Emotetが大流行?

2019年11月27日にJPCERTが、続いて2019年12月11日にIPAがそれぞれEmotetの感染に関する注意喚起を発表しました。

https://www.jpcert.or.jp/at/2019/at190044.html

https://www.ipa.go.jp/security/announce/20191202.html

 

EmotetはWordのマクロを使って感染するマルウェアです。

Emotetはモジュール型のプログラムなので、Emotetを利用して新しい独自の機能を持ったマルウェアを簡単に作ることができます。2014年に流行して一旦終息したのにまた流行り始めているのにはそういう理由からだと思われます。

 

現在流行しているタイプは、感染すると情報漏洩をもたらすようです。2019年11月には首都大学東京の教員のパソコンがEmotetに感染し、大量のメールが流出したとの発表がありました

https://www.tmu.ac.jp/extra/download.html?d=assets/files/download/auth/press/press_20191101.pdf

 

Emotetに感染したパソコンは、過去に送受信したメールのデータを、攻撃者の管理している指令サーバ(情報セキュリティの用語ではC&Cサーバと呼びます)に送られてしまいます。

指令サーバは、Emotetに感染している別のパソコンから最初の被害者の名前を騙って迷惑メールを送信します。迷惑メールの宛先も最初に感染したパソコンから抽出するので、最初の被害者の関係者のメールアドレスということになります。会社のメールであれば同僚や取引先ということなので、こうなってしまうとお客様にも迷惑をかけることになりますし、社会的信用がガタ落ちですね。

 

主な感染経路はメールの添付ファイルのようです。

ただし、LAN上で一台でも感染してしまうとファイル共有など別の経路でも感染が広がります。

先ほども書いた通り感染したパソコンはC&Cサーバからの指令で新たな不正メールの発信源にされてしまいます。Outlookから大量に不正メールを送られてしまうようです。

 

メールからの感染を防ぐのは簡単で、心当たりのないメールの添付ファイルは開かないようにすることです。マルウェアの感染を防ぐためには当たり前のことです。

それに加えて、Wordファイルを開いてもマクロを実行しないようにしておけば、Emotetへの感染は防ぐことができます。

 

仮に感染してしまった場合は、該当するパソコンからEmotetを駆除したり、場合によっては、OSからクリーンインストールしたりすることが必要になりますが、このウイルスの特徴から考えて、そのパソコンで使っていたメールアカウントのパスワードを変更することも必要となります。

 

なお、JPCERTは、もし社内で一台でも感染が発生してしまったのであれば、組織内の全端末のウイルス対策ソフトによるフルスキャンするようお勧めしています。

https://www.jpcert.or.jp/at/2019/at190044.html

 

コラム一覧へ