ウイルス

2022年6月:EMOTETがChromeブラウザからクレジットカード情報を盗み取る

EMOTET不審メール
EMOTETが添付されたメールの例

警察庁は2022年6月9日、不正プログラム「EMOTET」(エモテット)に新しい特徴が確認されたとして、改めて注意を呼びかけました。

EMOTETは、主にメールの添付ファイル(文書、ショートカット)を感染経路とした不正プログラムです。パソコンがEMOTETに感染してしまうと以下の情報が盗み取られ、さらに感染を拡大するために、勝手にメール送信が行われます。

【従来のEMOTETが盗み出す情報】
・メールアカウント
・パスワード
・メール本文 など

EMOTETは一時は活動を停止しましたが、2021年11月中旬ころから活動を再開していました。
さらに最新のEMOTETでは、ブラウザソフトの「Google Chrome」に保存されたクレジットカード情報を盗み、外部に送信する機能が追加されたことも確認されています。
Google Chromeでは個人情報を暗号化して保存することで安全性を高めていますが、今回発見されたEMOTETの新機能は暗号化されたデータを元に戻すための鍵も同時に盗むため、クレジットカード情報が悪用される可能性があります。

【最新のEMOTETが盗み出す情報】
・メールアカウント
・パスワード
・メール本文
・クレジットカード番号
・クレジットカードの名義人氏名
・クレジットカードの有効期限
・暗号データを元に戻すための鍵
 など

EMOTETが添付されたスパムメールの例

EMOTETは、EMOTETに感染した端末からメールに関する情報を盗み、メール本文やメールアドレスを転用して新しい攻撃メールをばらまきます。
そのためEMOTETによる攻撃メールを受信した人にとって、正規のメールと区別しにくいという特徴があります。

EMOTET不審メール
EMOTETが添付されたメールの例

攻撃メールの件名は受信者が過去に使ったメールの件名や内容などを流用し、それらしく偽装されています。

このようなメールにはMicrosoft Office関連のファイル(WordやExcelなど)や「.LNK」の拡張子を持つショートカットリンクが添付されていることが確認されています。

これらのファイルを開きWordやExcelのマクロを実行してしまったり、ショートカットリンクをクリックしてしまうと、EMOTETの感染につながってしまいます。
※マクロ:WordやExcelなどの文書ファイルを編集するときに、複数の操作を自動で一度に実行する機能のこと

添付ファイルを開いてしまったときの対応策

EMOTETは知り合いを装ったスパムメールによって拡散されています。
一見すると知り合いから送付されているように見えても、添付ファイルやリンクを開かず、送信元に確認しましょう。
万が一添付のzipファイルを開いてしまった場合に、その中に入っているファイルの種類別に注意したいポイントを解説します。

Microsoft Office関連のファイル(WordやExcelなど)の場合

EMOTET不審メール
添付ファイル内のEcxelで”コンテンツの有効化”を要求される例

EMOTETではWordやExcelのマクロ機能を悪用した攻撃が確認されています。
これらのファイルを開いてしまった場合は、セキュリティ警告が表示されても、「コンテンツの有効化」ボタンは押さないでください。
またマクロ機能を使用する必要がない場合は、Officeの設定を「警告を表示せずにすべてのマクロを無効にする」に変更してください。※マクロの設定変更方法はこちら(Microsoftの公式サポートページ)

ショートカットリンクの場合

EMOTETがクレジットカードを盗み取る注意喚起画像
添付ファイル内にショートカットリンク(LNKファイル)が含まれている例

上記画像のようなショートカットリンクの場合、ファイルを絶対にクリックしないでください。
もしクリックしてしまうと、Windows標準の「PowerShell.exe」というプログラムが悪用され、EMOTETに感染してしまいます。

セキュリティ対策ソフトによる予防策

EMTOTEの感染を防ぐためにはセキュリティ対策ソフトの利用が有効です。

トレンドマイクロでは個人のお客さま向けにウイルスバスター クラウド(Windows/Mac)の30日間無料体験版を提供しており、以下の機能によって巧妙化する不正プログラムの脅威から守ります。
・「ウイルス/ランサムウェア/グレイウェア対策」により、EMOTET本体や不正マクロを含むOfficeファイルを検出
・「不正サイト対策」により不正プログラムをダウンロードするための不正サイトをブロック
・「迷惑メール/詐欺メール対策」により、不正プログラムを拡散させる攻撃メールをブロック

まずはお試しで30日間無料体験 ウイルスバスタークラウド

※法人のお客さまはこちらのページをご覧ください。

【参考情報】
3月以降も猛威を振るう「EMOTET」不審なメールへの注意と対策を
https://news.trendmicro.com/ja-jp/2022-03-31-news-malware-emotet/
「EMOTET」の新手口:ショートカットリンクに注意
https://blog.trendmicro.co.jp/archives/31142
徹底検証「EMOTET」:検出技術による攻撃手口の可視化
https://blog.trendmicro.co.jp/archives/31369

  • シェア
  • 送る
  • 執筆者情報

    ウイルスバスター
    セキュリティトピックス

    ウイルスバスター セキュリティトピックスは巧妙化、多様化するサイバー攻撃やネット詐欺などの脅威からお客さまを守り、安全に、安心してインターネットを活用いただくためのセキュリティ情報を提供するサイトです。
    運営会社:トレンドマイクロ株式会社

    以下コメント欄からこの記事についての感想をお聞かせください。
    お使いのトレンドマイクロ製品についてのご質問は、コメントではなくこちらのページからお問い合わせください。

    同じカテゴリの人気記事

    セキュリティ対策はMicrosoft Defenderだけで大丈夫? スマホがウイルスに感染しているか調べる方法と感染を防ぐ対策 パソコンがウイルス感染したかも?すぐできる感染確認・削除方法 iPhoneの「ウイルスに感染しました」の画面は本物?被害事例と対処法を解説 Windowsで突然表示されるウイルス警告画面は本物?表示された場合の対処法 「Macにセキュリティソフトは不要」は本当?Macに必要なセキュリティ対策

    無料体験版のご紹介

    パソコンやスマホのセキュリティ対策が気になるときは・・・
    まずは30日間、無料体験してみませんか?

    スマホ・タブレットをお使いのお客さま
    (Android/iOS/iPadOS)

    Google Playで手に入れよう App Storeからダウンロード

    パソコンをお使いのお客さま
    (Windows/MacOS)

    Microsoftから入手
    • Windows8.1以上をお使いの方は、Microsoft Storeからもダウンロードできます。
    • 無料体験版をご利用の際は、クレジットカードの登録不要!
    • 30日無料体験版は、無料体験期間終了後、自動で有償版に切り替わることはございません。
    • Windows版とMac版ではご利用いただける機能が異なります。詳しくは機能一覧をご覧ください。
    • TREND MICRO、およびウイルスバスターはトレンドマイクロ株式会社の登録商標です。
    • 「Android」、「Google Play」はGoogle LLCの商標です。
    • 「iOS」、「iPadOS」、「MacOS」、「App Store」はApple inc. の商標です。
    • 「Microsoft」はMicrosoft Corporation の商標です。