アイコン 最強の自動拡散マルウエア Emotet(エモテット)感染拡大・注意喚起/PCERT

 

スポンサード リンク
 

日本のセキュリティー対策機関PCERTは27日、10月後半よりマルウエア Emotet の感染に関する相談を多数受けていると発表した。
特に実在の組織や人物になりすましたメールに添付された悪性な Word 文書ファイルによる感染被害の報告を多数受けている。

こうした状況から、Emotet の感染拡大を防ぐため、JPCERT/CCは本注意喚起を発行し、Emotet の主な感染経路、Emotet に感染した場合の影響を紹介した後、感染を防ぐための対策や、感染に気付くためにできること、感染後の対応方法などに関する情報を紹介した。

II. 感染経路
JPCERT/CC が確認している事案では、主にメールに添付された Word 形式のファイルを実行し、コンテンツの有効化を実行することで Emotet の感染に繋がることが分かっている。Emotet の感染に繋がる可能性のあるメールの例は次のとおり。

Emotet の感染に繋がる添付ファイル付きのメールは、Emotet が窃取した情報などを元に独自に作成されているものに加え、実際の組織間のメールのやりとりの内容を転用することで、感染元から送信先への返信を装うものがある。
そのため、取引先の担当者から送られているようにみえるメールでも、実際はEmotet が窃取した情報を元に攻撃者側から送られている「なりすましメール」である可能性があるため、注意が必要。

添付されたファイルには、コンテンツの有効化を促す内容が記載されており、有効化してしまうと Emotet がダウンロードされる。
Word の設定によっては、有効化の警告が表示されずに Emotet がダウンロードされる場合がある。

III. 影響
Emotet に感染した場合、次のような影響が発生する可能性がある。
1、端末やブラウザに保存されたパスワード等の認証情報が窃取される
1、窃取されたパスワードを悪用され SMB によりネットワーク内に感染が広がる
1、メールアカウントとパスワードが窃取される
1、 メール本文とアドレス帳の情報が窃取される
1、窃取されたメールアカウントや本文などが悪用され、Emotet の感染を広げるメールが送信される
このように、Emotet に感染してしまうと、感染端末から情報が窃取された後、攻撃者側から取引先や顧客に対して感染を広げるメールが配信されてしまう恐れがある。
また、感染したままの端末が組織内に残留すると、感染を広げるメールの配信元として攻撃者に利用され、外部に大量の不審メールを送信することになる。

また、Emotet に感染した端末が、Trickbot などの別のマルウエアをダウンロードし、結果としてランサムウエアに感染してデータが暗号化されるなどの被害に繋がるケースに関する情報も公開されている。

情報の窃取や感染拡大を防ぐためにも、ランサムウエアなどによる業務への影響を防ぐためにも、下記の対策や対処の実施を検討することを推奨する。

IV. 対策
Emotet の感染を予防し、感染の被害を最小化するため、次のような対応を実施することの検討が必要。
1、組織内への注意喚起の実施
2、Word マクロの自動実行の無効化 ※
3、メールセキュリティ製品の導入によるマルウエア付きメールの検知
4、メールの監査ログの有効化
5、OS に定期的にパッチを適用 (SMBの脆弱性をついた感染拡大に対する対策)
6、定期的なオフラインバックアップの取得(標的型ランサムウエア攻撃に対する対策)

※ Microsoft Office Word のセキュリティセンターのマクロの設定で、「警告を表示してすべてのマクロを無効にする」を選択等。

V. 事後対応
自組織で使用するウイルス対策ソフトが検知して Emotet の感染を発見する場合に加え、次のような状況を確認した場合は、自組織の端末が Emotet に感染している可能性がある。
自組織のメールアドレスになりすまし、Word 形式のファイルを送るメールが届いたと外部組織から連絡を受けた場合
2、自組織のメールサーバなどを確認し、Word 形式のファイルが添付されたメールやなりすましメールが大量に送信されていることを確認した場合
3、自組織の端末やシステムにおいて Emotet の感染が確認された場合、
被害拡大防止の観点より初期対応として次の対処を行うことを推奨。

1、感染した端末のネットワークからの隔離
2、感染した端末が利用していたメールアカウントのパスワード変更
その後、必要に応じてセキュリティ専門ベンダなどと相談の上、次のような対処を行うことを推奨。
1、組織内の全端末のウイルス対策ソフトによるフルスキャン感染した端末を利用していたアカウントのパスワード変更
2、ネットワークトラフィックログの監視
3、調査後の感染した端末の初期化

また、Emotet の感染が疑われる場合など、本件についてご相談が必要でしたら、次の「JPCERT/CC インシデント報告窓口」までご連絡のこと。

JPCERT/CC インシデント報告窓口
メール:info@jpcert.or.jp
電話 :03-6271-8901
 

[ 2019年11月28日 ]

 

 

 

関連記事

 

 



PICK UP


PICK UP - 倒産