世界中でEmotetの感染による情報漏洩やマルウェアの被害が拡大しています。
感染源の多くは、正規の送信者になりすました巧妙な攻撃メールであり、添付されているファイルや本文中のURLをクリックすることでEmotetに感染させる手口です。
この記事では、Emotetのメール攻撃で実際に使われているメール文面を交えて、その特徴と対策方法をご紹介します。
また、Emotet攻撃に使われる標的型攻撃メールは「人をだます」攻撃です。従業員が騙されないようにすることが本質的な対策となります。「セキュリオ」の標的型攻撃メール訓練で従業員のセキュリティ意識を高めましょう。
Emotetとは
Emotetとは、情報の窃取だけでなく、ほかのマルウェアへの感染のためにも悪用されるマルウェアのことです。悪意のある攻撃者によって、Emotetが含まれているファイルをメールに添付して第三者へ送信することで、感染の拡大が進んでいます。
Emotetへの感染を狙う攻撃メールには、正規のメールへの返信を装う手口が使われていることがあります。
たとえば攻撃メールの受信者が過去にメールのやり取りをしたことのある、実在の相手の氏名、メールアドレス、メール内容等の一部が流用された、あたかもその相手からの返信メールであるかのように見える攻撃メールなどです。
これはEmotetに感染した企業から窃取された、正規のメール文面やメールアドレス等の常用が使われている可能性があります。
またEmotetへの感染被害による情報窃取が、他者への新たな攻撃メールの材料とされてしまうような悪循環が発生している恐れがあります。
Emotetの詳細についてはこちらの記事もご参照ください。
Emotetの攻撃メールの文面とは
Emotetの攻撃メールの文面の例をご紹介します。
たとえば以下のような例を見てみましょう。
Subject:会議開催通知
関係者各位
お世話になっております。
会議開催通知の詳細に関するファイルを添付いたします。
お忙しいところ恐縮ですが、内容をご確認のうえ会議への参加をお願いいたします。
【会議開催通知.docx】
もし会社でこのようなメールを受信したら、特に疑うことなく添付ファイルを実行してしまうのではないでしょうか。
これがEmotetの代表的な手口です。Emotetでは、正規のメール送信者に巧妙になりすまして、Emotetが含まれている不正な添付ファイルが含まれているメールを送信します。このなりすましに気づかない限り、添付されているファイルの実行を防ぐのは非常に困難です。
添付ファイルではなく、不正なURLが含まれているケースもあります。
Subject:賞与振込通知
いつもお世話になっております。
賞与の振込にかんしまして、以下の情報をご案内いたします。
■振込データ情報
出金口座:~~~~~~~~
振込指定日:~~~~~~~~
振込メモ:~~~~~~~~
https:// XXXXXXXX.com/YYYYY/ZZZZZ
上記URLにて詳細をご案内いたしますので、ご確認お願いいたします。
以上、よろしくお願いいたします。
このケースでは、不正なファイルはメールに添付されていません。
しかしメール本文中に不正なURLのリンクが設定されており、これをクリックすると外部のWebサイトに設置されている不正なファイルのダウンロードが開始します。
このファイルはマクロが含まれたWordファイルであり、実行するとEmotetに感染します。
また2022年現在では、新型コロナウイルスを題材とした攻撃メールも確認されています。
Subject:通知XXXX YY
XXXXX様
お世話になっております。
新型コロナウイルス蔓延にかんして、中国を中心に患者が報告されており、
国内でもいくつかの都道府県で感染者が確認されています。
つきましては、別添の通知をご確認いただき、感染予防対策をよろしくお願いいたします。
【instruction XXXXXXXXXX.docx】
一見すると、全く不自然には感じられない文面ですが、添付されているWordファイルを実行するとEmotetに感染してしまいます。
2022年3月には、日本国内におけるEmotet感染した可能性のあるメールアドレス数が、2020年のピーク時の約5倍に増加していると報告されています。実際に国内企業や組織からも感染被害が報告されています。
