情報環境整備センター
【重要・再掲載】マルウェアEmotetの感染に関する注意喚起
2022年03月03日
2021年11月14日頃から、なりすましメールによるマルウエア「 Emotet (エモテット)」の攻撃活動再開の兆候が確認されたという情報があります。
なりすましメールの本文に、正規のやり取とりの文面が引用されているため、判断しづらいものとなって
おりますので、下記内容をご確認のうえ、十分ご注意ください。
<参考1>
「Emotet(エモテット)」と呼ばれるウイルスへの感染を狙うメールについて
<感染経路>
メールに添付された Word 形式のファイルを実行し、コンテンツの有効化を実行することで Emotet の
感染に繋がることが分かっています。
Emotet の感染に繋がる添付ファイル付きのメールは、Emotet が窃取した情報などを元に独自に作成され
ているものに加え、実際の組織間のメールのやりとりの内容を転用することで、感染元から送信先への返
信を装うものがあります。
そのため、取引先等の担当者から送られているようにみえるメールでも、実際はEmotet が窃取した情報
を元に攻撃者側から送られている「なりすましメール」である可能性があるため、注意が必要です。
また、メールに添付されたファイルには、[コンテンツの有効化]を促す内容が記載されており、有効化
してしまうと Emotet がダウンロードされます。Word の設定によっては、有効化の警告が表示されずに
Emotet がダウンロードされる場合があります。
<影響>
Emotet に感染した場合、次のような影響が発生する可能性があります。
- 端末やブラウザに保存されたパスワード等の認証情報が窃取される
- 窃取されたパスワードを悪用され SMB によりネットワーク内に感染が広がる
- メールアカウントとパスワードが窃取される
- メール本文とアドレス帳の情報が窃取される
- 窃取されたメールアカウントや本文などが悪用され、Emotet の感染を広げるメールが送信される
<対策>
- Word マクロの自動実行の無効化 ※
- メールセキュリティ製品の導入によるマルウエア付きメールの検知
- メールの監査ログの有効化
- OS に定期的にパッチを適用 (SMBの脆弱性をついた感染拡大に対する対策)
- 定期的なオフラインバックアップの取得(標的型ランサムウエア攻撃に対する対策)
※ Microsoft Office Word のセキュリティセンターのマクロの設定で、「警告を表示してすべてのマクロ
を無効にする」を選択してください。
また、Officeのマクロ機能を悪用する攻撃はEMOTET 以外にも多く存在します。マクロ機能を使用する
必要がない場合には「警告を表示せずにすべてのマクロを無効にする」の設定に変更することも検討して
ください。
<参考2>