マルウェア「Emotet」の感染被害が10月以降急増しているとの情報がありました。

弊社のお客様のメールにも実在する組織を装い、ウイルスをダウンロードさせるマクロを組み込んだwordファイルを添付したメールが届いておりました。

お客様はセキュリティソフトを導入しており、届いた時点でセキュリティソフトにより添付ファイルは削除されておりました。

今回のメールの特徴は「メールの差出人が実在する組織」や「正規のメールへの返信」を装っていることです。

 Emotetへの感染を狙う攻撃メールの中には、正規のメールへの返信を装う手口が使われている場合があります。これは、攻撃対象者(攻撃メールの受信者)が過去にメールのやり取りをしたことのある、実在の相手の氏名、メールアドレス、メールの内容等の一部が流用された、あたかもその相手からの返信メールであるかのように見える攻撃メールです(*1)。このようなメールは、Emotetに感染してしまった組織から窃取された、正規のメール文面やメールアドレス等の情報が使われていると考えられます。すなわち、Emotetへの感染被害による情報窃取が、他者に対する新たな攻撃メールの材料とされてしまう悪循環が発生しているおそれがあります。

独立行政法人情報処理推進機構 セキュリティセンター 
「情報セキュリティ」ー「Emotet」と呼ばれるウイルスへの感染を狙うメールについて より引用

 

つまり実際にやりとりのあった見覚えのあるメールが利用されてウイルス感染ファイル付きメールが返信が(されたように)送られてくるのです。

これはなかなか見分けが難しいのです。
またテキストも日本語で『いつも大変お世話になっております。○月分のご請求書です。』等と書かれている場合もあります。
弊社のお客様に届いていたメールは内容テキストが短文の英語でしたのですぐに怪しいとわかりました。

これがEmotetの亜種か便乗かわかりませんが、詳しい例が引用させていただいた独立行政法人情報処理推進機構 セキュリティセンター(IPA)のサイトにありますので確認してみてください。

□独立行政法人情報処理推進機構 セキュリティセンター
https://www.ipa.go.jp/security/announce/20191202.html

また、WordやExcelのマクロの機能に関する設定の変更、Emotetに感染した場合の影響については『一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)』で公開された情報をお読みください。

□「マルウエア Emotet の感染に関する注意喚起」(JPCERT/CC)
https://www.jpcert.or.jp/at/2019/at190044.html

 

対策もIPAさんのサイトから

対策

 Emotetへの感染を防ぐというためだけにとどまらず、一般的なウイルス対策として、次のような対応をすることを勧めます。

  • 身に覚えのないメールの添付ファイルは開かない。メール本文中のURLリンクはクリックしない。
  • 自分が送信したメールへの返信に見えるメールであっても、不自然な点があれば添付ファイルは開かない。
  • OSやアプリケーション、セキュリティソフトを常に最新の状態にする。
  • 信頼できないメールに添付されたWord文書やExcelファイルを開いた時に、マクロやセキュリティに関する警告が表示された場合、「マクロを有効にする」「コンテンツの有効化」というボタンはクリックしない。
  • メールや文書ファイルの閲覧中、身に覚えのない警告ウインドウが表示された際、その警告の意味が分からない場合は、操作を中断する。
  • 身に覚えのないメールや添付ファイルを開いてしまった場合は、すぐにシステム管理部門等へ連絡する。

    独立行政法人情報処理推進機構 セキュリティセンター
    「情報セキュリティ」ー「Emotet」と呼ばれるウイルスへの感染を狙うメールについて より引用

    •

    年末で慌ただしいですが届いたメールが少しでも怪しいなと思ったら添付は開かない、URLリンクは踏まないようにしてください。
    またセキュリティソフトによってはメールのチェックをする機能もありますので利用してみてください。

    インプロブ 営業部

    投稿タグ
    , ,