(1) Emotet の感染拡大
JPCERT/CCは、2020年9月から マルウェア Emotet に感染し、感染拡大を試みるスパムメール送信に悪用される可能性のある国内ドメイン (.jp) のメールアドレスの急増を確認しています。また、Emotet の感染に関する相談件数も増加しており、Emotet の感染が拡大している状況を把握しています。引き続き、Emotet の感染に繋がるメールへの警戒が必要です。感染拡大を防ぐためにも、後述する内容を参照いただき、組織内への注意喚起を推奨します。
[図1: Emotet に感染し、メール送信に悪用される可能性のある .jp アドレスの推移 (外部からの提供観測情報)]
(2) Emotet の新たな手法を確認
Emotet の主な感染経路は、これまでと変わらず、添付ファイルまたは本文中にリンクを含むメールです。添付ファイルまたはリンクからダウンロードされるファイルを実行すると、マクロやコンテンツの有効化を促す内容が表示されます。有効化すると、Emotet の感染に繋がることが確認されています。しかし、2020年7月に Emotet の配布活動が再開して以降、Emotet が感染を広げるための手口が巧妙化しています。
Emotet は、感染した端末から、メールアカウントの認証情報や過去に取引先などとやりとりしたメールの件名や本文などのデータを窃取し、窃取した情報を用いてスパムメールを配信する場合があります。最近ではそれ以外にも、Emotet が正規のメールから添付ファイルを窃取し、Emotet の感染を引き起こすWord 形式のファイルとともに、窃取したファイルを添付してスパムメールを送るケースが確認されています。
[図2: 正規のメールから窃取したファイルが添付された Emotet のメール例]
また、これまではメールに Emotet の感染を引き起こす Word 形式のファイルが添付されていましたが、新たにパスワード付き zip ファイルを添付し、パスワードはメール本文中に記載されているケースを確認しています。この場合、メール配信経路でのセキュリティ製品による検知や検疫をすり抜け、これまでセキュリティ製品により防いでいた受信者に対して、メールが配信されてしまうことが想定されます。
[図3: パスワード付き zip ファイルが添付された Emotet のメール例]
このように、メールの受信者に添付ファイルを実行させるための工夫や、検知回避のための手法の変化が確認されており、今後も引き続き警戒が必要です。一見すると業務に関係がありそうな内容で、取引先から送付されているようにみえる添付ファイルであっても、Emotet の感染に繋がるファイルである可能性があることを念頭に置き、信頼できるものと判断できない限りは「マクロやコンテンツを有効化」のボタンをクリックしないよう注意してください。
(3) Emotet の感染が疑われる場合
Emotet は、情報窃取を行うだけでなく、感染端末から窃取した情報を用いてスパムメールを送信し、更に感染拡大を試みる機能などを有するマルウェアです。感染後には、TrickBot や Qbot (Qakbot) などの別のマルウェアをダウンロードする場合があり、結果として、ランサムウェアを用いたデータの暗号化や暴露といった被害に繋がってしまう可能性もあります。そのため、感染を防ぐための対策や警戒に加えて、感染が疑われる場合は、更なる被害を防ぐための封じ込めや根絶が必要になります。
JPCERT/CCは、Emotet に感染した疑いがある場合の確認方法や、感染が確認された場合の対処方法などについて、参考となる情報を FAQ として JPCERT/CC Eyes ブログに掲載しています。確認や対処を実施するにあたっての参考情報として、ぜひご活用ください。
JPCERT/CC Eyes
マルウエアEmotetへの対応FAQ
https://blogs.jpcert.or.jp/ja/2019/12/emotetfaq.html
CyberNewsFlash は、注意喚起とは異なり、発行時点では注意喚起の基準に満たない脆弱性の情報やセキュリティアップデート予告なども含まれます。今回の件を含め、提供いただける情報がありましたら、JPCERT/CCまでご連絡ください。
一般社団法人JPCERTコーディネーションセンター (JPCERT/CC)
早期警戒グループ
Email: ew-info@jpcert.or.jp
