JPCERT/CCは11月27日、マルウエア「Emotet」(エモテット)の感染報告が、10月後半から多数寄せられているとして注意を喚起した。実在の組織や人物を装ったメールに、Emotetが仕込まれたWord文書が添付されているという。

  • マルウエア「Emotet」の感染経路(図:JPCERT/CC)

Emotetは、主にメールに添付されたWordファイルやリンクを開くことで感染するマルウェア。感染すると、システムに保存されているネットワークパスワードや、Outlook・Yahoo!といったメールクライアントで使っているアカウント / パスワード、メールアドレス情報などが盗まれる。感染したPCは攻撃側の支配下に置かれ、盗んだメール情報を使った精度の高い攻撃で、周囲のPCへ被害を広げていく。

感染経路は主にメールの添付ファイル。Emotetが仕込まれた攻撃メールには実際のメール内容が転用されることがあり、取引先の担当者から送られているようにみえるメールでも、実はEmotetが盗んだ情報を元に攻撃者が送る「なりすましメール」の可能性があるという。添付のWordファイルには、「コンテンツの有効化」を促す内容があり、有効化すると(Wordのマクロ設定によっては有効化しなくとも)Emotetがダウンロードされる。

JPCERT/CCでは、Emotetの対策として以下を挙げている。

  • 組織内への注意喚起の実施

  • Word マクロの自動実行の無効化

  • メールセキュリティ製品の導入によるマルウエア付きメールの検知

  • メールの監査ログの有効化

  • OSに定期的にパッチを適用(SMBの脆弱性をついた感染拡大に対する対策)

  • 定期的なオフラインバックアップの取得(標的型ランサムウエア攻撃に対する対策)

  • メールに添付されたWordの「コンテンツ有効化」に注意。有効化すると、自動でEmotetがダウンロードされる恐れがある(図:JPCERT/CC)

また、自組織のアドレスになりすましたWord添付メールが届いたと外部組織から連絡があった場合や、Wordファイルが添付されたメールやなりすましメールが大量に送信されていることを確認した場合などは、自組織の端末がEmotetに感染している可能性がある。

感染後の対応としては、感染した端末をネットワークから隔離したり、メールのパスワードを変更したりすることを推奨。また、セキュリティ専門ベンダへ相談した上で、下記の対策を実施することを勧めている。

  • 対策ソフトによる全端末のフルスキャン

  • 感染した端末を利用していたアカウントのパスワード変更

  • ネットワークトラフィックログの監視

  • 調査後の感染した端末の初期化