ニュース

マルウェア「Emotet」の感染被害が10月以降に急増、JPCERT/CCがFAQページを公開

Emotet感染時の対処法についてまとめたFAQページ

 マルウェア「Emotet(エモテット)」感染被害の報告が2019年10月以降に急増しているとして、一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)が注意喚起を行った。Emotet感染時の対処法などについてまとめたFAQページも公式ブログ「JPCERT/CC Eyes」で公開している。

 JPCERT/CCでは、実在する組織や人物になりすましたメールに添付された悪性なWord文書ファイルによるEmotetの感染被害を確認している。

 メールに添付されたWord形式のファイルには「コンテンツの有効化」を促す内容が記載されており、実行するとEmotetがダウンロードされるようになっている。Wordの設定によっては、有効化の警告が表示されずにダウロードされる場合があるため注意が必要だ。

 Emotetに感染した場合、以下のような影響が発生する可能性がある。

  • 端末やウェブブラウザーに保存されたパスワードなどの認証情報が窃取される
  • 窃取されたパスワードを悪用され、SMBによりネットワーク内に感染が広がる
  • メールアカウントとパスワードが窃取される
  • メール本文とアドレス帳の情報が窃取される
  • 窃取されたメールアカウントや本文などが悪用され、Emotetの感染を広げるメールが送信される

 Emotetの感染に繋がる添付ファイル付きのメールは、Emotetが窃取した情報などを元に独自に作成されているものに加え、実際の組織間のメールのやり取りの内容を転用することで、感染元から送信先への返信を装うものがある。そのため、取引先の担当者から送られているように見えるメールでも、実際はEmotetが窃取した情報を元に攻撃者側から送られている「なりすましメール」である可能性がある。

 JPCERT/CCでは、Emotetの感染を予防するための対策として、以下の対応を実施するよう促している。

  • 組織内への注意喚起の実施
  • Wordマクロの自動実行の無効化(Microsoft Officeのセキュリティセンターのマクロの設定で、「警告を表示してすべてのマクロを無効にする」を選択)
  • メールセキュリティ製品の導入によるマルウエア付きメールの検知
  • メールの監査ログの有効化
  • OSに定期的にパッチを適用(SMBの脆弱性を突いた感染拡大に対する対策)
  • 定期的なオフラインバックアップの取得(標的型ランサムウェア攻撃に対する対策)

 FAQページではこのほか、Emotetに感染するWord文書の表示例を紹介している。

添付ファイル例1(11月26以降)
添付ファイル例2(10月30日以降)
添付ファイル例3
添付ファイル例4
添付ファイル例5
添付ファイル例6