独立行政法人情報処理推進機構(IPA)は11月16日、マルウェア「Emotet(エモテット)」の感染につながるメールの配布が再び観測されたとして、注意を呼び掛けた。
Emotetは情報を窃取するだけでなく、感染した端末から窃取した情報を用いて攻撃メールを送信し、さらなる感染拡大を図ることもある。取引先など、一般に信頼できると考えられる相手からのメールに、感染につながるファイルが添付されているなど、感染に気が付きにくい手口となっている。
メールの文面の例
日本国内では2019年10月から感染事例が相次いでおり、IPAや一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)が注意喚起を行っていた。
2021年1月27日には欧州刑事警察機構(EUROPOL)が、Emotetの攻撃基盤をテイクダウン(停止)させたと発表した。
また、JPCERT/CCは、感染した端末の時間が2021年4月25日12時になるとEmotetが停止する機能が追加され、無害化されたファイルに自動的に更新されることから、4月26日以降の感染はほとんど確認されていないと発表していた。
しかし、2021年11月14日ごろから、Emotetの活動再開の兆候が確認されたという情報があったという。IPAが確認したところでは、今回観測されているメールもこれまでの傾向と同様の手口。Word形式などの添付ファイルまたは本文中のリンクからダウンロードされるファイルを開くと、マクロの有効化を促す内容が表示され、有効化するとEmotetに感染してしまう。
コンテンツの有効化(マクロの有効化)を実行するとEmotetに感染する
Emotetの感染を防ぐだけでなく、一般的なウイルス対策として、IPAでは以下の対応を推奨している。
- 身に覚えのないメールの添付ファイルは開かない。URLをクリックしない
- 自分が送信したメールに対する返信に見えても、不審な場合は添付ファイルを開かない
- 信頼できないメールに添付されたファイルを開いても、「マクロを有効化する」や「コンテンツの有効化」ボタンはクリックしない
- 会社のPCで不自然なメールの添付ファイルやURLを開いた場合は、すぐにシステム管理部門などに連絡する
Emotetはこれまでに何度か活発化が報告されてきたマルウェアであり、攻撃メールの大規模な「ばらまき」に発展する可能性がある。IPAは、企業や組織をEmotetから守るため、基本的な対策の徹底を推奨している。
