JPCERT/CC、マルウェア「Emotet」に関するFAQを公表 ～10月以降、感染事例が急増

公式ブログ“JPCERT/CC Eyes”

　2019年10月以降、日本国内でマルウェア「Emotet（エモテット）」の感染事例が急増している。これを受け、一般社団法人JPCERT コーディネーションセンター（JPCERT/CC）は12月1日、「Emotet」に関するFAQを公式ブログ“JPCERT/CC Eyes”で公表した。「Emotet」に感染した疑いがある場合の確認方法や、感染が確認された場合の対処方法など、2019年12月現在の情報がまとめられている。

　「Emotet」は2014年頃から確認されているマルウェアで、当初はオンラインバンキングの情報を盗み取るだけだったが、最近では他のマルウェアを感染させるなど、高機能化しつつある。主な攻撃手法は、実在の組織や人物になりすましたメールに「Microsoft Word」文書ファイルを添付し、ユーザーを唆してファイルのコンテンツ（マクロ）を実行させるというものだ。

メールに添付された「Microsoft Word」文書ファイルの例

　「Word」にはWebから取得したファイルのコンテンツをブロックする機能が備わっているが、「Emotet」は実際にその組織でやり取りされているメールや盗み取った情報を転用し、見知った人へ巧妙になりすます。これに騙されてブロック機能を解除してしまうと「Emotet」がダウンロードされ、PCがマルウェアに感染してしまうわけだ。

　JPCERT/CCによると、「Emotet」への感染で以下のような被害を受ける可能性があるという。

• 端末やブラウザに保存されたパスワード等の認証情報が窃取される
• 窃取されたパスワードを悪用されSMBによりネットワーク内に感染が広がる
• メールアカウントとパスワードが窃取される
• メール本文とアドレス帳の情報が窃取される
• 窃取されたメールアカウントや本文などが悪用され、Emotetの感染を広げるメールが送信される

　対策としては、メールの添付ファイルを不用意に開かない、開いてもマクロを有効化しないといった基本的なことを周知徹底するのが肝要だ。また、“EternalBlue”やSMBの脆弱性を突いて感染が拡大する例が確認されていることから、対策パッチの適用を忘れないようにすることも重要となる。

• 組織内への注意喚起の実施
• Wordマクロの自動実行の無効化
• メールセキュリティ製品の導入によるマルウエア付きメールの検知
• メールの監査ログの有効化
• OSに定期的にパッチを適用（SMBの脆弱性をついた感染拡大に対する対策）
• 定期的なオフラインバックアップの取得（標的型ランサムウエア攻撃に対する対策）

　今回公表されたブログでは、“なりすましメールが確認された場合”や“感染の有無を確認するには”、“窃取されたメールの送信を止めるにはどうすればよいか”といった、よくある質問をいくつか挙げ、その一つ一つにわかりやすく答えている。2019年10月以降に確認された「Emotet」の添付ファイル（「Word」文書）の内容も公開されているので、対策に役立てたい。