国内で感染を広げる「Emotet」、昨年末には件名「賞与支払」などのメールで拡散

国内でのEmotet検出台数推移

　マルウェア「Emotet」の国内での感染被害が拡大しているとして、トレンドマイクロが注意を呼び掛けている。

　同社の調査では、Emotetの検出台数は2019年10月で1700件、11月に339件だったが、12月には8000件に急増している。また、感染したEmotetに対して指令を送るC2サーバーは12月20日前後で休止していたが、2020年1月13日には活動を再開。検出台数は1月中旬の速報値だけで1500件を超えており、今後も国内での感染被害は拡大する恐れがある。

　2019年12月、攻撃メールの日本語件名には「賞与支払」「賞与支給に際しての社長メッセージ」「2019冬・業績賞与支給」など時期的な特徴のあるものが見られたほか、「◎●」「☆★」「■□」などの記号を含むもの、「会いたいです。16歳の女の子。」「男に会います。15歳の女の子。」など、出会い系を意識したものも確認されている。

　しかし、2020年1月の活動再開以降には同種の件名は確認されていない。

2019年12月以降に確認されたメールの日本語件名例。件名によって、人名、日付、部署名などが追加される場合がある

Emotetに感染させる不正マクロを含むOffice文書、2020年1月に確認

　2020年からの攻撃内容の変化としては、Emotet本体を感染させるための不正マクロを含むOffice文書ファイルへの誘導方法が確認されている。

　また、攻撃メールには添付ファイルがなく本文内のURLから不正マクロを含むOffice文書をダウンロードさせるパターンや、添付されたPDFファイル内のURLから不正マクロを含むOffice文書ファイルに誘導するパターンが確認されている。

　いずれも海外ではすでに確認されていたパターンだが、日本でも同様のものが見られるようになった。一方で、感染環境で窃取したメールに対する返信や転送形式による攻撃メールも継続して見られている。また、2019年中に確認されたものと比較し、日本語の文面に違和感がないものが多くなっているという。

2020年1月に確認された攻撃メール

2020年1月に確認された転送形式の攻撃メール

Emotetは機能を変化して感染拡大、特定の条件の注意だけでは危険

　トレンドマイクロの対応事例の中では、法人組織ネットワークで「MS17-010」などの脆弱性を利用した感染拡大により、内部サーバーに侵害を受けて対応が長引いた事例もある。

　Emotetの侵入経路の1つであるメールに関しては、添付ファイルなどの正当性を判断することも重要になる。Officeの設定ではマクロ機能はデフォルトで無効化されているが、マクロ機能を使用する必要がない場合は「警告を表示せずにすべてのマクロを無効にする」の設定に変更することも検討するよう呼び掛けている。

　さらに、Emotetは感染を拡大するために機能を変化し続けているとして、特定の条件を注意するだけでなく、こうした変化に対応可能な多層防御の対策を見直すようトレンドマイクロは注意を促している。

Microsoft Office「セキュリティセンター」での「マクロ設定」画面の例