JPCERTコーディネーションセンター(Japan Computer Emergency Response Team Coordination Center:JPCERT/CC)は7月29日(日本時間)、「マルウエア Emotet の感染に繋がるメールの配布活動の再開について (追加情報)」において、マルウェア「Emotet」の感染を狙ったメール配布が再び活発化しているとして、警戒を呼び掛けた。

Emotetは遠隔操作が可能なボット型のマルウェアで、感染すると情報漏洩、スパムメール送信の踏み台化、他のマルウェアへの感染といった被害を受ける危険性がある。

  • マルウエア Emotet の感染に繋がるメールの配布活動の再開について (追加情報)

    マルウエア Emotet の感染に繋がるメールの配布活動の再開について (追加情報)

JPCERT/CCによれば、Emotetの感染を狙う攻撃は2019年10月から断続的に行われてきたが、2020年2月以降は目立った活動は観測されていなかったという。しかし2020年7月17日頃から再びEmotetの感染につながるメールの配布が確認され始めたとのこと。さらに7月28日からは、過去のEmotet感染によって取得された情報がメールの配信に使われている形跡も観測されているという。

今回観測されているメールは、添付ファイルまたは本文中にファイルをダウンロードさせるリンクを含んでいるもので、以前出回ったものと同様の形式だ。ファイルを実行するとマクロの有効化を促す内容が表示され、マクロを有効化するとEmotetの感染につながってしまう。

  • Emotetの感染に繋がる文書ファイルの例 - 資料: JPCERTコーディネーションセンター

    Emotetの感染に繋がる文書ファイルの例 - 資料: JPCERT/CC

Emotetの感染を狙うメールでは、実在の人物に成りすまして正規のメールへの返信を装ったり、攻撃対象者が過去に行ったメールのやり取りから情報を取得して成りすましに利用したりするといった手口も使われる。これによって、自分の名前や組織名が意図せず攻撃に悪用されてしまう可能性もあるため、下記のような状況も想定するべきと指摘されている。

  • 過去に感染していた端末が使用するメールアドレスやその取引先などに対して、Emotet のメールが配信された
  • 過去に感染していた端末から SMTP 認証情報などが窃取され、自社のメールサーバが Emotet のメール配信に悪用された

JPCERT/CCでは、今後あらためてEmotetの感染につながるメール受信や感染被害が増加する恐れがあるため、組織内での注意喚起や対策状況の確認などを行うことを推奨している。