全1894文字
PR

 2019年秋に猛威を振るい、2020年7月に活動を再開し始めたマルウエア「Emotet(エモテット)」が「感染爆発」とも呼べるほどの兆しを見せている。情報処理推進機構(IPA)は2020年9月2日、Emotetに関連した相談が急増していると発表。セキュリティー対策ベンダーのトレンドマイクロをかたるメールも確認された。注意が必要である。

「2カ月で34件」から「2日間で23件」に急増

 IPAの情報セキュリティ安心相談窓口には、2020年7~8月の2カ月でEmotet関連の相談が34件あった。ところが2020年9月1日と2日の午前中だけで23件の相談が寄せられた。まさに「急増」(IPA)だ。相談内容は「Emotetに感染した」「メールアカウントが攻撃者に乗っ取られて外部に攻撃メールを送信してしまった」というものだ。

 Emotetはばらまき型メールで拡散される。ばらまき型メールとは不特定多数に向けて同じ文面のなりすましメールを送り、マルウエアに感染させたりフィッシングサイトに誘導したりするサイバー攻撃だ。

 このばらまき型メールを監視・共有するセキュリティー技術者の集まりである「ばらまきメール回収の会」でも2020年8月31日からの週に感染爆発を確認している。メンバーの1人である「わが」(@waga_tw)氏によれば、2020年9月3日だけでもEmotetに感染したと想定されるjpドメインのメールアドレスは2566件に上っている(午後1時55分時点)。

「ばらまきメール回収の会」が観測した、Emotetに感染したと想定されるjpドメインのメールアドレス数
「ばらまきメール回収の会」が観測した、Emotetに感染したと想定されるjpドメインのメールアドレス数
(出所:わが氏)
[画像のクリックで拡大表示]

 Emotetは攻撃メールに添付されたMicrosoft Officeファイルを開き、マクロを実行してしまうと感染する。感染するとパソコンに保存されたメール内容やメールアドレスが盗まれ、ネット上の指令サーバー(C&Cサーバー)に送られる。

 攻撃者は盗んだ情報を基に別の感染者から攻撃メールを送信させて、さらに感染を広げようとする。攻撃メールは入念で、送信者名に普段やり取りしている人物の名前を使い、しかも返信メールを装う。攻撃を受けた人はうっかり開いてしまいがちだ。

 IPAによれば2020年9月1日に確認した攻撃メールの本文は「協力会社各位」という日本語の書き出しで始まっていたという。攻撃メールを受信した人は業務に関係があると勘違いして添付されたWordファイルを開いてしまう。

Emotetが添付されたメールの例
Emotetが添付されたメールの例
(出所:情報処理推進機構)
[画像のクリックで拡大表示]

 このWordファイルには悪意のあるマクロが仕掛けられているため、「コンテンツの有効化」ボタンを押さないように注意が必要だ。他にも「消防検査」「ご入金額の通知・ご請求書発行のお願い」「次の会議の議題」「変化」といった件名や添付ファイル名が確認されているという。

 新たな攻撃の手口も出てきた。2020年9月2日に確認した攻撃メールには、パスワード付きのZIPファイルが添付されていたという。IPAは「添付ファイルの暗号化により、セキュリティー製品の検知・検疫をすり抜けて受信者に攻撃メールが届く確率が高い」と警鐘を鳴らす。ZIPファイルの中には、やはり悪意のあるマクロが仕掛けられたWordファイルが含まれている。

パスワード付きZIPファイルを使ってEmotetに感染させる流れ
パスワード付きZIPファイルを使ってEmotetに感染させる流れ
(出所:情報処理推進機構)
[画像のクリックで拡大表示]