ニュース
マルウェア「Emotet」の感染被害が10月以降に急増、JPCERT/CCがFAQページを公開
2019年12月3日 15:41
マルウェア「Emotet(エモテット)」感染被害の報告が2019年10月以降に急増しているとして、一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)が注意喚起を行った。Emotet感染時の対処法などについてまとめたFAQページも公式ブログ「JPCERT/CC Eyes」で公開している。
JPCERT/CCでは、実在する組織や人物になりすましたメールに添付された悪性なWord文書ファイルによるEmotetの感染被害を確認している。
メールに添付されたWord形式のファイルには「コンテンツの有効化」を促す内容が記載されており、実行するとEmotetがダウンロードされるようになっている。Wordの設定によっては、有効化の警告が表示されずにダウロードされる場合があるため注意が必要だ。
Emotetに感染した場合、以下のような影響が発生する可能性がある。
- 端末やウェブブラウザーに保存されたパスワードなどの認証情報が窃取される
- 窃取されたパスワードを悪用され、SMBによりネットワーク内に感染が広がる
- メールアカウントとパスワードが窃取される
- メール本文とアドレス帳の情報が窃取される
- 窃取されたメールアカウントや本文などが悪用され、Emotetの感染を広げるメールが送信される
Emotetの感染に繋がる添付ファイル付きのメールは、Emotetが窃取した情報などを元に独自に作成されているものに加え、実際の組織間のメールのやり取りの内容を転用することで、感染元から送信先への返信を装うものがある。そのため、取引先の担当者から送られているように見えるメールでも、実際はEmotetが窃取した情報を元に攻撃者側から送られている「なりすましメール」である可能性がある。
JPCERT/CCでは、Emotetの感染を予防するための対策として、以下の対応を実施するよう促している。
- 組織内への注意喚起の実施
- Wordマクロの自動実行の無効化(Microsoft Officeのセキュリティセンターのマクロの設定で、「警告を表示してすべてのマクロを無効にする」を選択)
- メールセキュリティ製品の導入によるマルウエア付きメールの検知
- メールの監査ログの有効化
- OSに定期的にパッチを適用(SMBの脆弱性を突いた感染拡大に対する対策)
- 定期的なオフラインバックアップの取得(標的型ランサムウェア攻撃に対する対策)
FAQページではこのほか、Emotetに感染するWord文書の表示例を紹介している。
