情報環境整備センター

【重要・再掲載】マルウェアEmotetの感染に関する注意喚起

2022年03月03日

2021年11月14日頃から、なりすましメールによるマルウエア「 Emotet (エモテット)」の攻撃活動再開の兆候が確認されたという情報があります

なりすましメールの本文に、正規のやり取とりの文面が引用されているため、判断しづらいものとなって

おりますので、下記内容をご確認のうえ、十分ご注意ください。

 

<参考1>

「Emotet(エモテット)」と呼ばれるウイルスへの感染を狙うメールについて

 

<感染経路>

 メールに添付された Word 形式のファイルを実行し、コンテンツの有効化を実行することで Emotet の

感染に繋がることが分かっています。

 

Emotet の感染に繋がる添付ファイル付きのメールは、Emotet が窃取した情報などを元に独自に作成され

ているものに加え、実際の組織間のメールのやりとりの内容を転用することで、感染元から送信先への返

信を装うものがあります。

そのため、取引先等の担当者から送られているようにみえるメールでも、実際はEmotet が窃取した情報

を元に攻撃者側から送られている「なりすましメール」である可能性があるため、注意が必要です。

 

また、メールに添付されたファイルには、[コンテンツの有効化]を促す内容が記載されており、有効化

してしまうと Emotet がダウンロードされます。Word の設定によっては、有効化の警告が表示されずに

Emotet がダウンロードされる場合があります。

 

<影響>

Emotet に感染した場合、次のような影響が発生する可能性があります。

- 端末やブラウザに保存されたパスワード等の認証情報が窃取される
- 窃取されたパスワードを悪用され SMB によりネットワーク内に感染が広がる
- メールアカウントとパスワードが窃取される
- メール本文とアドレス帳の情報が窃取される
- 窃取されたメールアカウントや本文などが悪用され、Emotet の感染を広げるメールが送信される

 

<対策>

- Word マクロの自動実行の無効化 ※
- メールセキュリティ製品の導入によるマルウエア付きメールの検知
- メールの監査ログの有効化
- OS に定期的にパッチを適用 (SMBの脆弱性をついた感染拡大に対する対策)
- 定期的なオフラインバックアップの取得(標的型ランサムウエア攻撃に対する対策)

Microsoft Office Word のセキュリティセンターのマクロの設定で、「警告を表示してすべてのマクロ

を無効にする」を選択してください。

   また、Officeのマクロ機能を悪用する攻撃はEMOTET 以外にも多く存在します。マクロ機能を使用する

必要がない場合には「警告を表示せずにすべてのマクロを無効にする」の設定に変更することも検討して

ください。

 

<参考2>

マルウエア Emotet の感染活動について

officeドキュメントのマクロを無効にする方法