マルウェア「Emotet」の感染が2月に入り急拡大、JPCERT/CCとIPAが注意喚起　「2020年の最悪期に匹敵するペース」

JPCERT/CCが公開した、Emotetに感染しメール送信に悪用される可能性のある.jpメールアドレス数の新規観測の推移

　一般社団法人JPCERTコーディネーションセンター（JPCERT/CC）と独立行政法人情報処理推進機構（IPA）は、マルウェア「Emotet（エモテット）」について新たな情報を公開した。2022年2月の第1週よりEmotetの感染が急速に拡大しているとして、注意を呼び掛けている。

　Emotetは、メールの添付ファイルを主な感染経路とするマルウェア。感染した端末の認証情報やメールに関する情報を窃取し、さらに感染を拡大させる攻撃メールを送信することもある。2021年1月27日に欧州刑事警察機構（EUROPOL）がEmotetの攻撃基盤をテイクダウン（停止）させたと発表し、それ以降Emotetによる攻撃や被害は停止あるいは大幅に減少したが、2021年11月後半より活動の再開が確認されていた。

攻撃メールの例や攻撃方法、対策をJPCERT/CCが公開
Emotet感染により攻撃メールが配信されるパターンを解説
IPAも攻撃メールの一例を公開
1. 共有:
2. 関連

攻撃メールの例や攻撃方法、対策をJPCERT/CCが公開

　JPCERT/CCでは、攻撃メールの例とともに攻撃方法などを解説している。確認しているEmotetの特徴として、マクロ付きのExcelやWordの文書ファイル、あるいはこれらをパスワード付きZIP形式で圧縮したファイルがメールに添付されており、ファイルを開いてマクロを有効化する操作を実行することで感染につながるという。

　また、添付ファイルでなく、メール本文中のリンクをクリックすると前述のような悪性のExcelやWordの文書ファイルがダウンロードされるケースや、アプリケーションのインストールを装ってEmotetに感染させることを狙うケースもあるとしている。

JPCERT/CCが公開したEmotet攻撃メールの例

JPCERT/CCが公開した、添付ファイルを開いた際に表示されるマクロ実行を促すメッセージの例

　一見すると業務に関係がありそうな内容や、取引先や知り合いから送信されているように見える添付ファイルであっても、Emotetへの感染の可能性がある。そのため、信頼できるものと判断できない限りは添付ファイルやリンクは開かず、送信元へ確認するなどの対応を取るようにと促している。

　Emotet感染時の対応については、JPCERT/CCで公開している「マルウエアEmotetへの対応FAQ」の参照や、Emotet感染有無確認ツール「EmoCheck」の利用を推奨している。なお、EmoCheckを使用する際には、Emotet感染につながるメールを開いたと考えられるアカウントで端末にログインした状態で実行するようにとしている。

Emotet感染により攻撃メールが配信されるパターンを解説

　JPCERT/CCでは、Emotet感染に対する問い合わせが増えているとして、攻撃メール配信のパターンを詳細に解説している。

　メールが配信されるケースは複数のパターンに分かれる。自組織の端末がEmotetに感染したケースでは、感染した端末に保存されたメールやアドレス帳の情報が窃取され、取引先の担当者などになりすました攻撃メールが送信される。

自組織が感染した場合の攻撃メール配信パターン（JPCERT/CCによる図解）

　取引先の端末がEmotetに感染し、その端末に保存されていた自組織の担当者の情報が悪用されるケースがある。そのため、自組織の職員になりすましたメールが配信されていても、自組織がEmotetに感染したとは限らないという。送られているメールの内容や状況を関係者間で確認および整理した上で、EmoCheckやJPCERT/CCが公開しているFAQなどを参考に、自組織の感染の有無を確認することを推奨している。

取引先が感染した場合の攻撃メール配信パターン（JPCERT/CCによる図解）

　国内メールサーバーからの感染につながるメール配信が増加している傾向も確認されているとして、自組織のメールサーバーなどのインフラが悪用されていないか、確認するように呼び掛けている。自組織がEmotetに感染し、インフラが悪用されて攻撃メールの配信が行われていた場合、メールの配信先が存在しないなどの理由で、大量のバウンスメール（正常にメールが配信されなかったことを知らせるメッセージ）を受信している可能性があるという。

自組織が感染した場合、大量のバウンスメールを受信している可能性がある（JPCERT/CCによる図解）