「新型コロナウイルス」に便乗、保健所をかたる不審なメールが拡散中

新型コロナウイルスを題材にした不審なメール（IPAの注意喚起情報ページより）

　中国の湖北省武漢市を中心に感染が広がっている新型コロナウイルスを題材にした不審なメールが出回っているとして、独立行政法人情報処理推進機構（IPA）やトレンドマイクロ株式会社が注意を呼び掛けている。同メールに添付されたWord文書には不正なマクロが含まれており、マルウェア「Emotet」に感染する恐れがある。

　Emotetは、元々はバンキングマルウェアとして利用されていたが、メールの情報を窃取する機能や、他のマルウェアに感染させるローダーとして利用されるなど、機能を変化させている。

　トレンドマイクロの調査によると、Emotetの検出台数は2019年10月で1700件、11月に339件だったが、12月には8000件に急増。同年12月には「賞与支払」「賞与支給に際しての社長メッセージ」「2019冬・業績賞与支給」など時期的な特徴が見られる日本語件名の不審なメールが拡散していることを確認している。

2019年12月に確認されたメールの日本語件名例（1月28日付関連記事『国内で感染を広げる「Emotet」、昨年末には件名「賞与支払」などのメールで拡散』参照）。

Emotet感染を狙うメールに引き続き注意、不審なメールの添付ファイルを開く前に

　2020年1月29日には、新型コロナウイルスに関する情報を装ったメールが拡散されていることをIPAやトレンドマイクロでは確認している。

　保健所の関連組織をかたり、「国内でも〇〇県で患者が報告された」などと、具体的な地名などを使用しているのが特徴。同メールに添付されたファイルも、不正なマクロが含まれたWord文書だった。また、件名や本文にも複数のパターンが確認されている。

　トレンドマイクロによると、メールに添付されたWord文書を開くと、MicrosoftやOfficeのロゴと数行のメッセージが表示されるという。ここで画面上部に黄色く表示された「セキュリティの警告」から「コンテンツの有効化」ボタンなどをクリックすると、不正なマクロが作動し、Emotetに感染する。

メールに添付されたWord文書。「コンテンツの有効化」ボタンを押すとEmotetに感染する（トレンドマイクロより画像提供）

件名や文面が異なるメールも確認されている（トレンドマイクロより画像提供）

　Emotetへの感染を狙ったメールは、件名や本文などを変化させて断続的に拡散している。IPAでは具体的な対策として、以下を挙げる。

• OSやアプリケーション、セキュリティソフトを常に最新の状態にする
• 不審なメールに添付されたWord文書やExcelファイルを開いた際、マクロやセキュリティに関する警告が表示された場合、「マクロを有効にする」「コンテンツの有効化」ボタンはクリックしないこと
• メールや文書ファイルの閲覧中、身に覚えのない警告ウィンドウが表示された際、その警告の意味が分からない場合は、操作を中断すること
• 身に覚えのないメールや添付ファイルを開いてしまった場合は、すぐにシステム管理部門等へ連絡する

　Emotetの感染を狙ったメールの特徴について、IPAの注意喚起情報ページでは情報を随時追加しているため、確認しておきたい。