マルウェアEmotetについて
マルウェアEmotet (エモテット) に関するまとめです。
主に感染時の被害と感染有無の確認について記載します。
日本で感染被害が拡大しています。Emotetに感染した場合、加害者にもなってしまいますので、感染している場合は漏れなく対処ください。
2020/07/17以降のEmotetについては以下の記事も合わせて参照ください
■1. マルウェアEmotetとは
マルウェアとは悪意ある動作を行うソフトウェアのことです。コンピュータウイルスと(厳密な定義では違いますが一般的には)同じです。
Emotetに感染すると生じる被害の主なポイントは以下です。
- 端末、ブラウザに保存しているID、PWが窃取される (ログインIDやメールアカウント等も)
- メールアカウントが悪用され、送受信してきたメールが盗まれ、外部へ大量のEmotet感染メールを送信する (2次感染の加害者になってしまう)
- 他のマルウエアにも感染する (主に不正送金被害やランサムウェア被害)
この結果、Emotetに感染すると社会的/ビジネスにどのような影響が出るかというと、以下のようなことが想定されます。
- 相手にメールを送信されることで、相手が感染する要因となる加害者となってしまい、組織の信用の失墜。
- なりすましメールの送信元にされることで、問い合わせ、クレーム対応が発生し、ストレスの高い追加作業が発生。
- 過去送受信したメールが盗まれて送受信に含まれている人へメールが送信されるため、特に関係が深い相手ほど攻撃メールが送信されてしまい、より迷惑をかける。取引停止になる恐れ。
- メールが盗まれてその内容を送信されることで、個人情報漏洩の可能性。
- 感染の事後対応(PCの初期化や注意喚起発行、パスワード変更など)により、通常業務が行えない。
以下、セキュリティ専門機関であるJPCERT/CCやIPAから注意喚起等が出ています。
・マルウエア Emotet の感染に関する注意喚起
https://www.jpcert.or.jp/at/2019/at190044.html
・マルウエアEmotetへの対応FAQ
https://blogs.jpcert.or.jp/ja/2019/12/emotetfaq.html
・「Emotet」と呼ばれるウイルスへの感染を狙うメールについて
https://www.ipa.go.jp/security/announce/20191202.html
■2. Emotetに感染する要因
Emotetは主にメールの添付ファイルから感染します。Emotetに感染させるメールには、主に2つのパターンがあります。
- ばらまき型Emotet(固定の件名でメールの履歴がないもの)
Emotetに感染した人のアドレス帳に含まれている人および過去メールの送受信をした人からアドレスを選択し、送信元アドレス、宛先アドレスに設定して送られていると考えられます。(なりすましメール) - 返信型Emotet
実際に過去に送受信したメールの本文が盗まれて、その返信を装うもの。返信の内容は過去のやり取りからすると違和感がある内容も多いが、やり取りしたメールが存在するため、信じやすい。
※返信型と呼んでいるが、必ずしも返信(RE: ,Re:)が付くとは限らない。そのままの件名の場合もある
主に世間で注意喚起されているのは返信型Emotetですが、実際のメールの送信量としてはばらまき型Emotetが多いです。
どちらの場合も知人からのメールを装った「なりすましメール」が届くため、信じて添付ファイル(またはリンク)を開いてしまいやすいものです。
これらのメールの添付ファイルまたはリンクからダウンロードされる.docファイルを開き、マクロ(コンテンツ)を有効化することで、PowerShellが実行されインターネットからEmotetをダウンロードし、感染します。
※マクロを有効化しなければ感染しません。
Emotetに感染させるファイルは以下の様な見た目が含まれた.doc形式のファイルです。
感染が疑われる場合には、この画像に見覚えがないか、ヒアリングするのも良いでしょう。
▼2020/07/17以降
▼2020/08/11以降
▼2020/08/25以降
▼2020/09/01以降
▼2020/09/05以降
▼2020/09/14以降
■2-1. Emotetに感染しないために
上述の通り、Emotetに感染するのはマクロの実行をした場合です。
