JPCERT/CCは11月27日、マルウエア「Emotet」(エモテット)の感染報告が、10月後半から多数寄せられているとして注意を喚起した。実在の組織や人物を装ったメールに、Emotetが仕込まれたWord文書が添付されているという。
マルウエア「Emotet」の感染経路(図:JPCERT/CC)
Emotetは、主にメールに添付されたWordファイルやリンクを開くことで感染するマルウェア。感染すると、システムに保存されているネットワークパスワードや、Outlook・Yahoo!といったメールクライアントで使っているアカウント / パスワード、メールアドレス情報などが盗まれる。感染したPCは攻撃側の支配下に置かれ、盗んだメール情報を使った精度の高い攻撃で、周囲のPCへ被害を広げていく。
感染経路は主にメールの添付ファイル。Emotetが仕込まれた攻撃メールには実際のメール内容が転用されることがあり、取引先の担当者から送られているようにみえるメールでも、実はEmotetが盗んだ情報を元に攻撃者が送る「なりすましメール」の可能性があるという。添付のWordファイルには、「コンテンツの有効化」を促す内容があり、有効化すると(Wordのマクロ設定によっては有効化しなくとも)Emotetがダウンロードされる。
JPCERT/CCでは、Emotetの対策として以下を挙げている。
-
組織内への注意喚起の実施
-
Word マクロの自動実行の無効化
-
メールセキュリティ製品の導入によるマルウエア付きメールの検知
-
メールの監査ログの有効化
-
OSに定期的にパッチを適用(SMBの脆弱性をついた感染拡大に対する対策)
-
定期的なオフラインバックアップの取得(標的型ランサムウエア攻撃に対する対策)
メールに添付されたWordの「コンテンツ有効化」に注意。有効化すると、自動でEmotetがダウンロードされる恐れがある(図:JPCERT/CC)
また、自組織のアドレスになりすましたWord添付メールが届いたと外部組織から連絡があった場合や、Wordファイルが添付されたメールやなりすましメールが大量に送信されていることを確認した場合などは、自組織の端末がEmotetに感染している可能性がある。
感染後の対応としては、感染した端末をネットワークから隔離したり、メールのパスワードを変更したりすることを推奨。また、セキュリティ専門ベンダへ相談した上で、下記の対策を実施することを勧めている。
-
対策ソフトによる全端末のフルスキャン
-
感染した端末を利用していたアカウントのパスワード変更
-
ネットワークトラフィックログの監視
-
調査後の感染した端末の初期化
