独立行政法人情報処理推進機構(IPA)は12月9日、マルウェア「Emotet(エモテット)」について新たな情報を公開した。11月に活動再開が確認された後に起きた被害の事例や新しい攻撃の手口が公開されている。
Emotetはメールの添付ファイルを主な感染経路とする不正プログラムで、過去にやり取りをしたメールに対する返信などを装ったメールに、パスワード付きZIP形式で圧縮された文書ファイルを添付する。この文書ファイルを開き、文書内のマクロを実行することで、PCにマルウェアが感染する。
11月にEmotetの活動再開が確認されて以降、手口を変化させながら12月現在でも攻撃が続いているという。同機構に少数ながらも企業から被害相談が寄せられていると、注意の徹底を呼び掛けている。
また、新たに確認された手口として、従来使われていたWordファイルではなくExcelファイルを悪用したものと、誘導先の偽サイトでPDF閲覧ソフトに偽装したウイルスファイルをダウンロードさせるものがあるとして、これらの事例が紹介された。
Excelファイルを悪用した被害相談の事例
12月に入ってからIPAへ相談が寄せられた事例に、取引先を装って届いたメールに添付されていたExcelファイルを開いてしまったことで、マルウェア(ウイルス)に感染した事例が紹介された。経緯は以下のようなものだったという。
- 取引先からのように見えるメールが相談者に着信。数カ月前に、その取引先と実際にやり取りしたメールが引用された文面で、Excelファイルが添付されていた
- 変だとは思ったが、わざわざ電話して確認するのはためらわれ、Excelファイルを開いた。過去にExcelファイルを受け取ったことはあり、急ぎの用件かもしれないため、まず内容を確認しようと考えた
- Excelファイルを開いた際、特に意識せず「コンテンツの有効化」ボタンもクリックした可能性がある
- 翌日、ほかの取引先や知人から、相談者を詐称した不審メールが送られていると連絡を受けて、感染被害に気付いた
Emotetがメールを盗み、そのメールの関係者にメールによる攻撃を行う。成功すると、そこからまたメールを盗み、そのメールの関係者を攻撃する。このような手口を繰り返して、攻撃対象を拡大している様子がうかがえると同機構は指摘。これは、2019年ごろに国内の企業・組織へ多数の被害をもたらした手口であるとしている。
このような攻撃への対策として、同機構では、重要な顧客や取引先や知人からのメールに見えても、すぐに添付ファイルや本文中のURLは開かず、本物のメールであるか落ち着いて確認することが重要であるとしている。また、必要に応じて、確実な手段で送信元へ問い合わせるよう呼び掛けている。
PDF閲覧ソフトを偽装し、利用者自身にウイルスファイルをインストール・実行させた事例
11月以降、Office文書ファイルのマクロ機能を悪用するものとは異なる手口が確認されている。
メール本文中のURLをクリックすると、閲覧可能なPDFファイルが存在するかのような画面(攻撃者の用意した偽のウェブサイト)へ誘導される。そこでPDF閲覧ソフトに偽装したウイルスファイルのダウンロードと実行を促される。
同機構は、偽のウェブサイトの見た目やダウンロードさせられるファイルの種類などの手法は変化している可能性があるとする。そのうえで、基本的な対策として、安全だと判断できない場合はダウンロードされたファイルを開いたり実行したりしないことが重要だと呼び掛けている。