NEWS
2020年09月29日
【重要】マルウェアEmotetの感染に関する注意喚起
なりすましメールによるマルウエア「 Emotet (エモテット)」の感染被害が、2020年9月以降より国内で急増しております。
なりすましメールの本文に、正規のやり取とりの文面が引用されているため、判断しづらいものとなっておりますので、下記内容をご確認のうえ、十分ご注意ください。
<参考リンク1>
<感染経路>
メールに添付された Word 形式のファイルを実行し、コンテンツの有効化を実行することで Emotet の感染に繋がることが分かっています。
Emotet の感染に繋がる添付ファイル付きのメールは、Emotet が窃取した情報などを元に独自に作成されているものに加え、実際の組織間のメールのやりとりの内容を転用することで、感染元から送信先への返信を装うものがあります。
そのため、取引先等の担当者から送られているようにみえるメールでも、実際はEmotet が窃取した情報を元に攻撃者側から送られている「なりすましメール」である可能性があるため、注意が必要です。
また、メールに添付されたファイルには、[コンテンツの有効化]を促す内容が記載されており、有効化してしまうと Emotet がダウンロードされます。Word の設定によっては、有効化の警告が表示されずにEmotet がダウンロードされる場合があります。
<影響>
Emotet に感染した場合、次のような影響が発生する可能性があります。
- 端末やブラウザに保存されたパスワード等の認証情報が窃取される
- 窃取されたパスワードを悪用され SMB によりネットワーク内に感染が広がる
- メールアカウントとパスワードが窃取される
- メール本文とアドレス帳の情報が窃取される
- 窃取されたメールアカウントや本文などが悪用され、Emotet の感染を広げるメールが送信される
<対策>
- Word マクロの自動実行の無効化 ※
- メールセキュリティ製品の導入によるマルウエア付きメールの検知
- メールの監査ログの有効化
- OS に定期的にパッチを適用 (SMBの脆弱性をついた感染拡大に対する対策)
- 定期的なオフラインバックアップの取得(標的型ランサムウエア攻撃に対する対策)
※ Microsoft Office Word のセキュリティセンターのマクロの設定で「警告を表示してすべてのマクロを無効にする」を選択してください。
また、Officeのマクロ機能を悪用する攻撃はEMOTET 以外にも多く存在します。マクロ機能を使用する必要がない場合には「警告を表示せずにすべてのマクロを無効にする」の設定に変更することも検討してください。
<参考リンク2>