目次

  1. Emotetとは
  2. 2022年11月に配布が確認された添付メール
  3. 2023年3月に配布 500MB超のメールやOneNote形式も
  4. Emotet感染を防ぐための対策

 Emotetとは、メールを介してウイルスへの感染を狙うマルウェア(悪意のあるソフトウェア)の一つで、感染すると、過去にメールのやり取りをしたことのある、実在の相手の氏名、メールアドレス、メールの内容の一部が流用されてしまうため、取引先にも影響が出てしまいます。

 JPCERT/CCの公式サイトによると、Emotetは、おもにマクロ付きのExcelやWordファイル、あるいはこれらをパスワード付きZipファイルとしてメールに添付する形式で配信されており、ファイルを開いてマクロを有効化するとEmotetに感染してしまいます。

 2022年11月上旬以降、Emotetの感染に至るメールは国内で見つかっていませんでしたが、2023年3月7日からメールによる配布が再開されているのが見つかっています。

 感染させる手口は従来から確認されている手口で、xlsファイル(Office文書ファイル)、あるいはxlsファイルを含むパスワード付きのZIPファイルが添付されているメールが送られてきます。xlsファイルを開き、マクロを有効化すると感染してしまいます。

メールに添付されたExcelファイル内に書かれている偽の指示(IPAの公式サイトから https://www.ipa.go.jp/security/security-alert/2022/1202.html)

 Officeの設定で「信頼できる場所」に登録されているようなフォルダパスにxlsファイルをコピーさせた後にマクロを実行させ、警告を表示させないような工夫をしているといいます。

 JPCERTコーディネーションセンターによると、2023年3月からは、メールに添付されるZIPフォルダを展開すると、約550MBとファイルサイズの大きいフォルダが確認されています。「サイズを大きくすることでアンチウイルス製品などでの検知回避を図っていると考えられます」と説明しています。

500MBを超えるdocファイルを含むZIPアーカイブのサンプル(JPCERT/CCのサイトから https://www.jpcert.or.jp/at/2022/at220006.html)

 このほか、Microsoft OneNote形式のファイル(.one)を悪用してEmotetへ感染させる新たな手口も見つかっています。ファイル内に書かれた指示に従って「View」ボタン(ボタンに模した画像)をダブルクリックすると、「View」ボタンの裏に隠されている悪意のあるファイルが実行され、Emotetに感染する恐れがあるといいます。

Microsoft OneNote形式でEmotetを感染させる手口(IPAの公式サイトから https://www.ipa.go.jp/security/security-alert/2022/1202.html)

 JPCERTコーディネーションセンターは「感染拡大を防ぐため、改めて、取引先などから送られているようにみえるメールでも安易に添付ファイルの実行や文中のURLクリックをしないようご注意いただき、組織内で注意を呼び掛けるなど警戒を高めていただくことを推奨します」と注意を呼びかけています。

 また、IPAはEmotetを含むウイルス感染を防ぐ対策として以下のように案内しています。

  • 身に覚えのないメールの添付ファイルは開かない。メール本文中のURLリンクはクリックしない
  • 自分が送信したメールへの返信に見えるメールであっても、不自然な点があれば添付ファイルは開かない
  • OSやアプリケーション、セキュリティソフトを常に最新の状態にする
  • 信頼できないメールに添付されたWord文書やExcelファイルを開いた時に、マクロやセキュリティに関する警告が表示された場合、「マクロを有効にする」「コンテンツの有効化」というボタンはクリックしない
  • メールや文書ファイルの閲覧中、身に覚えのない警告ウインドウが表示された際、その警告の意味が分からない場合は、操作を中断する
  • 身に覚えのないメールや添付ファイルを開いてしまった場合は、すぐにシステム管理部門等へ連絡する