目次

  1. Emotetとは
  2. Emotetの攻撃再開いつから?
  3. Emotetの攻撃の手口
  4. 攻撃メールの添付ファイルの特徴
  5. 被害に遭わないための対策

 Emotetとは、メールを介してウイルスへの感染を狙うマルウェア(悪意のあるソフトウェア)です。

 メールの添付ファイルを開いたり、本文中のリンクをクリックしたりすることで感染します。添付ファイルやURLをクリックすると、悪意のあるプログラムがインストールされてしまいます。さらに感染したパソコンから、メールアドレスや社内ネットワークのログイン情報などを盗み出し、さらに感染を広げようとします。

 同時に「TrickBot」や「Ryuk」と呼ばれるほかのマルウェアの感染も引き起こすため、サイバー犯罪の温床となっていました。

 世界中で拡大する被害に対し、EU加盟国で構成するユーロポール(欧州刑事警察機構)は「LADYBIRD(テントウムシ)」というオペレーション名の作戦を決行。2021年1月、世界で最も危険なマルウェア「Emotet」のネットワークをテイクダウンした(制御下に置いた)と発表しました。

 しかし、IPAのEmotetの解説ページによると、その後も件名や本文などが変化しながら断続的にばら撒かれており、2021年11月14日ごろからEmotetの攻撃活動再開の兆候が確認されたという情報があるといいます。

 IPAでは、攻撃メールに添付されていたと思われるWord文書ファイルとExcelファイルを入手し、確認しています。これらは悪意のあるマクロ(プログラム)が仕込まれたもので、2021年1月までの攻撃と同じ手口です。

 具体的には、文章にやや不自然な点はあるものの、実在する氏名、メールアドレス、メールの内容の一部を流用して正規のメールへの返信を装っていたり、請求書、出荷通知など業務上開封してしまいそうな文面になっていたりしています。

IPAが公式サイトで公表したEmotetの攻撃の手口の事例。攻撃メールの受信者が取引先に送信したメールが丸ごと引用され、返信されてきたかのように見える内容で、ウイルスが添付されている。メールの差出人は、メールをやり取りした相手になりすましている。件名や、メール末尾の引用のような部分では、実際に送信したと思われるメールが流用されており、全体的に、返信メールのように見せかけている。

 IPAによると、攻撃メールに添付されているWordやExcelなどのファイルを開くと、MicrosoftやOfficeのロゴと、数行のメッセージが書かれた文書が表示されるといいます。

攻撃メールの添付ファイル。コンテンツの有効化をクリックするとEmotetがダウンロードされる(IPAの公式サイトから引用)

 具体的には、英語で「文書ファイルを閲覧するには操作が必要である」という主旨の文と、「Enable Editing」(日本語版Officeでは「編集を有効にする」)と「Enable Content」(日本語版Officeでは「コンテンツの有効化」)のボタンをクリックするよう指示が書かれているといいます。

 指示に従って「編集を有効にする」または「コンテンツの有効化」をクリックしてしまうと、外部サイトからEmotetをダウンロードし、パソコンに感染させられてしまいます。

 IPAはEmotetへ対策だけでなく、一般的なウイルス対策として、次のような対応を勧めています。

  • 身に覚えのないメールの添付ファイルは開かない。メール本文中のURLリンクはクリックしない
  • 自分が送信したメールへの返信に見えるメールであっても、不自然な点があれば添付ファイルは開かない
  • OSやアプリケーション、セキュリティソフトを常に最新の状態にする
  • 信頼できないメールに添付されたWord文書やExcelファイルを開いた時に、マクロやセキュリティに関する警告が表示された場合、「マクロを有効にする」「コンテンツの有効化」というボタンはクリックしない
  • メールや文書ファイルの閲覧中、身に覚えのない警告ウインドウが表示された際、その警告の意味が分からない場合は、操作を中断する
  • 身に覚えのないメールや添付ファイルを開いてしまった場合は、すぐにシステム管理部門等へ連絡する