I.概要

JPCERT/CC では、2019年10月後半より、マルウエア Emotet の感染に関する相談を多数受けています。特に実在の組織や人物になりすましたメールに添付された悪性な Word 文書ファイルによる感染被害の報告を多数受けています。

II. 感染経路

JPCERT/CC が確認している事案では、主にメールに添付された Word 形式のファイルを実行し、コンテンツの有効化を実行することで Emotet の感染に繋がることが分かっています。Emotet の感染に繋がる可能性のあるメールの例は次のとおりです。

[画像1: メール例]

そのため、取引先の担当者から送られているようにみえるメールでも、実際はEmotet が窃取した情報を元に攻撃者側から送られている「なりすましメール」である可能性があるため、注意が必要です。

[画像2: 添付ファイル例]

III.影響

Emotet に感染した場合、次のような影響が発生する可能性があります。

– 窃取されたパスワードを悪用され SMB によりネットワーク内に感染が広がる
– メールアカウントとパスワードが窃取される
– メール本文とアドレス帳の情報が窃取される
– 窃取されたメールアカウントや本文などが悪用され、Emotet の感染を広げるメールが送信される

また、Emotet に感染した端末が、Trickbot などの別のマルウエアをダウンロー
ドし、結果としてランサムウエアに感染してデータが暗号化されるなどの被害
に繋がるケースに関する情報も公開されています。

IV. 対策

Emotet の感染を予防し、感染の被害を最小化するため、次のような対応を実施することを検討してください。

– Word マクロの自動実行の無効化 ※
– メールセキュリティ製品の導入によるマルウエア付きメールの検知
– メールの監査ログの有効化
– OS に定期的にパッチを適用 (SMBの脆弱性をついた感染拡大に対する対策)
– 定期的なオフラインバックアップの取得（標的型ランサムウエア攻撃に対する対策）

[画像3: Microsoft Office のセキュリティセンターのマクロの設定]

V. 事後対応

自組織で使用するウイルス対策ソフトが検知して Emotet の感染を発見する場合に加え、次のような状況を確認した場合は、自組織の端末が Emotet に感染している可能性があります。

– 自組織のメールサーバなどを確認し、Word 形式のファイルが添付されたメールやなりすましメールが大量に送信されていることを確認した場合

– 感染した端末が利用していたメールアカウントのパスワード変更

– 感染した端末を利用していたアカウントのパスワード変更
– ネットワークトラフィックログの監視
– 調査後の感染した端末の初期化

メール：
電話 ：03-6271-8901

VI. 参考情報

US-CERT
Alert (TA18-201A) Emotet Malware
https://www.us-cert.gov/ncas/alerts/TA18-201A

Advisory 2019-131a: Emotet malware campaign
https://www.cyber.gov.au/threats/advisory-2019-131a-emotet-malware-campaign