図3-1:特定の場所にコピーして実行することを求めるxlsファイル(2022年11月4日追記)]
(更新: 2022年3月3日追記)
2022年3月3日、なりすましの新たな手法として、メールの添付ファイル名やメール本文中に、なりすまし元の組織名や署名などが掲載されるケースを確認しています。Emotetが感染端末内のメーラーのアドレス帳から窃取したとみられる情報が用いられていると考えられ、後述のパターンの通り、なりすまされている担当者がEmotetに感染しているとは限りません。
[図2-1:Emotetメールサンプル(2022年3月3日追記)]
(更新: 2022年4月26日追記)
2022年4月25日頃より、Emotetの感染に至るメールとして、ショートカットファイル(LNKファイル)あるいはそれを含むパスワード付きZipファイルを添付したメールが新たに観測されています。ファイルを実行すると、スクリプトファイルが生成、実行され、Emotetの感染に至ります。
WordやExcelのマクロやコンテンツ有効化を必要としない方法での感染を目的とした手法の変化である可能性があります。引き続き、不審なメールの添付ファイルやリンクは開かぬようご注意ください。
(更新: 2022年2月15日追記)
本注意喚起公開後、複数の組織よりEmotet感染に関するお問い合わせをいただいております。Emotetの感染によってメールが送信されるケースは、感染者とその関係者を巻き込む形で複数のパターンに分かれます。
1)自組織がEmotetに感染し、なりすましメールが配信されるケース
Emotetに感染すると、感染端末に保存されていたメールの情報やアドレス帳に登録されていた担当者名などの情報が窃取されます。窃取された情報は、その後のEmotetの感染に繋がるなりすましメールで悪用されることがあります。
[図4:自組織がEmotetに感染し、なりすましメールが配信されるケース]
2)取引先がEmotetに感染し、なりすましメールが配信されるケース
自組織の職員になりすましたメールが飛んでいるからといって、その職員の端末がEmotetに感染しているとは限りません。職員が過去にメールのやりとりを行った取引先の端末がEmotetに感染し、その端末から窃取された情報に含まれていた当該職員の情報が悪用されているというケースの可能性があります。
[図5:取引先がEmotetに感染し、なりすましメールが配信されるケース]
また、国内メールサーバーからの感染に繋がるメールの配信の増加傾向も確認されています。自組織で管理するメールサーバーなどのインフラが悪用されていないか、ご確認ください。もし自組織のインフラが悪用されていた場合、Emotet感染に繋がるメールの配信先が存在しないなどの理由で、大量のバウンスメールを受信している可能性があります。
[図6:Emotet感染による大量のバウンスメールを受信するケース]
自組織の職員になりすましたメールが送られているという場合でも、送られているメールの内容や状況を関係者間で確認および整理の上、後述のEmoCheckやFAQの内容などを参考に自組織の感染有無をご確認いただくことを推奨します。
マルウエアEmotetへの対応FAQ
https://blogs.jpcert.or.jp/ja/2019/12/emotetfaq.html
Emotet感染有無確認ツールEmoCheck
https://github.com/JPCERTCC/EmoCheck/releases
※ EmoCheckは最新バージョンのものをご利用ください。
2023年3月20日、EmoCheck v2.4.0をリリースしました。
※ EmoCheckの使用方法や更新履歴などはこちらをご参照ください。
https://github.com/JPCERTCC/EmoCheck/blob/master/README_ja.md
JPCERT/CC 解説動画
Emotet感染の確認方法と対策(2022年3月7日公開)
https://www.youtube.com/watch?v=nqxikr1x2ag
(更新: 2022年2月15日追記)
EmoCheckをお使いいただく場合、Emotet感染に繋がる可能性が考えられるメールを開いたPCのアカウントで端末にログインした状態で、EmoCheckを実行してください。別のアカウントでログインした場合では正しく検知できない可能性があります。
JPCERT/CC Analysis Center
https://twitter.com/jpcert_ac/status/1491259846616023044
情報処理推進機構(IPA)
Emotetの攻撃活動の急増 (2022年2月9日 追記)
