Emotet活動再開中

株式会社エアー　仙頭 美優

近年Emotetの感染が広がっているため動向が注目されています。JPCERT/CCのサイトによると2022年3月に入ってから、感染してメール送信に悪用される可能性のある.jpメールアドレスの数がピーク時の約5倍以上に急増しているとのことです。その数値からわずか2年ほどで急速に被害が拡大していることがわかります。

出典：JPCERTコーディネーションセンター（JPCERT/CC）「マルウェアEmotetの感染再拡大に関する注意喚起」https://www.jpcert.or.jp/at/2022/at220006.html

また上記サイトや下記のIPAのサイトによると、2022年7月中旬よりEmotetの感染に至るようなメールは国内で観測されていませんでしたが、11月2日よりメールの配布が再度観測されています。日々受信するメールに添付されているファイルについて、さらに警戒が必要になっています。

参考：IPA「Emotet（エモテット）と呼ばれるウイルスへの感染を狙うメールについて」https://www.ipa.go.jp/security/announce/20191202.html

悪意のあるマクロを仕込んだExcel、Wordファイル、またはExcel、Wordファイルを圧縮したパスワード付きZIPファイルを添付して送り付けるといった基本的な攻撃の手口は従来と変わっていません。ただし、今回の活動再開ではファイル内に書かれている指示内容が変更されたようです。

具体的にいうと、従来はマクロを実行する"コンテンツの有効化"を促していましたが、"Excelファイルを特定のフォルダにコピーして実行する"ことを促すようになっています。そして記載されているフォルダは、Officeの設定によりデフォルトで「信頼できる場所」に設定されています。
ここに格納されると安全性の高いファイルとみなされ、マクロを無効化していても実行可能になるのを利用した手口です。

Emotet以外にも言えますが、今後既存の手口からより巧妙な手口に変わる、またはより巧妙な攻撃方法が新たに現れる可能性があります。引き続き怪しい添付ファイルは開かない、開いても記載されている操作方法を安易に実施しない、最新の攻撃の情報に対して常にアンテナをはっておくなど個人でも注意を払うことが重要です。加えて、企業として適切な対応策を随時検討・実施することも必要です。

対策の一つとして、弊社製品WISE Alertの受信Alert機能はEmotetを始めとした攻撃による被害を回避するお役に立てるかと思います。

送信前の警告で誤送信を防ぐ専用サーバ不要のシンプルな誤送信防止Outlook アドイン
WISE Alertの概要を見る