4カ月鳴りを潜めていた凶悪なマルウェア「Emotet」が11月に活動を再開していた

　一時期鳴りを潜めていた凶悪なマルウェア「Emotet」が活動を再開しました。Emotetは2019年ごろから猛威を振ったマルウェアで、主にメールに添付されたOffice文書などを経由して感染します。感染するとPC内の情報を外部へ送信したり、遠隔操作用のサーバーから別のマルウェアをダウンロードしたりします。

　2021年1月、このサーバーは欧州刑事警察機構（Europol）によって攻撃基盤が停止されて被害は一時収まりましたが、2021年末から活動再開が確認され、3月に急速に被害が拡大しました。セキュリティ企業のトレンドマイクロによると、検出数は2022年第1四半期で6万件以上で過去最大となったそうです。しかも、日本が最多検出国でした。

　警察庁によると2022年6月には、ウェブブラウザーの「Chrome」に保存されたクレジットカード番号や氏名、有効期限を外部に送信する機能が新たに追加されたことが確認されました。暗号データの復号に使う鍵も同時に盗み出していたのです。

　7月以降の4カ月間は活発な活動を控えていたのですが、11月に入ってからEmotetの感染を目的としたメールがばらまかれ始めました。今回の手口では、添付ファイルを指定したパスのフォルダーにコピーするように指示を行い、マクロを実行可能にしてからEmotetに感染させる特徴が見られました。

Emotetの活動が再開されたとして、警察庁が注意喚起を行いました

　トレンドマイクロによると、このメールで指定されたパスのフォルダーはExcelにおいてデフォルトで信頼済みの場所として設定されており、指示に従い実行すると信頼済みのExcelファイルと判断され、開いたら自動的にマクロが実行されてしまうようです。マイクロソフトはEmotetの被害拡大を受けて、2022年4月から標準でマクロを無効化してきましたが、攻撃者はその回避策として試行してきたものと考えられます。

「Emotet」メールの添付ファイルを開くと、誘導メッセージが表示されます。画像はトレンドマイクロの公式ブログより

　マクロが実行されると、Emotet本体がダウンロードされ、メールやアドレス帳が盗み出され、外部に送信されます。そして、メールをやり取りしたり、アドレス帳に登録している相手に、さらにメールが送信されるのです。Emotetの感染に対処せずにいた場合は、異なるサイバー攻撃やランサムウェアなど別のマルウェアの侵入経路となる可能性があります。

　警察庁では、Emotetの対策として、まず、OSやウイルス対策ソフトやその他ソフト類を最新の状態に更新したうえ、メールセキュリティ製品や不正通信ブロックサービスの導入を推奨しています。また、不審なメールの添付ファイルや本文中のURLを開かないこと、マクロやセキュリティの警告が出たときに無視しないよう促しています。

　そのほか、トレンドマイクロでは「Excel 4.0マクロ」の実行をポリシー制御により無効化することや、ファイアウォール機能によりWindows正規プログラムによる外部への通信を制御することも対策として推奨しています。また、スパムメールが増加することを社内に注意喚起し、従業員に自助努力をしてもらうことも挙げています。

　Emotetに感染するとさらに別のマルウェアに感染したり、取引先に迷惑をかけたりする可能性があります。転ばぬ先の杖ということで、普段からEmotet対策を心にとどめておくことをお勧めします。

NPO法人DLIS（デジタルリテラシー向上機構）

高齢者のデジタルリテラシー向上を支援するNPO法人です。媒体への寄稿をはじめ高齢者向けの施設や団体への情報提供、講演などを行っています。もし活動に興味を持っていただけたり、協力していただけそうな方は、「dlisjapan@gmail.com」までご連絡いただければ、最新情報をお送りするようにします。

※ネット詐欺に関する問い合わせが増えています。万が一ネット詐欺に遭ってしまった場合、まずは以下の記事を参考に対処してください
参考：ネット詐欺の被害に遭ってしまったときにやること、やってはいけないこと