去年からEmotetと呼ばれるウィルスへの感染を狙うメールが流行っているらしい。(IPA公式ページ)
Emotetとは
Emotetとは、マルウェアの一種で悪意のあるプログラムです。単体で感染することはなく、トロイの木馬やランサムウェアなどと一緒に感染します。Emotetに感染=トロイの木馬やランサムウェアなど他のマルウェアに感染していることになります。
感染してもすぐにPCやネットワークに異常がみられるわけではないで知らぬ間に感染しているケースが多いそうです。
Emotetの特徴
Emotetは大きく3つの特徴があります。
1.感染力が高い
2.他のマルウェアの感染プラットフォームとなる
3.遠隔でアップデートされる
感染力が高い
感染したパソコンが持っているメールアドレスやWebのログイン情報、社内ネットワークのログイン情報を盗み出し、感染を大きく広げていきます。さらに感染時にはファイル名をあたかもWindows純正ソフトに見せかけた名前を使い、検知しにくくしています。
他のマルウェアの感染プラットフォームとなる
さらに感染したパソコンでは、Emotetを介して他のマルウェアをC&Cサーバからダウンロードし、より被害を大きくします。
遠隔でアップデートされる
C&Cサーバと通信を行い、定期的にEmotetのアップデートを行うため、新しい検知手法にすぐに対応してしまうのです。既に新しい検知方法に対応したEmotetが出回っているみたいです。
Emotetはどうやって感染するのか
1番注意すべきは「正規メールに対する返信を装った」攻撃です。
どういうことかというと、自分が送信したメール本文を引用して実在するメールアドレスから急ぎや重要な連絡がくることです。このメールにはウィルスが添付されており、うっかり開封してマクロを実行すると感染してしまします。
怖いのが自分が過去に送信したメールに対して返信してくるので、あたかも人間が操作しているかのように感じますが、なりすましで送られてきています。こういったパターンは送信元が既にEmotetに感染していることが多いです。
実際に私の会社でもあったのですが、ユーザから「身に覚えのない請求書のメールが届いている。メール本文は過去に私が送ったものだが、今はその相手とは接点はない。」と問い合わせがきました。
添付ファイルは当社のウィルス検知で除外されていたため、ファイルを開封することはなかったのです。念のため、送り主に電話で請求書を送ったかどうかを確認してくれとお願いしたところ、どうやら送り主の会社に成りすましたウィルスメールがあちこちに送られているのことでした。
メール本文が「請求書」とか「取り急ぎ」とか急かすような文言があれば疑った方がいいかもしれません。
対策は
IPAでは以下の事を喚起しています。
・メールの添付をむやみに開かない。メール本文中のリンクは開かない
・自分が送信したメールに対する返信であっても違和感があれば添付ファイルは開かない
・OS、アプリケーションを最新にする
・怪しいメールに添付されたファイルを開いて「コンテンツを有効」にしない
・メールや文章を閲覧中に身に覚えのない警告メッセージが出たら速やかに閉じる
・感染したら、システム管理部門に連絡する
以上。
