Emotetの情報まとめ
最近マルウェアであるEmotet(エモテット)が猛威を振るっているようですね。
情報をまとめてみました。(情報ソースは各セキュリティ系アカウントのツイート多め)
【概要】
・マルウェアの一種。2017年から存在。
・メールの添付ファイルが主な感染経路。
・感染活動を止めていたが、2021年11月に活動再開の動きが確認された。
才羽京子です。今回は、サイバーセキュリティに関する用語について紹介します。今回は「Emotet(エモテット)」についてです。メールに添付のファイルが信頼できないものであれば、開いてはいけません。#京都府警察 #サイバー犯罪対策 #Emotet pic.twitter.com/lNP6QTqp1N
— 京都府警察サイバー犯罪対策課 (@KPP_cyber) 2021年11月30日
【攻撃手法】
・返信メールを装い、受信者に添付したファイルを開くことを促す。
・受信者が添付ファイルに対し「編集を有効にする」、「コンテンツの有効化」ボタンをクリックするとマルウェア(Emotet)に感染する。
・メールの文面やメールアドレス等の情報を窃取し、また新たな攻撃の材料とする。
Emotetへの感染を狙う攻撃メールの中には、正規のメールへの返信を装う手口が使われている場合があります。これは、攻撃対象者(攻撃メールの受信者)が過去にメールのやり取りをしたことのある、実在の相手の氏名、メールアドレス、メールの内容等の一部が流用された、あたかもその相手からの返信メールであるかのように見える攻撃メールです(*1)。このようなメールは、Emotetに感染してしまった組織から窃取された、正規のメール文面やメールアドレス等の情報が使われていると考えられます。すなわち、Emotetへの感染被害による情報窃取が、他者に対する新たな攻撃メールの材料とされてしまう悪循環が発生しているおそれがあります。
…
メールの差出人(From)は、A氏がメールをやり取りした相手になりすましています。件名や、メール末尾の引用のような部分では、A氏が実際に送信したと思われるメールが流用されており、全体的に、返信メールのように見せかけています。この例では、メールの本文として「中です。取り急ぎご連絡いたします。」という、やや不完全な文章が攻撃者によって付け加えられています。
…
一連のEmotetの攻撃メールへ添付されているWord文書ファイルは、見た目(デザイン等)には数種類のバリエーションがあるものの、次の点が共通しています。
【注意喚起】(1/3)
— 内閣サイバー(注意・警戒情報) (@nisc_forecast) 2021年11月19日
マルウェアEmotetの攻撃活動再開の兆候が確認されたという情報があるとして、IPAが注意喚起をしています。
詳細→ https://t.co/ZBLEB7OYEr
【注意喚起】(2/3)
— 内閣サイバー(注意・警戒情報) (@nisc_forecast) 2021年11月19日
悪意のあるマクロ(プログラム)が仕込まれたOffice文書ファイルを添付したメールによる攻撃の着信も観測されており、注意が必要です。
【対策】
・怪しいメールの添付ファイルに対して「編集を有効にする」「コンテンツの有効化」ボタンをクリックしない(そもそも怪しいメールの添付ファイルは開かない)
・マクロ機能を使用する必要がない場合にはマクロ機能を無効にしておく
【注意喚起】(3/3)
— 内閣サイバー(注意・警戒情報) (@nisc_forecast) 2021年11月19日
特にメールを経由して入手したOffice文書ファイルについて、信用できると判断できる場合でなければ、「編集を有効にする」「コンテンツの有効化」というボタンはクリックしないよう注意してください。
1月に活動停止した“過去最悪のマルウェア”「EMOTET」が復活
— トレンドマイクロ(ウイルスバスター)公式サポート (@TMSupportJP) 2021年11月30日
「EMOTET」は2017年から存在するマルウェアで、根絶されたと思われましたが、活動再開の報告が上がりました。
拡散方法はスパムメールによる攻撃です。不審なメールや添付ファイルには反応しないようにしましょう。https://t.co/nDXmQhG6er pic.twitter.com/x1jcFnSK8l
【備考】
2021/12/1現在Microsoft Defender(Microsoftのセキュリティ機能)に誤検知が発生しているようです。
Microsoft Officeがマルウェア「Emotet」に感染? Microsoft Defenderが誤検知か/最新の定義ファイル「1.353.1874.0」で発生 https://t.co/yn86JMy9QT pic.twitter.com/NA5BUuDEcf
— 窓の杜 (@madonomori) 2021年12月1日