https://www.ipa.go.jp/security/announce/20191202.html#L18
JPCERT/CC 注意喚起
マルウエア Emotet の感染に関する注意喚起
https://www.jpcert.or.jp/at/2019/at190044.html
JPCERT/CC 解説動画
日本中で感染が広がるマルウェアEmotet(2022年3月7日公開)
https://www.youtube.com/watch?v=wvu9sWiB2_U
[図1: Emotetに感染しメール送信に悪用される可能性のある.jpメールアドレス数の新規観測の推移 (外部からの提供観測情報)(2023年3月20日更新)]
2022-02-15 「II. 確認しているEmotetの特徴/動向」「III. 対策、対応」の追記/編集
2022-02-17 「II. 確認しているEmotetの特徴/動向」の図2の修正、「III. 対策、対応」の追記/編集
2022-03-03 「I. 概要」「II. 確認しているEmotetの特徴/動向」の追記、図1の更新
2022-03-07 「III. 対策、対応」の更新
2022-03-08 「III. 対策、対応」「IV. 参考情報」に解説動画リンクを追記
2022-03-14 「III. 対策、対応」の追記
2022-04-22 「III. 対策、対応」の追記
2022-04-26 「II. 確認しているEmotetの特徴/動向」の追記
2022-05-20 「III. 対策、対応」の追記および修正
2022-05-24 「III. 対策、対応」の追記および修正
2022-05-27 「III. 対策、対応」の追記および修正
2022-11-04 「I. 概要」「II. 確認しているEmotetの特徴/動向」の追記
2023-03-08 「I. 概要」の追記、観測状況は「V. 観測状況」に移動
2023-03-16 「II. 確認しているEmotetの特徴/動向」の追記、最新の修正点のみハイライトされるようページ体裁を修正
2023-03-20 「III. 対策、対応」の追記および修正、「V. 観測状況」の図を更新
一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)
本注意喚起への問い合わせや情報提供:
早期警戒グループ
Email:ew-info@jpcert.or.jp
インシデント対応依頼:
インシデントレスポンスグループ
https://www.jpcert.or.jp/form/
JPCERT/CC
2022-02-10(新規)
2023-03-20(更新)
I. 概要
JPCERT/CCでは、2021年11月後半より活動の再開が確認されているマルウェアEmotetの感染に関して相談を多数受けています。特に2022年2月の第一週よりEmotetの感染が急速に拡大していることを確認しています。Emotetに感染しメール送信に悪用される可能性のある.jpメールアドレス数は、Emotetの感染が大幅に拡大した2020年に迫る勢いとなっています。詳細は後述する「V. 観測状況」をご確認ください。感染や被害の拡大を防ぐためにも、改めて適切な対策や対処ができているかの確認や点検を推奨します。(更新: 2023年3月8日追記)
2022年11月以降、Emotetの感染に至るメールの配布は確認されていませんでしたが、2023年3月7日より配布が確認されています。新たな配布手法として、メールに添付されるZIPアーカイブを展開すると500MBを超えるdocファイルが展開されるなどの変化が確認されています。サイズを大きくすることでアンチウイルス製品などでの検知回避を図っていると考えられます。
[図7:500MBを超えるdocファイルを含むZIPアーカイブのサンプル]
また、最新のEmoCheckでEmotetを検知できないケースも確認しているため、検知手法の更新の可否も含めて調査を行い、ツールのアップデートなどの進捗があれば適宜情報を更新いたします。引き続き警戒いただき、対策や対応時には本注意喚起やFAQの最新の情報をご参照ください。
II. 確認しているEmotetの特徴/動向
2021年11月後半より観測されているEmotetは、主にマクロ付きのExcelやWordファイル、あるいはこれらをパスワード付きZipファイルとしてメールに添付する形式で配信されており、ファイルを開封後にマクロを有効化する操作を実行することでEmotetの感染に繋がります。このような手法の他にも、メール本文中のリンクをクリックすることで悪性なExcelやWordファイルがダウンロードされたり、アプリケーションのインストールを装いEmotet感染をねらうケースも観測しています。メールの本文には添付ファイルの開封を、ExcelやWordファイルにはマクロの実行を促す内容が記述されています。JPCERT/CCで確認しているメールのサンプルは次のとおりです。
