メールで感染を広げるマルウエアの「Emotet」が国内で猛威を振るっている。
セキュリティー組織のJPCERTコーディネーションセンター(JPCERT/CC)は2022年2月上旬、Emotetのメール送信に悪用されている可能性があるメールアドレス数が急増しているとして注意を呼びかけた▼。
セキュリティーに関する相談を受け付けている情報処理推進機構(IPA▼)も、Emotetの相談件数が2022年2月に入って急増しているとして注意喚起している▼。
Emotetは以前も世界中で大きな被害をもたらした。そこで2021年1月下旬、欧米8カ国の法執行機関や司法当局などが協力して、Emotetを送信するサーバーなど押収し、Emotetが送られないようにした。
だが2021年11月に「復活」。世界中で再び感染を広げ始めた。国内では2022年1月下旬から被害が顕著になっている。
なぜ感染拡大を止められないのだろうか。
[理由1]取引相手になりすます
理由の1つは、Emotetの感染を拡大するメールは取引相手や知り合いから送られてきたように見えるからだ(図1)。
Emotetは、感染したパソコンに保存されている過去のメールやアドレス帳の情報を盗む。攻撃者はその情報を使って感染拡大メールを送信する。過去のメールを引用して、そのメールの返信を装うこともある(図2)。
このため感染拡大メールの受信者には、取引相手や知り合いなどから送られてきたように見える。メールの内容ももっともらしいことが多い。
ただ、なりすまされたユーザーや組織がEmotetに感染しているとは限らない。取引相手がEmotetに感染したために自組織の情報が流出し、悪用されているケースもある。Emotetに感染していなくても、感染拡大メールの送信元にされるのだ(図3)。
実際、感染拡大メールの送信元にされている国内の企業や団体は多いようだ。それらの組織では、Webサイトで「弊社を装った不審メールに注意してください」や「当社名をかたった迷惑メールに注意してください」といった注意喚起を公表している。
筆者が検索サイトを使って調べただけでも、2022年1月25日から2月14日までの間に公表された注意喚起は90件に上った。
