Emotet の感染に繋がる添付ファイル付きのメールは、Emotet が窃取した情報などを元に独自に作成されているものに加え、実際の組織間のメールのやりとりの内容を転用することで、感染元から送信先への返信を装うものがある。
そのため、取引先の担当者から送られているようにみえるメールでも、実際はEmotet が窃取した情報を元に攻撃者側から送られている「なりすましメール」である可能性があるため、注意が必要。

添付されたファイルには、コンテンツの有効化を促す内容が記載されており、有効化してしまうと Emotet がダウンロードされる。
Word の設定によっては、有効化の警告が表示されずに Emotet がダウンロードされる場合がある。

III. 影響
Emotet に感染した場合、次のような影響が発生する可能性がある。
１、端末やブラウザに保存されたパスワード等の認証情報が窃取される
１、窃取されたパスワードを悪用され SMB によりネットワーク内に感染が広がる
１、メールアカウントとパスワードが窃取される
１、 メール本文とアドレス帳の情報が窃取される
１、窃取されたメールアカウントや本文などが悪用され、Emotet の感染を広げるメールが送信される
このように、Emotet に感染してしまうと、感染端末から情報が窃取された後、攻撃者側から取引先や顧客に対して感染を広げるメールが配信されてしまう恐れがある。
また、感染したままの端末が組織内に残留すると、感染を広げるメールの配信元として攻撃者に利用され、外部に大量の不審メールを送信することになる。

また、Emotet に感染した端末が、Trickbot などの別のマルウエアをダウンロードし、結果としてランサムウエアに感染してデータが暗号化されるなどの被害に繋がるケースに関する情報も公開されている。

情報の窃取や感染拡大を防ぐためにも、ランサムウエアなどによる業務への影響を防ぐためにも、下記の対策や対処の実施を検討することを推奨する。

IV. 対策
Emotet の感染を予防し、感染の被害を最小化するため、次のような対応を実施することの検討が必要。
１、組織内への注意喚起の実施
２、Word マクロの自動実行の無効化 ※
３、メールセキュリティ製品の導入によるマルウエア付きメールの検知
４、メールの監査ログの有効化
５、OS に定期的にパッチを適用 (SMBの脆弱性をついた感染拡大に対する対策)
６、定期的なオフラインバックアップの取得（標的型ランサムウエア攻撃に対する対策）

※ Microsoft Office Word のセキュリティセンターのマクロの設定で、「警告を表示してすべてのマクロを無効にする」を選択等。

V. 事後対応
自組織で使用するウイルス対策ソフトが検知して Emotet の感染を発見する場合に加え、次のような状況を確認した場合は、自組織の端末が Emotet に感染している可能性がある。
自組織のメールアドレスになりすまし、Word 形式のファイルを送るメールが届いたと外部組織から連絡を受けた場合
２、自組織のメールサーバなどを確認し、Word 形式のファイルが添付されたメールやなりすましメールが大量に送信されていることを確認した場合
３、自組織の端末やシステムにおいて Emotet の感染が確認された場合、
被害拡大防止の観点より初期対応として次の対処を行うことを推奨。

1、感染した端末のネットワークからの隔離
２、感染した端末が利用していたメールアカウントのパスワード変更
その後、必要に応じてセキュリティ専門ベンダなどと相談の上、次のような対処を行うことを推奨。
１、組織内の全端末のウイルス対策ソフトによるフルスキャン感染した端末を利用していたアカウントのパスワード変更
２、ネットワークトラフィックログの監視
３、調査後の感染した端末の初期化

また、Emotet の感染が疑われる場合など、本件についてご相談が必要でしたら、次の「JPCERT/CC インシデント報告窓口」までご連絡のこと。

JPCERT/CC インシデント報告窓口
メール：info@jpcert.or.jp
電話 ：03-6271-8901