[図2:Emotetメールサンプル]
[図3:添付ファイルを開いた際に表示されるマクロ実行を促すメッセージ例]
(更新: 2023年3月16日追記)
2023年3月16日、Emotetの感染に至るMicrosoft OneNote形式のファイルを添付するメールが観測されています。ファイルを実行後に画面上のボタンを押下すると、ボタンの裏に隠れているスクリプトが実行され、Emotetの感染に繋がる可能性があります。
[図3-2:Microsoft OneNote形式のファイルを添付するメールおよびファイル実行後の画面サンプル]
一見すると業務に関係がありそうな内容で、取引先や知り合いから送付されているようにみえる添付ファイルであっても、Emotetの感染に繋がるメールや添付ファイルである可能性があるため、信頼できるものと判断できない限りは添付ファイルやリンクは開かず、確実な手段で送信元へ確認するといった対応を行うようご注意ください。
(更新: 2022年11月4日追記)
2022年11月、Emotetの感染に至るxlsファイルで、xlsファイルを特定のフォルダにコピーして実行するよう促すものが観測されています。Officeの設定で「信頼できる場所」に登録されているようなフォルダパスにxlsファイルをコピーさせた後に実行させることで、警告を表示させずに悪性なマクロを実行することを試みていると考えられます。
[図3-1:特定の場所にコピーして実行することを求めるxlsファイル(2022年11月4日追記)]
(更新: 2022年3月3日追記)
2022年3月3日、なりすましの新たな手法として、メールの添付ファイル名やメール本文中に、なりすまし元の組織名や署名などが掲載されるケースを確認しています。Emotetが感染端末内のメーラーのアドレス帳から窃取したとみられる情報が用いられていると考えられ、後述のパターンの通り、なりすまされている担当者がEmotetに感染しているとは限りません。
[図2-1:Emotetメールサンプル(2022年3月3日追記)]
(更新: 2022年4月26日追記)
2022年4月25日頃より、Emotetの感染に至るメールとして、ショートカットファイル(LNKファイル)あるいはそれを含むパスワード付きZipファイルを添付したメールが新たに観測されています。ファイルを実行すると、スクリプトファイルが生成、実行され、Emotetの感染に至ります。
WordやExcelのマクロやコンテンツ有効化を必要としない方法での感染を目的とした手法の変化である可能性があります。引き続き、不審なメールの添付ファイルやリンクは開かぬようご注意ください。
(更新: 2022年2月15日追記)
本注意喚起公開後、複数の組織よりEmotet感染に関するお問い合わせをいただいております。Emotetの感染によってメールが送信されるケースは、感染者とその関係者を巻き込む形で複数のパターンに分かれます。
1)自組織がEmotetに感染し、なりすましメールが配信されるケース
Emotetに感染すると、感染端末に保存されていたメールの情報やアドレス帳に登録されていた担当者名などの情報が窃取されます。窃取された情報は、その後のEmotetの感染に繋がるなりすましメールで悪用されることがあります。
[図4:自組織がEmotetに感染し、なりすましメールが配信されるケース]
2)取引先がEmotetに感染し、なりすましメールが配信されるケース
自組織の職員になりすましたメールが飛んでいるからといって、その職員の端末がEmotetに感染しているとは限りません。職員が過去にメールのやりとりを行った取引先の端末がEmotetに感染し、その端末から窃取された情報に含まれていた当該職員の情報が悪用されているというケースの可能性があります。
[図5:取引先がEmotetに感染し、なりすましメールが配信されるケース]
また、国内メールサーバーからの感染に繋がるメールの配信の増加傾向も確認されています。自組織で管理するメールサーバーなどのインフラが悪用されていないか、ご確認ください。もし自組織のインフラが悪用されていた場合、Emotet感染に繋がるメールの配信先が存在しないなどの理由で、大量のバウンスメールを受信している可能性があります。
[図6:Emotet感染による大量のバウンスメールを受信するケース]
自組織の職員になりすましたメールが送られているという場合でも、送られているメールの内容や状況を関係者間で確認および整理の上、後述のEmoCheckやFAQの内容などを参考に自組織の感染有無をご確認いただくことを推奨します。
