fbpx

2月になって急増!Emotet復活後の動き

昨年10月に復活したEmotet (エモテット)による被害が、2月に入り急増しているようです。

情報セキュリティ安心相談窓口には2月1日から8日までの間に45件のEmotetに関する相談があり、これは相談や被害の最悪期であった2020年9月~11月に匹敵するペースです。国内企業・組織からも、感染被害が次々と公表されています。

Emotetの攻撃活動の急増 (2022年2月9日 追記) 出典:IPA

これまでと同様の手口

手口は昨年制圧される前と同様のようです。

図12 被害相談の例(2021年12月)出典:IPA
  • 攻撃メールを受信
  • 添付ファイルを開く(もしくは悪意のあるホームページURLをクリック)
  • パソコンが感染し、メールの情報を盗まれる
  • 取引先などに攻撃メールをばらまいてしまう

取引先からのように見えるメールが相談者に着信した。数ヶ月前に実際にその相手とやりとりしたメールが引用され、Excelファイルが添付されていた。

変だとは思ったものの、わざわざ電話して確認するのはためらわれた。過去にExcelファイルを受け取ったことはあり、急ぎの用件かと考え、まず内容を確認しようとファイルを開いてしまった。特に意識せず「コンテンツの有効化」ボタンもクリックしたと思う。

翌日、別の取引先や知人から、相談者を詐称した不審メールが送られていると連絡を受け、ウイルス感染被害に気付いた。

攻撃活動再開後の状況/被害相談の例 (2021年12月9日 追記) 出典:IPA

「完全制圧」から10ヵ月で復活

2021年1月27日ユーロポール(欧州刑事警察機構)がEmotetのコントロールサーバーを停止させたと発表しました。

その後感染している端末の時刻が2021年4月25日になるとすべてのEmotetマルウェアが停止する機能が加えられ、それ以降感染はほぼ観測されなくなっていました。

しかし2021年11月、完全制圧したはずのEmotetが復活を遂げています。

ちなみに復活したタイミングはEmotetを制圧したセキュリティーチームの3周年の記念日だったそうです(そのタイミングを狙っていたのかは不明)。

2021年11月17日頃から日本においても攻撃メールが届き始めました。

新たな手口、PDF閲覧を誘導

IPAは2021年12月19日に、新たな攻撃の手口の例をあげています。

2021年1月の制圧以前からあったExcelやワード等のオフィス文章ファイルを悪用するものとは異なる手口として、PDF閲覧ソフトを偽造するという手口です。

攻撃活動再開後の状況/被害相談の例(2021年12月9日 追記)

図14 メールから誘導される偽のウェブサイトの例(2021年12月) 出典:IPA

メールの本文中にあるURLリンクをクリックするとPDF文書ファイルが存在するかのような画面に誘導され、それをクリックするとPDF閲覧ソフトを装ったウィルスをダウンロードさせる手口になっています。

まとめ

Emotetは顧客や取引先など、実際にやりとりしているメールアドレスから送られてくるので、攻撃メールとして見分けづらいのが特徴です。

これまで実際にやりとりしていたメールを返信するかたちで送られてくる事例も上がっています。

少しでも怪しいと思ったら、添付されたファイルやURLのリンクが開かずに、送信元へ確認するなど慎重な対応が必要になります。

お問い合わせ

ブログの内容や会社のITのことでお困りごとがあればお気軽にお問い合わせください

PAGE TOP