新しいEMOTETの脅威

Emotetとは

  • 情報の窃取に加え、更に他のウイルスへの感染のために悪用されるウイルス
  • 不正メールによって感染が拡大している
    • すでに摂取された情報による正規のメールへの返信を装う手口が使われている場合あり
    • 添付されたEmotetの攻撃メールへ添付されているOfficeファイルのマクロなどを通して不正なコードが実行される
      • この手口の不正ファイルでは、基本的にはファイルを開いただけではウイルスに感染することはない
    • メール本文に記載された不正なURLから感染する場合も
  • 2019年の流行、2020年の再流行ともに、日本語のメールを確認
  • 感染した場合は、情報漏えい、スパムメール送信の踏み台化、他のマルウェアの感染、などの被害が発生
    • 組織のネットワーク内で感染拡大したり、最終的にランサムウェアなどを感染させられたりするケースも
    • 端末やブラウザに保存されたパスワードなどの認証情報を窃取される可能性も
    • 返信型の攻撃メールなどの手口により、他者に対する攻撃の踏み台、つまり自分が加害者になってしまう可能性も
    • Emotetは外部のサイバー犯罪者による遠隔操作が可能なボットであるため、侵入後の被害は多岐にわたる
    • Emotetによって呼びこまれるマルウェアは、TrickBotやRyukなど、様々確認されている
  • 2019年には日本国内で非常に感染が拡大した
    • 国内向けのメールには、日本語で請求書やボーナスの支給などの件名が特徴的に見られた
    • 中には日本語に違和感のない巧妙な文面のメールも
  • 2014年頃からオンラインバンキングを狙うトロイの木馬として利用されてきた
  • 国内で大きく流行したのは2019年
  • 感染した場合は、端末の切り離し、アカウントのクレデンシャル変更、横断感染の有無の確認、マルウェアスキャン、被害を受ける可能性のある対象者への注意喚起

Emotet拡散の流れ
参照: EMOTET 概要から対策まで | トレンドマイクロ

昨年の日本でのEmotetによる被害

  • トレンドマイクロ調査によると、2019年12月にはEmotetの国内の検出台数は8000台以上に急増した
  • 法人組織のネットワークで「MS17-010」などの脆弱性を利用した感染拡大により内部サーバにまで侵害を受け対応が長引いた事例も
  • Emotetは外部のサイバー犯罪者による遠隔操作が可能なボットであるため、侵入後の被害は多岐にわたる

図1:国内でのEMOTET検出台数推移.png (1066×487)
参照:引き続き国内で拡大する「EMOTET」の脅威 | トレンドマイクロ セキュリティブログ

図6:EMOTETの活動概要図.png (949×514)
参照:変化を続けるマルウェア「EMOTET」の被害が国内でも拡大 | トレンドマイクロ セキュリティブログ

Emotetが再拡散

  • 2020年7月17日頃より、マルウエア Emotet の感染に繋がるメールが配布されているとの情報が確認されているとして、JP/CERTが注意喚起
  • Qbot、The Trick、IcedID、Gootkitなどのサードパーティのペイロードを配信することを確認されている

    日本でも流行

対策

  • 身に覚えのないメールの添付ファイルは開かない。メール本文中のURLリンクはクリックしない
  • 自分が送信したメールへの返信に見えるメールであっても、不自然な点があれば添付ファイルは開かない。
  • OSやアプリケーション、セキュリティソフトを常に最新の状態にする
  • 信頼できないメールに添付されたWord文書やExcelファイルを開いた時に、マクロやセキュリティに関する警告が表示された場合、「マクロを有効にする」「コンテンツの有効化」というボタンはクリックしない
  • メールや文書ファイルの閲覧中、身に覚えのない警告ウインドウが表示された際、その警告の意味が分からない場合は、操作を中断する
  • 身に覚えのないメールや添付ファイルを開いてしまった場合は、すぐにシステム管理部門等へ連絡する

引用:「Emotet」と呼ばれるウイルスへの感染を狙うメールについて:IPA 独立行政法人 情報処理推進機構

参考

Web

Twitter

Amyrun

Author

Kashiwaba Yuki

Posted on

2020-07-18

Updated on

2020-09-22

Licensed under