ニュース

[脅威情報]Emotetと呼ばれるマルウェア

記事のポイント

  • Emotetに関する注意喚起
  • Emotetを利用したメール・攻撃手口
  • Emotetへの対策
  • 感染してしまったときの対処法

Emotet(エモテット)と呼ばれるマルウェアに関する注意喚起が行われている。同マルウェア添付メールは、受信者が過去にメールのやり取りをしたことのある実在の相手の氏名、メールアドレス、メールの内容等の一部が利用されており非常に見分けがつきにくいものとなっている。被害に合わないためにも手口を確認し対策を取っておくこと、被害に合った場合それを最小限に抑えるために対処法を確認しておくことをお勧めする。

 

Emotetに関する注意喚起

12月2日、独立行政法人情報処理推進機構(IPA)と一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)はEmotet(エモテット)と呼ばれるマルウェアに関する注意喚起を行った。

Emotetは、情報の不正取得だけでなく更に他のウイルスへの感染のために悪用されるウイルスであり、悪意のある者によって不正なメールに添付される等して、感染の拡大が行われている。Emotetへの感染を狙う攻撃メールの中には、攻撃対象者が過去にメールのやり取りをしたことのある、実在の相手の氏名、メールアドレス、メールの内容等の一部が流用され、あたかもその相手からの返信メールであるかのように見える攻撃メールも確認されており、これまでの企業を騙るフィッシングメールよりも判別がつきにくいものとなっている。

Emotetに感染してしまった組織から不正に取得した情報をもとに、正規のメール文面やメールアドレス等の情報が使われていると考えられており、Emotetへの感染被害による情報窃盗が他者に対する新たな攻撃メールの材料とされてしまう悪循環が発生している可能性が高い。この連鎖を止め被害に合わないためにもEmotet攻撃の手口、感染しないための対策、感染してしまったときの対処法を確認しておくことをお勧めする。

 

Emotetを利用したメール・手口

下記の画像のように以前取引先に送信したメールがそのまま転用されており、まるで取引先から変身されたかのように見えるような内容でマルウェア[Emotet]が添付されてくる。このメールに添付されているファイルだが、Microsoft Office内の「マクロの設定」という項目を変更している場合を除き、この手口の不正ファイルでは基本的にはファイルを開いただけではウイルスに感染することはない。文書ファイル内に埋め込まれているマクロの動作が止められているためだ。しかし、利用者がマクロの実行等を許可する操作を行った場合は、悪意のあるマクロが動作し、ウイルスに感染させられてしまう。

(画像:情報処理推進機構)

WordやExcelの上部に表示される[セキュリティの警告 一部のアクティブコンテンツが無効にされました。クリックすると詳細が表示されます・[コンテンツの有効化]]の[コンテンツの有効化]をクリックすると悪意のあるマクロが動作をはじめマルウェアに感染してしまう。マルウェア感染の危険性があるため添付されたファイルが信用できるものと確認が取れた場合を除き、この「コンテンツの有効化」はクリックしない注意が必要である。

 

Emotetへの対策

Emotetの脅威が増しているが、基本的には他のセキュリティ対策同様身に覚えのないメールの添付ファイルは開かないことやURLをクリックしないこと、セキュリティソフトを最新の状態にしておくことなどが挙げられる。また、前述の通り信頼できないメールに添付されたWord文書やExcelファイルを開いた時に、マクロやセキュリティに関する警告が表示された場合、「マクロを有効にする」「コンテンツの有効化」というボタンはクリックしないことを徹底する必要がある。具体的には下記のように対応を取ることが必要だ。

  • 組織内への注意喚起の実施
  • Word マクロの自動実行の無効化
  • メールセキュリティ製品の導入によるマルウェア付きメールの検知
  • メールの監査ログの有効化
  • OS に定期的にパッチを適用 (SMBの脆弱性をついた感染拡大に対する対策)
  • 定期的なオフラインバックアップの取得(標的型ランサムウエア攻撃に対する対策)

また、メールや文書ファイルの閲覧中に身に覚えのない警告ウインドウが表示され、その警告の意味が分からない場合は、操作を中断しわからないまま継続しないことが必要である。さらに感染し、不正取得した情報を盾に多額の資金を要求される可能性も考慮し、定期的にオフラインでバックアップを取っておくことが必要である。

 

感染してしまったときの対処法

Emotetに感染してしまった場合には被害が拡大しないように、同じネットワークを利用している端末が感染していないかの確認を取るとともに、不正に取得された情報が悪用されないようにメールアドレス・パスワード等を変更すること、感染端末が保有していた情報をもとに更なる攻撃が行われないようにアドレス帳等に登録されていた方への注意喚起を行う必要がある。

  • 感染端末の隔離、証拠保全及び被害範囲の調査
  • 感染していた端末が利用していたメールアカウント・パスワード変更
  • 感染端末が接続していた組織内ネットワーク内の全端末調査
  • 感染端末に情報が保存されていた関係者への注意喚起

 

まとめ

国内では金融機関を装ったフィッシングメールやショッピングサイトでの決済画面だけが偽物で不正に情報取得を試みる手口等様々な脅威が確認されている。被害に合わないためにもこうした攻撃手口を確認し対策を取っておくとともに、攻撃を受けてしまった場合の対処法も確認しておくことで被害拡大を抑えることにつながる。

TwitterでIPAや警視庁サイバーセキュリティ対策本部等セキュリティ関係のアカウントをフォローしておくだけでも脅威情報を確認することが可能だ。

 

関連記事

 


関連記事

  1. インドの国営銀行がブロックチェーン導入

  2. bitFlyer手数料UP、ビットコインに原因か

  3. Atomic Wallet、XRPの対応発表

  4. 米ゴールドマン・サックス、R3コンソーシアムから脱退

  5. オーストリア中央銀行総裁、仮想通貨業界へ危機感を露に。

  6. 生体認証の精度向上[諸問題の解決・改善への期待]

PAGE TOP

ニュース

昨日(12/13)のニュースまとめ

ニュース

コインの森トレード学習講座注文方法[成行・指値・逆指値]

ニュース

令和2年度税制改正大綱決定[暗号通貨税制の改正なし]

ニュース

バーゼル銀行、パブリックコメント募集[暗号通貨規制]

ニュース

オランダ大手ING,カストディサービス開発[伝統的な金融機関の動き]

ニュース

昨日(12/12)のニュースまとめ

ニュース

EVETokenとは?取引所bitcastle[コインの森]

ニュース

Nayuta、NayutaWalletソースコード公開