マクロを自動実行しないよう、マクロの設定を以下となっているか、確認ください。「ファイル」→「オプション」→「トラストセンター」→「トラストセンターの設定」で以下の画面が出ます。
Word文書を開いた際に、以下のように「マクロの有効化」ボタンが出た場合には、絶対に有効化してはいけません。有効化するとEmotetに感染します。
■3. 受信したメールによるEmotet感染の疑いのあるメールアカウントの識別
Emotetに感染すると、メールアカウント情報が窃取され、Emotetに感染させるメールの送信に悪用されます。
※Emotetに感染し対応していても、メールアカウントのパスワードを変えていない場合、継続してメール送信の踏み台として悪用される可能性があります。
以下にEmotetに感染するメールを受信した時、Emotetに感染している可能性の高いアドレスの見分け方を示します。
A. ばらまきメール
A-1. (図の緑部) メールの送信者として表示されているアドレスはEmotetに感染しているかは不明です。アドレス帳の情報が利用されただけの可能性もあり、感染していると判断することはできません。
A-2. (図の赤部) 実際のメールの送信に悪用されたアドレスはEmotetに感染しています。
※Outlookであれば、メールアドレスが2つ表示されていた場合には2つ目のアドレス(1つであればそのアドレス)が実際のメール送信に悪用されたアドレス。他のメールソフトでは、2つ目のメール送信されたアドレスが表示されないメールソフトもあるため、注意。
B. 返信型メール
B-1. (図の1つ目の赤部) 返信型の場合、メールの送信者として表示されているアドレスはEmotetに感染している可能性が高いです。ただし、一度メールが盗まれると、対処済でも継続して返信型メールとして利用され続けるため、既に対処済の可能性もあります。
B-2. (図の2つ目の赤部) 実際のメールの送信に悪用されたアドレスはEmotetに感染しています。
なお、日頃の調査の中で私がこれらのEmotetに感染している可能性が高いアドレスが判明した際には、可能な範囲で対象のアドレスまたは企業に通知しています。
■4. Emotet感染の疑いのある振る舞い
Emotetに感染しメールの送信に悪用されていた場合、以下のような可能性があります。
・送信した覚えのないメールへの返事や送信エラーが返ってくる。
(Unreachable 請求書のお願い、などの件名)
■5. Emotet感染の確認
悪用されているメールアドレスが判明した場合、該当のメールアドレスを使用していた端末がEmotetに感染している可能性が高いです。
Emotetに感染している場合、以下のパスにEmotet本体のexeが存在する可能性が高いです。
・C:\Users\<ユーザ名>\AppData\Local\<特定の名前1>\<特定の名前2>.exe
※<特定の名前1>, <特定の名前2> はC:\windows\system32 フォルダにあるexe, dllの中からランダムで選ばれます。1と2は違う名前になります。例えば、\MSAC3ENC\Windows.UI.exe などです。
また、感染している場合には以下のレジストリキーに上記exeが登録されています。
・ HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
※端末にログインした際に自動的に実行されるプログラムの登録先
※画像は検証端末で取得したもののため、他にデータがありませんが、普通に使用していても正規のアプリケーションが複数存在します。
なお、PowerShellを使って、以下のように調べることが可能です。
powershell.exe Get-Item -Path "Registry::HKCU\Software\Microsoft\Windows\CurrentVersion\Run"
■6. Emotetに感染している場合の対処
別の記事として、Emotet感染時の対応について記載しました。
https://bomccss.hatenablog.jp/entry/emotet-ir
※基本的には端末の初期化が安全だと思います。
合わせてこちらも参照ください。
・マルウエアEmotetへの対応FAQ
https://blogs.jpcert.or.jp/ja/2019/12/emotetfaq.html
<参考>
▼2020/07/17以前のEmotetに感染する.docファイルの見た目
以上