なりすましメールでの感染注意
JPCERTコーディネーションセンターは2019年11月27日、マルウエア『Emotet』の感染に関する相談を多数受けているとし、感染拡大を防ぐため注意喚起を行いました。
皆さん、こんにちは。
業務改善を行うIT・業務コンサルタント、高橋です。
さて、今日は実在の人物や組織になりすましたメールを送り付け、添付ファイルを開くことでウイルスに感染する『Emotet(エモテット)』に関する注意喚起です。
なりすましメールでの感染に注意
JPCERTコーディネーションセンターによると、このマルウエア『Emotet(エモテット)』は主にメールに添付された『Word形式のファイル』を実行し、コンテンツの有効化を実行することで感染に繋がることが分かっているそうで、実際に感染に繋がる可能性のあるメールの例は以下のようになっているとされています。
・メールアカウント名<実際の送信元アドレス>
・RE:実際に送受信したメールの件名
・メールの受信者名
・Word形式の添付ファイル
・メール本文
・感染したメールアドレス
・実際に受信したメール本文
・実際に受信したメールに含まれる履歴
このような感じになっているようですが、確かに実際にやりとりしたメール履歴からの返信メールを装われていると表面的には疑わないかと思います。
これは、マルウエア『Emotet(エモテット)』が窃取した情報などを元に独自に作成されているものに加え、実際の組織間のメールのやりとりの内容を転用することで、感染元から送信先への返信を装うものがあるとされているため、注意が必要です。
そして、添付ファイルにはコンテンツの有効化を促す内容が記載されているようで、有効化してしまうと『Emotet(エモテット)』がダウンロードされてしまいます。
※ Wordの設定によっては有効化の警告が表示されずに『Emotet(エモテット)』がダウンロードされる場合もあります。
この『Emotet(エモテット)』に感染した場合、次のような影響が発生する可能性があるとされています。
・端末やブラウザに保存されたパスワード等の認証情報が窃取される
・窃取されたパスワードを悪用され SMB によりネットワーク内に感染が広がる
・メールアカウントとパスワードが窃取される
・メール本文とアドレス帳の情報が窃取される
・窃取されたメールアカウントや本文などが悪用され、Emotet の感染を広げるメールが送信される
また、『Emotet(エモテット)』の感染予防対策などとしては、次のようなことを検討します。
・組織内への注意喚起の実施
・Word マクロの自動実行の無効化 ※
・メールセキュリティ製品の導入によるマルウエア付きメールの検知
・メールの監査ログの有効化
・OS に定期的にパッチを適用 (SMBの脆弱性をついた感染拡大に対する対策)
・定期的なオフラインバックアップの取得(標的型ランサムウエア攻撃に対する対策)
※ Microsoft Office Word のセキュリティセンターのマクロの設定で、「警告を表示してすべてのマクロを無効にする」を選択する。
もし感染してしまった場合、
・感染した端末のネットワークからの隔離
・感染した端末が利用していたメールアカウントのパスワード変更
・ 組織内の全端末のウイルス対策ソフトによるフルスキャン
・感染した端末を利用していたアカウントのパスワード変更
・ネットワークトラフィックログの監視
・調査後の感染した端末の初期化
これらの対応も必要になってきます。
ご注意ください。