III. 対策、対応
Emotet感染時の対応については次の資料を参照してください。マルウエアEmotetへの対応FAQ
https://blogs.jpcert.or.jp/ja/2019/12/emotetfaq.html
Emotet感染有無確認ツールEmoCheck
https://github.com/JPCERTCC/EmoCheck/releases
※ EmoCheckは最新バージョンのものをご利用ください。
2023年3月20日、EmoCheck v2.4.0をリリースしました。
※ EmoCheckの使用方法や更新履歴などはこちらをご参照ください。
https://github.com/JPCERTCC/EmoCheck/blob/master/README_ja.md
更新: 2023年3月20日追記
2023年3月20日、EmoCheck v2.4.0をリリースしました。2023年3月にアップデートされたEmotetの挙動の変化に対応するため、一部の検知機能のロジックを改善しています。
JPCERT/CC 解説動画
Emotet感染の確認方法と対策(2022年3月7日公開)
https://www.youtube.com/watch?v=nqxikr1x2ag
(更新: 2022年2月15日追記)
EmoCheckをお使いいただく場合、Emotet感染に繋がる可能性が考えられるメールを開いたPCのアカウントで端末にログインした状態で、EmoCheckを実行してください。別のアカウントでログインした場合では正しく検知できない可能性があります。
IV. 参考情報
JPCERT/CC Analysis Center
https://twitter.com/jpcert_ac/status/1491259846616023044
情報処理推進機構(IPA)
Emotetの攻撃活動の急増 (2022年2月9日 追記)
https://www.ipa.go.jp/security/announce/20191202.html#L18
JPCERT/CC 注意喚起
マルウエア Emotet の感染に関する注意喚起
https://www.jpcert.or.jp/at/2019/at190044.html
JPCERT/CC 解説動画
日本中で感染が広がるマルウェアEmotet(2022年3月7日公開)
https://www.youtube.com/watch?v=wvu9sWiB2_U
V. 観測状況
JPCERT/CCが確認している、Emotetに感染しメール送信に悪用される可能性のある.jpメールアドレス数の新規観測の推移は本項目に掲載します。最新のデータは更新中です。[図1: Emotetに感染しメール送信に悪用される可能性のある.jpメールアドレス数の新規観測の推移 (外部からの提供観測情報)(2023年3月20日更新)]
改訂履歴
2022-02-10 初版2022-02-15 「II. 確認しているEmotetの特徴/動向」「III. 対策、対応」の追記/編集
2022-02-17 「II. 確認しているEmotetの特徴/動向」の図2の修正、「III. 対策、対応」の追記/編集
2022-03-03 「I. 概要」「II. 確認しているEmotetの特徴/動向」の追記、図1の更新
2022-03-07 「III. 対策、対応」の更新
2022-03-08 「III. 対策、対応」「IV. 参考情報」に解説動画リンクを追記
2022-03-14 「III. 対策、対応」の追記
2022-04-22 「III. 対策、対応」の追記
2022-04-26 「II. 確認しているEmotetの特徴/動向」の追記
2022-05-20 「III. 対策、対応」の追記および修正
2022-05-24 「III. 対策、対応」の追記および修正
2022-05-27 「III. 対策、対応」の追記および修正
2022-11-04 「I. 概要」「II. 確認しているEmotetの特徴/動向」の追記
2023-03-08 「I. 概要」の追記、観測状況は「V. 観測状況」に移動
2023-03-16 「II. 確認しているEmotetの特徴/動向」の追記、最新の修正点のみハイライトされるようページ体裁を修正
2023-03-20 「III. 対策、対応」の追記および修正、「V. 観測状況」の図を更新
一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)
本注意喚起への問い合わせや情報提供:
早期警戒グループ
Email:ew-info@jpcert.or.jp
インシデント対応依頼:
インシデントレスポンスグループ
https://www.jpcert.or.jp/form/