目次

  1. マルウェアEmotetとは
  2. 注意すべき攻撃の手口 請求書やLNKファイルも
  3. Chromeのクレジットカード情報を盗む機能も
  4. マルウェア感染の調査・復旧のかかる時間と費用
  5. 被害にあった企業の事例一覧
  6. Emotet の感染の確認方法
  7. Emotetに感染したときの対応手順
  8. Microsoft、マクロを無効化へ

 Emotetとは、メールを介してウイルスへの感染を狙うマルウェア(悪意のあるソフトウェア)です。端末上の情報を盗むだけでなく、さらに他のウイルスを感染させるために悪用されてしまいます。

 メールに添付されたExcelやWordファイルを開いたり、本文中のリンクをクリックしたりすることで感染します。添付ファイルのマクロを有効にしたり、URLをクリックしたりすると、悪意のあるプログラムがインストールされてしまいます。

 過去にメールのやり取りをしたことのある、実在の相手の氏名、メールアドレス、メールの内容の一部が流用され、あたかもその相手からの返信メールであるかのように悪用されるため、取引先にも影響が出てしまいます。

IPAが公式サイトで公表したEmotetの攻撃の手口の事例。攻撃メールの受信者が取引先に送信したメールが丸ごと引用され、返信されてきたかのように見える内容で、ウイルスが添付されている。メールの差出人は、メールをやり取りした相手になりすましている。件名や、メール末尾の引用のような部分では、実際に送信したと思われるメールが流用されており、全体的に、返信メールのように見せかけている。

 いったんメールアドレスの情報が盗まれると、攻撃インフラに取り込まれてしまうため、送信を止めることはできません。

日本語で書かれた新たなEmotetの攻撃メールの例(IPAの公式サイトから引用https://www.ipa.go.jp/security/security-alert/2022/1202.html)

 3月からは請求書の修正依頼を装ったメールが多数出回っています。IPAは次のように注意を呼びかけています。

請求書に関する具体的な指示が自然な日本語で書かれており、メール受信者に対応を促すことで、添付ファイルを開かせようとしています。添付されているExcelファイルは、これまでと同様に悪意のあるマクロが仕掛けられており、利用者に「コンテンツの有効化」ボタンをクリックさせることで、ウイルスに感染する仕組みです。改めて、「コンテンツの有効化」ボタンをクリックしないよう注意してください。

「Emotet(エモテット)」と呼ばれるウイルスへの感染を狙うメールについて

 さらに、4月25日には、拡張子が.lnkのショートカットファイルを悪用してEmotetへ感染させる手口が確認されたといいます。

 警察庁の公式サイトによると、ウェブブラウザ「Google Chrome」に保存されたクレジットカード番号や名義人氏名、カード有効期限を盗み、外部に送信する機能が追加されたことを確認したといいます。

 Emotetに感染すると、お使いのクレジットカード情報が第三者に知られるおそれがあります。

 Emotetも含むマルウェア感染がわかった大企業や中小企業に調査と復旧にかかる時間と費用について、警察庁がアンケートを実施しました。

ランサムウェア被害の調査・復旧に要した総額(2021年警察庁まとめ)

 回答した企業によれば、被害の調査・復旧に要した総額は次の通りです(有効回答97件)。

  • 100万円未満……22%
  • 100万円以上500万円未満……28%
  • 500万円以上1000万円未満……7%
  • 1000万円以上5000万円未満……35%
  • 5000万円以上……8%

 被害の復旧に要した時間は次の通りです(有効回答108件)。

  • 即時~1週間……30%
  • 1週間~1カ月……24%
  • 1~2カ月……14%
  • 2カ月以上……10%
  • 復旧中……22%

 クラシエホールディングスは2月9日、グループの一部のパソコンがEmotetに感染し、弊社グループの従業員を装った不審なメールが発信されていると発表しました。送信者には弊社グループ従業員の氏名が表示されていますが、送信元のアドレスはクラシエとは別のアドレスだといいます。

 積水ハウスリコーリースコングレテスコムライオンNTT西日本東北海道いすゞ自動車リコーリース農心ジャパンフクシマガリレイなどでも同じような発表をしています。

 JPCERTコーディネーションセンター(JPCERT/CC)は、Emotet感染有無の確認を行うツール「EmoCheck」を公表しています。

マルウェア「Emotet」の感染の有無をチェックする「EmoCheck」(総務省が設置しているNOTICEサポートセンターから引用)

 感染が疑われている端末で、ツールをダブルクリックすると、実際に感染している場合、「Emotetのプロセスが見つかりました」と表示されます。

 Emotetに感染したときの対応手順については、JPCERTコーディネーションセンターのブログにまとめられています。

 項目は次の通りです。

  1. 感染端末の隔離、証拠保全、および被害範囲の調査
  2. 感染した端末が利用していたメールアカウントなどのパスワード変更
  3. ネットワークトラフィックログの監視
  4. 他のマルウェアの感染有無の確認
  5. 被害を受ける可能性のある関係者への注意喚起
  6. 感染した端末の初期化

 おもな攻撃の手口である、マクロの悪用に対処するため、Microsoftは公式ブログで、インターネットから取得したOfficeアプリのVBA(Visual Basic for Applications)マクロを、デフォルトでブロックすると発表しました。

 VBAマクロは、業務の自動化に役立つ一方、Emotetなどマルウェアに悪用されるため、対策が求められていました。

 対象となるアプリは次の通りです。

  • Access
  • Excel
  • PowerPoint
  • Visio
  • Word

 この変更は、2022年4月初旬にCurrent Channel(プレビュー)のバージョン2203で展開を開始するといいます。