また2022年4月にはショートカットファイル(拡張子.lnk)を添付したメールも確認されています。また同様の手口として、ショートカットファイルがパスワード付きzipファイルとして添付されているケースもあり、ダブルクリックすると、Emotetに感染してしまいます。
ほかにもEmotetのメールの文面には、以下のような文言が使われていることがあります。
- 早速お返事いただきありがとうございます。以上、よろしくお願いいたします。
- 本件ついては今回触れておりませんが 以上、よろしくお願いいたします。
- 支援機能は、添付のリストから選定願います 以上、よろしくお願いいたします。
- 予定です。取り急ぎご連絡いたします。
- おはようございます。訂をお願いします。
このように、日本人が読むと少し違和感がある文面になっていることが特徴です。
バリエーションも複数あることが確認されているので、不自然な文章で添付ファイルが含まれているメールを受信したら、たとえ送信者が正規のものであっても、不用意に添付ファイルを実行しない方がよいでしょう。
こうした不審メールに従業員が引っかかってしまわないか、標的型攻撃メール訓練で確認しましょう。
Emotetへの感染が疑われる場合は
もしかしたらEmotetに感染したかもしれない……。
そんな時は次から紹介する方法で、感染の確認と被害拡大を防止しましょう。
Emotet感染の有無を確認する
Emotetへの感染をチェックするには、EmoCheckというEmotet専用の感染確認ツールを使うと良いでしょう。
一般的なセキュリティ対策ソフトでは検出しにくいEmotetですが、EmoCheckなら感染の有無を確認できます。もしEmotetへの感染が確認できた場合、駆除できそうなら自社で駆除しておきましょう。
感染したパソコンをインターネットから遮断する
もしパソコンがEmotetに感染したことを確認したら、速やかにインターネットから遮断しましょう。
また感染したパソコンが接続されているネットワーク自体もインターネットから遮断することをおすすめします。感染直後であれば、ほかのパソコンへの感染拡大するリスクを低減できます。
ランサムウェアなどほかのマルウェアの感染を調べる
EmoCheckの結果、Emotetへの感染が確認できなかった場合でも、セキュリティ対策ソフトによる、ほかのマルウェアの感染の確認を行っておきましょう。
その際は、感染が疑わしいパソコンだけでなく、そのパソコンと同じネットワークに接続されているすべてのパソコンで完全スキャンを実施します。また完全スキャンの際には、ウイルス定義ファイルを最新の状態に更新しておくことが重要です。
感染したメールアカウントのアドレスとパスワードを変更する
Emotetはメールを使って感染を拡大させるため、感染したメールアカウントのアドレスとパスワードを変更する必要があります。
また感染した可能性のあるパソコンでもアドレスとパスワードを変更しなければ、2次的な感染拡大を引き起こす可能性もあります。もしメールアカウントの削除や変更が可能であれば、新しく作り直すことも検討しましょう。
パソコンを初期化する
EmoCheckやセキュリティ対策ソフトを使って、Emotetやマルウェアの駆除を行ったとしても、再びそのパソコンを安全に使うためには、念のためにOSの再インストールなどパソコンを初期化することをおすすめします。
このようにEmotetやマルウェアへ感染してしまったときのことを考慮して、日頃からパソコンに保存されているデータを定期的にバックアップする仕組みを導入しておくと良いでしょう。
まとめ
世界中で猛威を振るうEmotetですが、メールに添付された不正なファイルの実行や、記載されている不正なURLのクリックさえ防止すれば感染のリスクを大きく低減できます。
この記事で紹介した攻撃メールの文面をしっかりと確認し、万が一自分のパソコンに同様のメールが届いた場合、不用意に扱うのではなく、EmoCheckやセキュリティ対策ソフトによるスキャンを徹底しましょう。
標的型攻撃メールについてはこちらの記事で詳しく解説しています。あわせてお読みください。
