2022/03/30 ウイルス

3月以降も猛威を振るう「EMOTET」不審なメールへの注意と対策を

2021年1月に壊滅したと思われたマルウェア「EMOTET」（エモテット）が、2021年11月頃から活動を再開しました。

2022年2月ごろから感染が拡大し、独立行政法人情報処理推進機構（IPA）の情報セキュリティ安心相談窓口では2022年3月1日～8日に323件の相談を受けていました。※先月同時期（2月1日～8日）のおよそ7倍

こうした事態を受け、IPA、一般社団法人JPCERTコーディネーションセンター（JPCERT/CC）、警視庁サイバーセキュリティ対策本部などが、あらためてEMOTETに対する注意を呼びかけました。

またトレンドマイクロではEMOTETを含むマルウェアに関する問い合わせが2022年以降増加していることを確認しています。

EMOTETとは？

「EMOTET」は2017年から存在するマルウェアで、情報流出、スパムの送信、ランサムウェアなどへの感染を引き起こすことで知られています。拡散手法としては、不正なWordやExcelの文書ファイルあるいはこれらを圧縮したZIPファイルをメールに添付して送り付ける手口が使われています。

EMOTETが添付されたスパムメールの例

EMOTETは、感染端末からメール情報を盗み、メール本文やメールアドレスを転用して攻撃メールをばらまきます。そのため正規メールと区別しにくいという特徴があります。

IPAでは、「正規のメールへの返信を装う手口」に特に注意するよう呼びかけています。
攻撃メールの件名は受信者が過去に使ったメールの件名や内容などを流用し、それらしく偽装されています。このメールに添付されたファイルを開きWordやExcelのマクロ（Microsoft Officeのセキュリティ警告で「コンテンツの有効化」ボタンを押してしまう）を実行してしまうと、EMOTETの感染につながってしまいます。

また3月上旬より新たな攻撃メールが確認されました。このメールでは請求書に関する具体的な指示が自然な日本語で書かれており、メール受信者に対応を促すことで添付ファイルの開封を狙っていました。

予防策/開いてしまったときの対応策

EMOTETの拡散方法は、典型的なスパムメールによる攻撃です。一見すると知り合いから送付されているように見えても、添付ファイルやリンクを開かず、送信元に確認するのが望ましいでしょう。

万が一開いてしまった場合は、セキュリティ警告が表示されても、「コンテンツの有効化」ボタンは押さず、再確認してください。またマクロ機能を使用する必要がない場合は、Officeの設定を「警告を表示せずにすべてのマクロを無効にする」に変更してください。※マクロの設定変更方法はこちら（Microsoftの公式サポートページ）

トレンドマイクロでは個人のお客さま向けにウイルスバスタークラウド（Windows/）の30日間無料体験版を提供しており、巧妙化するマルウェアの脅威から守ります。

・「ウイルス/ランサムウェア/グレイウェア対策」により、EMOTET本体や不正マクロを含むOfficeファイルを検出
・「不正サイト対策」によりマルウェアをダウンロードするための不正サイトをブロック
・「迷惑メール/詐欺メール対策」により、マルウェアを拡散させる攻撃メールをブロック

※法人のお客さまはこちらのページをご覧ください。

【参考情報】
「Emotet（エモテット）」と呼ばれるウイルスへの感染を狙うメールについて | IPA 独立行政法人情報処理推進機構
感染被害の大幅拡大/日本語で書かれた新たな攻撃メール（2022年3月9日追記）
https://www.ipa.go.jp/security/announce/20191202.html#L19
注意！「EMOTET」被害が拡大中 | トレンドマイクロセキュリティブログ
https://blog.trendmicro.co.jp/archives/30728
マルウェア「EMOTET」の注意喚起 | Trend Micro for Home
https://helpcenter.trendmicro.com/ja-jp/article/tmka-10943