マルウエア Emotet の感染に繋がるメールの配布活動の再開について (追加情報)

サイバーインシデントがなくなるその日まで

JPCERT Coordination Center

powered by Yahoo! JAPAN

  • このサイト内を検索
  • ウェブ全体を検索

マルウエア Emotet の感染に繋がるメールの配布活動の再開について (追加情報)

最終更新: 2020-07-29

2020年7月17日頃より、マルウエア Emotet の感染に繋がるメールが配布されているとの情報が確認されています。Emotet は、情報窃取を行うだけでなく、感染端末から窃取した情報を用いてスパムメールを送信し、更に感染拡大を試みる機能などを有するマルウエアです。

2019年10月から、日本国内でも Emotet の感染事例が相次いでいた状況から、JPCERT/CCは注意喚起やブログを公開して注意を呼びかけました。その後、2020年2月以降、Emotet の感染に繋がるメールの配布は観測されず、Emotet の活動に大きな動きがない状況が継続していました。

今回観測されているメールも、以前と同様、添付ファイルまたは本文中にリンクを含むメールです。添付ファイルまたはリンクからダウンロードされるファイルを実行すると、マクロの有効化を促す内容が表示され、マクロを有効化すると、Emotet の感染に繋がることが確認されています。

newsflash_1
画像1: Emotet の感染に繋がる文書ファイルの例

Microsoft Security Intelligence@MsftSecIntel
https://twitter.com/MsftSecIntel/status/1284206817136926720

Malwarebytes
It’s baaaack: Public cyber enemy Emotet has returned
https://blog.malwarebytes.com/trojans/2020/07/long-dreaded-emotet-has-returned/

Proofpoint
Emotet Returns After Five Month Hiatus
https://www.proofpoint.com/us/blog/security-briefs/emotet-returns-after-five-month-hiatus

今後改めて、日本国内の組織やユーザにおいても、Emotet の感染に繋がるメール受信や感染被害が増加する恐れがあるため、警戒が必要です。組織内での注意の呼びかけや対策状況の確認の実施を推奨いたします。JPCERT/CCは、関連情報の収集や調査を継続しており、状況に応じて改めて情報発信する予定です。何かご提供いただける情報がありましたら、JPCERT/CCまでご連絡ください。JPCERT/CCは、Emotet に関してこれまで次のような情報を発信しております。

マルウエア Emotet の感染に関する注意喚起
https://www.jpcert.or.jp/at/2019/at190044.html

マルウエアEmotetへの対応FAQ
https://blogs.jpcert.or.jp/ja/2019/12/emotetfaq.html

** 更新: 2020年7月29日 *******************************************
JPCERT/CCでは、7月28日より、過去の Emotet 感染で窃取した情報を利用し、送信されたと思われる Emotet の感染に繋がるメールを確認しています。 取引先等から自社を名乗るメールが送られてきたといった申告が来た場合には、新規に感染した場合のみではなく、下記のケースが想定されます。

・過去に感染していた端末が使用するメールアドレスやその取引先などに対して、Emotet のメールが配信された
・過去に感染していた端末から SMTP 認証情報などが窃取され、自社のメールサーバが Emotet のメール配信に悪用された

「マルウエアEmotetへの対応FAQ」やメールサーバの認証ログ等を確認いただき、 上記のケースのいずれかを把握した上で対応することを推奨いたします。

また、情報処理推進機構 (IPA) からも攻撃再開の観測状況や注意事項等が公開されていますので 併せて参照して下さい。
情報処理推進機構 (IPA)
「Emotet」と呼ばれるウイルスへの感染を狙うメールについて
https://www.ipa.go.jp/security/announce/20191202.html#L12
** 更新終了 ******************************************************

改訂履歴
2020-07-20 初版
2020-07-29 国内での観測、情報処理推進機構 (IPA) の観測状況を追記

CyberNewsFlash は、注意喚起とは異なり、発行時点では注意喚起の基準に満たない脆弱性の情報やセキュリティアップデート予告なども含まれます。今回の件を含め、提供いただける情報がありましたら、JPCERT/CCまでご連絡ください。

一般社団法人JPCERTコーディネーションセンター (JPCERT/CC)
早期警戒グループ
Email: ew-info@jpcert.or.jp

Topへ

コラム&ブログ

おすすめ情報