メールを通じて感染を広げるウイルス「Emotet」の被害が急激に再拡大しています。
Emotetは、情報を窃取するだけではなく、他のウイルスの感染も引き起こし、感染拡大のスピードも速い非常に悪質なウイルスです。
感染拡大の最大の理由は、攻撃メールの巧妙な偽装にあります。過去にメールのやり取りをした実在の相手の氏名、メールアドレス、本文等の一部を流用し、正規メールを装うというのが非常によく見られる事例です。Emotetに感染した組織から情報が盗み取られ、悪用されているのです。また他にも、新型コロナウイルスを題材にした文面等が確認されていました。
攻撃メールには様々なパターンがありますが、いずれもメール本文に記載した不正なリンクへのアクセスや、不正な添付ファイルの「マクロの実行」を通じてウイルスに感染させようとします。
不正なファイルが添付された攻撃メールの例(出典:IPA https://www.ipa.go.jp/security/announce/20191202.html )
IPA(情報処理推進機構)の情報セキュリティ安心相談窓口には、2020年7~9月にEmotet関連に関する相談が、その前の3ヶ月が1件しかなかったのに対して、308件寄せられたとのことです。
さらに、感染が広がっている他の理由として、セキュリティ製品の検知を回避する動きがあることもあげられます。
例えば、最近では不正なワードファイルを添付するパターンだけではなく、パスワードを設定した「zipファイル」を添付することで検知をすり抜ける方法が多く発生しています。
ZIPファイルが添付された攻撃メールの例(出典:IPA https://www.ipa.go.jp/security/announce/20191202.html )
この他、メール文面のパターンも、セキュリティ企業からのアンケートメールの偽装や、「Windows Server Update Services」からのメールの偽装も新たに確認されています。
今後も新しい攻撃の手口が発生してくることはほぼ間違いありません。
また、日本アイ・ビー・エム株式会社の調査によると、「Emotet」に感染させようとするメールが日本の企業の営業時間に合わせて活発化していたことが明らかになっています。
・IBMセキュリティー・インテリジェンス・ブログ 2020年10月26日 https://www.ibm.com/blogs/security/jp-ja/emotet-detection-status-202010/
Emotetの攻撃は今後も予断を許さない状況であることは間違いありません。
攻撃メールはセキュリティ製品の検知を回避する可能性があるため、メール受信者がEmotetの脅威を常に認識して対策する必要があります。
対策としては下記のようなものがあげられます。
■Wordのマクロの自動実行を無効化しておく。(マクロを利用してEmotetの本体がダウンロードされるため)
■身に覚えのないメールからの添付ファイルは開かない、メール本文中のURLリンクはクリックしない。
■取引先からの返信に見えるメールでも、少しでも不自然な点があれば添付ファイルは開かない、メール本文中のURLリンクはクリックしない。
■不審なメールに添付されたWord文書やExcelファイルを開いた時に、マクロやセキュリティに関する警告が表示された場合、「マクロを有効にする」「コンテンツの有効化」というボタンをクリックしない。
■OSやアプリケーション、セキュリティソフトを常に最新の状態にする。
■身に覚えのないメールや不審なメールの添付ファイルを開いてしまった場合はすぐにシステム管理部門等へ連絡する。
■上記内容を組織内に周知徹底する。
通常の業務を行いながら対策をすることは負荷がかかってしまいますが、もしEmotetに感染してしまったら自社の情報の窃取させてしまうだけでなく、グループ企業や取引先への感染拡大という大きなリスクを背負うことになります。しっかりとした対策を強くおすすめいたします。
より詳しくは、IPAによる注意喚起などをご参照ください。
・IPA 「Emotet」と呼ばれるウイルスへの感染を狙うメールについて