画像：マルウエア Emotet の感染に関する注意喚起/JPCERT CCより

一般社団法人 JPCERT コーディネーションセンターは2019年11月25日、ビジネスメール詐欺などで広く感染を拡大している「Emotet（Emotet）」について、注意喚起を発信しました。

JPCERTによるとEmotetは2019年10月に入り、急速に感染を拡大。多数の相談が寄せられたと述べています。そこで、Emotetの感染経路や企業側が実施すべき対策などを整理。システム担当者や一般ユーザーへの公表に踏み切りました。

Emotetの感染経路は？

現在確認されているEmotetは、その大部分がOfficeソフトに付属する形で広がっています。具体的にはビジネスメールを装ってWord形式のファイルを添付し、誤解した受信者がコンテンツ有効化を実行するのを待つ手口です。

ここで注意したいのが、Emotetは既に感染した端末や流出した情報をベースに送信されている可能性があることです。たとえば、実際の組織間のメール内容を転用して送信したり、攻撃者が盗み見た本文から独自に制作した内容などが考えられます。こうしたメールは中身のないあいさつメールを偽装したものと比べ、内容的に充実しているケースが多々あります。JPCERTはこのような点を踏まえ、警告を発しました。

Emotetに感染するとどうなる？

Emotetは主に、メールアカウントやメール本文を中心に被害を及ぼすマルウェアです。感染するとアカウント内の本文データが盗み見されたり、アドレス帳に登録されている個人情報等が流出してしまうリスクが生じます。また、これを悪用した攻撃者により、自分のメールアカウントから大量に迷惑メールを送信される事態も想定できます。

なお、JPCERTはEmotetの被害について、次の5通りの被害を例示。注意を呼び掛けている状況です。

• 端末やブラウザに保存されたパスワード等の認証情報が窃取される
• 窃取されたパスワードを悪用され SMB によりネットワーク内に感染が広がる
• メールアカウントとパスワードが窃取される
• メール本文とアドレス帳の情報が窃取される
• 窃取されたメールアカウントや本文などが悪用され、Emotet の感染を広げるメールが送信される

Emotetへの対策は？

Emotetはビジネスメール詐欺などヒューマンエラーを狙ったものが多いため、組織内への注意喚起が有効です。従業員が正確に対応できていれば、被害が生じる可能性はありません。

また、EmotetはOfficeソフトウェアのマクロ機能を悪用して感染を広げるタイプです。そのため、Wordマクロの自動実行を無効化し確認画面を表示することで、うっかりクリックによる感染トラブルを防げます。OSの更新やセキュリティ製品の導入、メール監査ログの有効化なども取るべき対策の1つです。

参照マルウエア Emotet の感染に関する注意喚起/JPCERT CC