セキュリティエンジニアを目指すブログ

セキュリティエンジニアを目指すブログです

Emotetの情報まとめ

セキュリティ関係

最近マルウェアであるEmotet(エモテット)が猛威を振るっているようですね。

情報をまとめてみました。(情報ソースは各セキュリティ系アカウントのツイート多め)

 

【概要】

マルウェアの一種。2017年から存在。

・メールの添付ファイルが主な感染経路。

・感染活動を止めていたが、2021年11月に活動再開の動きが確認された。

 

【攻撃手法】

・返信メールを装い、受信者に添付したファイルを開くことを促す。

・受信者が添付ファイルに対し「編集を有効にする」、「コンテンツの有効化」ボタンをクリックするとマルウェア(Emotet)に感染する。

・メールの文面やメールアドレス等の情報を窃取し、また新たな攻撃の材料とする。

Emotetへの感染を狙う攻撃メールの中には、正規のメールへの返信を装う手口が使われている場合があります。これは、攻撃対象者(攻撃メールの受信者)が過去にメールのやり取りをしたことのある、実在の相手の氏名、メールアドレス、メールの内容等の一部が流用された、あたかもその相手からの返信メールであるかのように見える攻撃メールです(*1)。このようなメールは、Emotetに感染してしまった組織から窃取された、正規のメール文面やメールアドレス等の情報が使われていると考えられます。すなわち、Emotetへの感染被害による情報窃取が、他者に対する新たな攻撃メールの材料とされてしまう悪循環が発生しているおそれがあります。

 メールの差出人(From)は、A氏がメールをやり取りした相手になりすましています。件名や、メール末尾の引用のような部分では、A氏が実際に送信したと思われるメールが流用されており、全体的に、返信メールのように見せかけています。この例では、メールの本文として「中です。取り急ぎご連絡いたします。」という、やや不完全な文章が攻撃者によって付け加えられています。

一連のEmotetの攻撃メールへ添付されているWord文書ファイルは、見た目(デザイン等)には数種類のバリエーションがあるものの、次の点が共通しています。

  • Office等のロゴと共に、英語で「文書ファイルを閲覧するには操作が必要である」という主旨の文と、「Enable Editing」(日本語版Officeでは「編集を有効にする」)と「Enable Content」(日本語版Officeでは「コンテンツの有効化」)のボタンをクリックするよう指示が書かれている。
  • 文書ファイル内に悪意のあるマクロ(プログラム)が埋め込まれている。マクロには、外部ウェブサイトに設置されたEmotetをダウンロードし、パソコンに感染させる命令が書かれている。ダウンロード先のウェブサイト(URL)は一定ではなく、日々変化する。
    •

    「Emotet(エモテット)」と呼ばれるウイルスへの感染を狙うメールについて:IPA 独立行政法人 情報処理推進機構

     

    【対策】

    ・怪しいメールの添付ファイルに対して「編集を有効にする」「コンテンツの有効化」ボタンをクリックしない(そもそも怪しいメールの添付ファイルは開かない)

    ・マクロ機能を使用する必要がない場合にはマクロ機能を無効にしておく

     

    【備考】

    2021/12/1現在Microsoft Defender(Microsoftのセキュリティ機能)に誤検知が発生しているようです。